Evo koji su sektori najčešće žrtve ransomwarea – i ne, to nisu banke

Prama istraživanju Sophosa, najčešća meta napada su sektor medija, zabave i slobodnog vremena, maloprodaja te energetska i komunalna infrastruktura, a od napada se najsporije oporavljaju visokoobrazovne institucije te državna i savezna uprava

86
Ransomware

Prema globalnom istraživanju tvrtke specijalizirane za kibernetičku sigurnost Sophos otprilike dvije od tri organizacije u prethodnih 12 mjesec pretrpjele su sigurnosni incident vezan uz maliciozni softver – ransomware. To je 78 posto više u odnosu na prethodnu godinu. Sektor medija, zabave i slobodnog vremena pretrpio je najteže udarce, pri čemu je otprilike četiri od pet tih organizacija pretrpjelo napade. No. iako su neke organizacije više izložene riziku da postanu mete ransomwarea nego druge, stručnjaci za kibernetičku sigirnost upozoravaju da nijedna industrija nije pošteđena rizika. Svih 14 industrija istaknutih u Sophosovom istraživanju – plus sveobuhvatna kategorija “ostalo” – pogođeno je  napadima. Dakle, nitko nije siguran, piše TechTarget.

Sophos je istraživanje proveo 2022., a sudjelovalo je 5600 IT stručnjaka.

Incidenti s ransomwareom u određenim industrijama, kao što su kritična infrastruktura i zdravstvo, obično rezultiraju većom medijskom pažnjom. Incidenti koji uključuju mete nižeg profila, poput lokalnih vlasti i malih poduzeća, obično privlače manje pozornosti, što ponekad dovodi do pogrešne percepcije da takve mete nisu posebno atraktivne napadačima. Nažalost, to je daleko od istine. “Bez obzira na to je li riječ o tvrtki s nekoliko desetaka zaposlenih ili tvrtki koja zapošljava desetke tisuća ljudi, svatko je meta”, kaže Gartnerov analitišar Chris Silva.

Zašto? Pa, ransomware je posao. “Napadači biraju ciljeve koji im donose maksimalan financijski učinak”, tumači Silva. “To može značiti jedan, masivan napad na cjevovod prirodnog plina, ili mnogo napada koji se šire na desetke manjih organizacija.”

>>Goran Car: Kibernetički kriminalci ne diskriminiraju – svi su im zanimljivi

>>Malware i ransomware – po čemu se razlikuju i kako se zaštititi

Imajući sve to na umu, ono što slijedi je 10 glavnih – ali nipošto jedinih – meta ransomwarea prema sektoru, na temelju Sophosove ankete i drugih podataka.

1. Mediji, zabava i slobodno vrijeme

U Sophosovom izvješću za 2022., sektor medija, zabave i slobodnog vremena skočio je na vrh popisa meta ransomwarea, s rastom od 147 posto u odnosu na prethodnu godinu. Gotovo četiri od pet organizacija (79%) u ovoj industriji izvijestilo je da su se u prethodnih 12mjeseci suočile s ransomware napadima.

2. Maloprodaja

Odmah iza medija, zabave i slobodnog vremena, prema izloženosti napadima slijedi maloprodaja. Napade ransomwarea u godini koja je prethodila Sophosovu istraživanju  prijavilo je prijavilo je 77 posto maloprodajnih tvrtki, a otprilike polovica njih rekla je da je platila otkupninu.

3. Energetska i komunalna infrastruktura

Ransomware je pogodio tri od četiri naftne, plinske i komunalne organizacije koje je Sophos anketirao. Istraživači su otkrili da je ovaj sektor također među prve tri industrije koje će najvjerojatnije platiti zahtjeve za ransomware – što je podatak kojeg su kibernetički kriminalci vjerojatno dobro svjesni.

“Prilično su dobri u prepoznavanju kritičnih dijelova infrastrukture, znaju kako ih mogu pogoditi i kako to mogu iskoristiti”, tumači Gartnerov analitičar.

