VMware opracował raport, w którym analizuje wpływ cyberataków na organizacje oraz opisuje, w jaki sposób zespoły ds. bezpieczeństwa dostosowują się do tych wyzwań. VMware Threat Analysis Unit zidentyfikował 900-proc. wzrost liczby ataków ransomware w pierwszej połowie 2020 roku. Cyberprzestępcy wykorzystali pośpieszne wdrażanie pracy zdalnej z zastosowaniem urządzeń osobistych i sieci domowych. W zasięgu crackerów znalazły się wszystkie branże. Nieproporcjonalnie częstym celem ataków w 2020 roku był sektor opieki zdrowotnej.

  

76 proc. z 3542 respondentów ankiety stwierdziło, że liczba ataków, z którymi mieli do czynienia, wzrosła w ciągu ostatniego roku. Spośród nich 78 proc. uważa, że ataki nasiliły się w wyniku większej liczby pracowników pracujących w domu. Według 79 proc. ataki stały się bardziej wyrafinowane.

  

Z badania wynika, że 1 na 5 naruszeń było spowodowanych właśnie przez ransomware. Jednym z najbardziej drastycznych udanych ataków jest ten wymierzony w maju 2021 r. w Colonial Pipeline, amerykańską firmę paliwową, która dostarcza prawie połowę paliwa zużywanego na wschodnim wybrzeżu USA. Jego autorem była grupa cyberprzestępcza DarkSide. Temat sparaliżowania tej krytycznej infrastruktury CRN Polska poruszył w czerwcu, w artykule pt. Colonial Pipeline: niepożądana sława. Szczególnie mocno wybrzmiewa w nim wątek presji na płacenie okupu cyberprzestępcom, którą odczuwano w sparaliżowanym atakiem przedsiębiorstwie. W tym kontekście warto zwrócić uwagę na to, że prawie 40 proc. specjalistów ds. bezpieczeństwa przepytanych na potrzeby raportu uważa, iż organizacja, która wykazuje gotowość do zapłaty, naraża się na kolejny atak hakerski – głównie wtedy, gdy obecność ckrackera w sieci organizacji nie zostanie całkowicie usunięta. Tak zwany atak z podwójnym wymuszeniem okupu jest najczęściej obserwowaną nową techniką oszustw ransomware w 2020 roku.

Lepszą ochronę firmowych systemów przed przed ransomware ma zapewnić podejście, w którym:

  • bezpieczeństwo traktuje się jako usługę rozproszoną, co oznacza, że podąża ona za chronionymi zasobami w całym środowisku organizacji.
  • istnieje priorytet widoczności – lepsza widoczność punktów końcowych i obciążeń roboczych zapewnia kontekstowy wgląd i pozwala wykorzystać inteligencję sytuacyjną, co pomaga w określaniu priorytetów i usuwaniu zagrożeń.
    regularnie śledzi się zagrożenia – regularne poszukiwania zagrożeń pozwolą wykryć ciche wtargnięcia i obecność cyberprzestępców w środowisku poprzez dostrzeżenie anomalii w zachowaniu.
  • prowadzone jest ciche monitorowanie w celu uniknięcia reakcji cyberprzestepców – należy założyć, że przeciwnik ma wiele sposobów na uzyskanie dostępu do środowiska. Przed podjęciem działań należy obserwować i czekać — nie należy od razu rozpoczynać blokowania złośliwego oprogramowania lub wyłączania systemów C2 (command & control), dopóki nie będzie pewności, że zna się wszystkie możliwe drogi ponownego wtargnięcia.
  • uwzględnia się współpracę z partnerem odpowiedzialnym za reagowanie na incydenty – warto zaangażować partnera IR (Incident Response) w celu opracowania strategii przeciwdziałania incydentom i powierzenie mu jej realizacji w razie potrzeby.

Raport Global Security Insights Report oparty został na ankiecie online przeprowadzonej w grudniu 2020 roku wśród 3542 CIO, CTO i CISO.