4. Distribucija i transport

Kibernetički kriminalci već dugo vide organizacije u logističkom sektoru kao atraktivne mete ransomwarea. Na primjer, 2016. zloglasni napad NotPetya koštao je danskog brodskog diva Maersk do 300 milijuna dolara izgubljenog prihoda.

Šest godina kasnije, 74 posto distribucijskih i transportnih tvrtki u Sophosovu istraživanju priznalo je da su nedavno doživjeli incidente s ransomwareom. U jednom takvom napadu, ransomware je 2022. pogodio njemačku tvrtku za logistiku goriva OilTanking, prekinuvši isporuke na oko 200 benzinskih postaja.

Nažalost, u Sophosovom istraživanju, distribucijske i transportne organizacije također su izvijestile o najnižem postotku vraćanja podataka nakon plaćanja otkupnine. Te su tvrtke u prosjeku rekle da su napadači obnovili samo 50 posto njihovih podataka.

5. Poslovne, stručne i pravne usluge

Unit 42, konzultantska tvrtka specijalizirana za istraživanje kibernetičkih prijetnji iz Palo Altoa, smatra da je sektor stručnih i pravne usluga najčešća meta ransomware napada. Njihovi istraživači svoj zaključak temelje na podacima koje su pronašli na stranicama na kojima kiberbetički kriminalci objavljuju ukradene podatke žrtava.

Istraživači Unit 42 smatraju kako su tvrtke iz ovog sektora – koji obuhvaća i računovodstvo, oglašavanje, savjetovanje, inženjering, marketing i odvjetničke tvrtke – mogle biti atraktivne mete ransomwarea iz dva razloga:

  • Često se oslanjaju na zastarjele i nepokrpane sustave i softver, što kriminalcima olakšava pristup njihovim mrežama;
  • Ne mogu ponuditi svoje proizvode i usluge bez funkcionalnog IT-a, što ih potiče da brzo plate otkupninu ili će doživjeti značajan poslovni pad.

U istraživanju Sophosa, poslovne i profesionalne usluge zauzele su peto mjesto na popisu najciljanijih sektora: 74 posto organizacija iz sektora priznalo je da su pretrpjele ransomware napade u prethodnoj godini.

6. Zdravstvena njega

Visoki ulozi u radu medicinskih centara i raširene sigurnosne ranjivosti čine ih “omiljenom metom” kibernetičkih kriminalaca, prema Ransomware Task Force, skupini tehničkih stručnjaka koja daje preporuke Bijeloj kući.

Čini se da su neke bande posebno prepoznale pandemiju koronavirusa kao poslovnu priliku, pretostavljajući da će bolnice lako pokleknuti pred zahtjevima za otkupninom dok se bore s neviđenom i smrtonosnom zdravstvenom krizom.

>>Ransomware je i dalje najčešći oblik kibernetičkog napada

Međutim, čak i sada kada pandemija jenjava, napadi na medicinske ustanove ne samo d ane prestaju, nego su sve intenzivniji. Postotak zdravstvenih organizacija koje su Sophosu priznale nedavne napade ransomwarea porastao je s 34 posto u 2021. na 66 posto u 2022. A zdravstveni sektor je najvjerojatnije ispunio zahtjeve za otkupninom, navodi Sophos –  61 posto napadnutih platio je otkupninu svojim napadačima.

Učinci incidenata ransomwarea u zdravstvenom sektoru mogu biti posebno katastrofalni. Napad na bolnicu u Düsseldorfu u Njemačkoj prisilio je zdravstvene radnike da pošalju pacijenticu u stanju opasnom po život u drugu bolnicu udaljenu 20 milja. Pacijentica je umrla, a njemački tužitelji kažu da je to možda bio prvi smrtni slučaj povezan s ransomwareom. Istražitelji su otvorili slučaj ubojstva iz nehaja, ali su ga napustili jer nisu mogli dokazati da je kršenje izravno uzrokovalo ženinu smrt.

7. Visoko obrazovanje

Obrazovni sektor posljednjih je godina postao jedna od glavnih meta ransomwarea, a fakulteti i sveučilišta trpe osobito česte udarce. U Sophosovom istraživanju iz 2022., 64 posto visokoškolskih ustanova priznalo je da napade ransomwarea u prethodnih 12 mjeseci. Također, fakulteti i sveučilišta imaju jednu od najsporijih stopa oporavka, s otprilike dvije od pet tvrtki kojima je trebalo više od mjesec dana da se vrate u normalu.

Prethodne godine, prema istraživanju dobavljača antimalware programa Emsisoft, 88 napada prekinulo je rad više od tisuću škola, koledža i sveučilišta. Sveučilište Howard u Washingtonu, D.C., na primjer, moralo je otkazati dva dana nastave dok je odgovaralo na napad ransomwarea tijekom jednog prazničnog vikenda te godine.

8. Građevina i upravljanje nekretninama

Na popisu najciljanijih sektora tvrka Unit 42 građevinarstvo je na drugom mjestu po rizičnosti nakon stručnih i pravnih usluga. Sophos pak navodi da je stopa izloženosti napadima građevinskih i nekretninskih poduzeća 63 posto, što ih svrstava na osmo mjesto na ljestvici “Stanje Ransomwarea 2022”.

9. Tehnološko-telekomunikacijski sektor (ICT)

Šezdeset i jedan posto organizacija u IT, tehnološkom i telekomunikacijskom sektoru bavilo se napadima ransomwarea u između siječnja 2021. i veljače 2022., utvrdio je Sophos. Jedan od njih bio je tajvanski proizvođač osobnih računala Acer, koji je primio jedan od najvećih zahtjeva za otkupninu u to vrijeme – 50 milijuna dolara – od bande ransomwarea REvil. Nije poznato je li tvrtka platila otkupninu.

Ostale nedavne mete ransomwarea u IT sektoru uključivale su Appleovog proizvođača prijenosnih računala Quanta Computer, dobavljača tehnologije za inspekciju vozila Applus Technologies, dobavljača rezervne pohrane ExaGrid i dobavljača softvera Kaseya.

Mala, srednja i mikro poduzeća također česte mete ransomwarea. Vlasnik ITRMS-a, malog poduzeća sa sjedištem u Riversideu u Kaliforniji, suočio se s nekoliko takvih napada tijekom godina.

10. Džavna i savezna administracija

U prošloj godini 60 posto državnih i saveznih administracija iz cijelog svijeta priznalo je Sophosu da su pretrpjele nedavne napade ransomwarea, što je 50 posto više u odnosu na prethodnu godinu. Uz visokoobrazovne institucije, riječ je osektoru koji se najsporije oporavlja od napada. Otprilike dvije od pet nisu se uspjele vratile normalnom radu unutar mjesec dana od napada.

Banda Conti izvela je ransomware napad na središnju vladu Kostarike u travnju 2022., što je natjeralo predsjednika zemlje da proglasi nacionalno izvanredno stanje. Vlada je odbila platiti otkupninu, a kibernetički kriminalci su otkrili gotovo sve ukradene podatke. U drugom visokoprofilnom incidentu, irska nacionalna zdravstvena služba postala je u svibnju 202. žrtva napada ransomwarea koji je prisilio vladu da zatvori sve bolničke informatičke sustave, i ozbiljnoje poremetio skrb o pacijentima.

11. Lokalna uprava i samouprava

Lokalna uprava i samouprava pretrpjela je razinu napada kao središnja državna administarcija, 58 posto, a stopa rasta u odnosu na prethodnu godinu bilo je znatno veća – čak 71 posto. Više od 2800 incidenata ransomwarea utjecalo je na lokalnu upravu i samoupravu između siječnja 2017. i ožujka 2021., navodi Multi State Information Sharing and Analysis Center, odjel Centra za internetsku sigurnost.

U rujnu 2022. masovni napad ransomwarea prisilio je okrug Suffolk u američkoj saveznoj državi New York, da isključi sve svoje sustave, ozbiljno ugrozivši hitne službe i prisilivši zaposlenike okruga da rade bez interneta. Incident je izazvao višemjesečne, dalekosežne poremećaje.

Iste su godine Sjeverna Karolina i Florida postale prve države koje su zabranile državnim agencijama i lokalnim vlastima plaćanje otkupnine, što je potez koji razmatraju i neke druge države.

12. Osnovno i srednje obrazovanje

Od institucija osnovnog i srednjeg obrazovanja koje je Sophos ispitao početkom 2022., 56 posto ih je priznalo napade ransomwarea u prethodnih 12 mjeseci.

Kasnije te godine, ransomware banda Vice Society napala je Los Angeles Unified School District, najveći sustav javnih škola u Kaliforniji. Nakon što je okrug odbio platiti zahtjev za otkupninu, na dark webu je objavljeno 500 GB ukradenih podataka. U drugom takvom incidentu, sustav javnih škola grada Buffalo u New Yorku bio je prisiljen na nekoliko dana u ožujku 2021. zaustaviti fizičku i online nastavu za 34 000 učenika.

Prema Emsisoftovim istraživačima, u najmanje polovici incidenata s ransomwareom u obrazovnom sektoru 2021. hakeri su ukrali osjetljive podatke o zaposlenicima i studentima, a dio tih podataka objaviljen je na internetu.

13. Proizvodnja i prerada

Sophosovo istraživanje pokazalo je da je u posljednjih 12 mjeseci napadnuto 55 posto  proizvođnih i prerađivačkih tvrtki. Ovaj sektor imao je najveću prosječnu isplatu otkupnine: 2,04 milijuna dolara. Međutim, dobra vijest je da je proizvodno-prerađivački sektor imao najbrže vrijeme oporavka, što je Sophos pripisao dobroj pripremi i planiranju odgovora na kibernetičke napade.

U jednom notornom primjeru napada na ovaj sektor, REvil ransomware zaustavio je rad proizvođača govedine JBS USA, jednog od najvećih dobavljača mesa u Sjedinjenim Državama. Iako je tvrtka objavila da je zahvaljujući rezervnim poslužiteljima ponovno počela s radom u roku od četiri dana nakon napada, kasnije je priznala da je hakerima platila 11 milijuna dolara kako bi spriječila curenje i objavu podataka.

14. Financijske usluge

Sophosovo izvješće “Stanje Ransomwarea 2022.” pokazalo je dobre i loše vijesti za sektor financijskih usluga: stopa napada u sektoru rasla je iz godine u godinu, no ukupno gledano riječ je o jednoj od najnižih stopa napada u usporedbi s drugim sektorima. Nedavne napade ransomwarea priznalo je 55 posto financijskih organizacija, dok je prosječna stopa napada na razini svih sektora iznosila 66 psoto. Industrija financijskih usluga također je imala jednu od najbržih stopa oporavka, odmah iza proizvodnje i prerade.

Međutim, utjecaj ransomwarea na sektor financijskih usluga može biti raširen i katastrofalan. Odjel za financijske usluge New Yorka upozorio je da bi veliki napad ransomwareom mogao izazvati “sljedeću veliku financijsku krizu”, osakaćujući ključne organizacije i uzrokujući gubitak povjerenja potrošača.

U ožujku 2021. operateri ransomwarea pogodili su CNA Financial, jedno od najvećih komercijalnih osiguravatelja u SAD-u Bloomberg je izvijestio da je CNA platio zahtjev za otkupninu od 40 milijuna dolara, iako tvrtka nije potvrdila tu brojku.

Svatko je potencijalna meta ransomwarea

Iako su istraživanja pokazala da su organizacije u navedenih 14 industrija među glavnim metama ransomwarea, stručnjaci naglšavaju da nijedna organizacija – bez obzira na veličinu ili sektor – nije imuna na napade.

Stručnjaci ističu također da je gotovo nemoguće u potpunosti spriječiti napade, ali cilj je preživjeti. Vjerojatno će dio podataka i psolužitelja biti izgubljen, ali dobra priprema omogućit će obnovu velikog dijela podataka iz sigurnosnih kopija. “To je scenarij koji omogućuje preživljavanje, naprema onoga u kojem svi podaci nestaju”, poručuje Gartnerov analitišar Chris Silva.