Na celowniku ransomware głównie przemysł i edukacja

Przeczytaj także: Edukacja pod ostrzałem cyberprzestępców

RansomHub, Play Ransomware oraz Meow Ransomware – to trzy główne grupy ransomware, które zagrażają firmom na całym świecie, żądając okupu za zaszyfrowane i skradzione dane. Największy problem z tego typu działalnością przestępczą mają obecnie Stany Zjednoczone. We wrześniu aż 48% wszystkich ofiar pochodziło właśnie z USA.

Ale Europa też nie jest bezpieczna – wśród głównych europejskich celów RansomHub znalazły się Wielka Brytania, Włochy, Hiszpania, Niemcy oraz Francja. Ataki ransomware przeprowadzane na te kraje skoncentrowały się głównie na sektorach przemysłowym i usługowym. Te dwa sektory stanowią aż 80% wszystkich ofiar we Włoszech. W Wielkiej Brytanii przemysł stanowi z kolei ponad 1/3 wszystkich celów cyberprzestępców. Wynika to m.in. z wykorzystywania przestarzałych systemów bezpieczeństwa, podatnych na nowoczesne atak.

Problemy finansowe i braki kadrowe sprawiają, że instytucje edukacyjne stają się łatwym łupem. Brak środków na rozbudowę infrastruktury cyberbezpieczeństwa w szkołach i na uczelniach może najbliższych latach doprowadzić do poważnych incydentów. Obecnie organizacje z sektora „badania i edukacja” stanowią ok. 13% wszystkich ofiar.

Czy Polska również jest na celowniku?

Polska, choć nie znajduje się na szczycie listy ofiar, powinna zachować czujność – uważają eksperci. Kradzież danych osobowych, własności intelektualnej czy informacji o łańcuchu dostaw stawia polskie firmy przed nowymi wyzwaniami prawnymi i utrata reputacji. Dla europejskich krajów konsekwencje są poważne, a cyberprzestępcy są świadomi, że ujawnienie wrażliwych informacji może skłonić ofiary do zapłacenia okupu. Na forach darknetowych grupa Meow oferuje obecnie skradzione dane za kwoty od 500 do 200 000 dolarów.

W Polsce hakerzy atakują zarówno duże przedsiębiorstwa jak i małe firmy. Oczywiście kwota okupu jest znacznie mniejsza od statystyk za granica. Różnica – zdaniem ekspertów - z mniejszej liczby dużych podmiotów działających w Polsce. Cyberprzestępcy zażądają mniejszych okupów od firm sektora SME, a innych od dużych przedsiębiorstw z kilkoma tysiącami pracowników.

Płacenie okupu nie gwarantuje odzyskania wszystkich danych, a może zachęcić przestępców do ponownych ataków, ostrzegają eksperci. Podkreślają, że każda firma, niezależnie od branży i stopnia przygotowania, może w każdej chwili paść ofiarą cyberprzestępców.

Jak podaje Rzeczpospolita w Polsce blisko 20 proc. firm padła ofiarą tzw. ransomware, a niemal 40 proc. z nich zapłaciło przestępcom, by nie stracić swoich danych. Do jednego z najgłośniejszych ataków doszło w lipcu 2024 r, kiedy grupa RansomHub zamieściła post o ataku ransomware na Polską Grupę Dealerów (171 największą firmą w Polsce), podając dane osobowe jej klientów.

Bieżący krajobraz

Rok 2024 przyniósł drastyczne zmiany w krajobrazie zagrożeń ransomware. Choć Lockbit – niegdyś dominująca grupa – przeżywa poważny kryzys, to na jej miejsce pojawiły się nowe zagrożenia, w tym RansomHub, który szybko zyskał na znaczeniu, wywierając presję na organizacje w USA i Europie.

RansomHub, która pojawiła się w lutym 2024 roku, już we wrześniu odpowiadała za aż 19% wszystkich ofiar ransomware. Model działania tej grupy opiera się na RaaS – umożliwiając współpracownikom przeprowadzanie ataków z użyciem ich infrastruktury i narzędzi. Co ciekawe, grupa RansomHub wprowadziła funkcję zdalnego szyfrowania danych, która pozwala na unikanie wykrycia przez tradycyjne systemy ochrony.

Szybki wzrost RansomHub i ich zaawansowane taktyki, takie jak zdalne szyfrowanie, kształtują nowy krajobraz ransomware. Kluczowe jest, aby organizacje stosowały nowoczesne rozwiązania oparte na sztucznej inteligencji i proaktywne zapobieganie zagrożeniom, wyprzedzając pojawiające się zagrożenia – powiedział Sergey Shykevich, menedżer grup produktów oraz R&D w Check Point Software Technologies

Upadek Lockbit: Czy złoty wiek na pewno minął?

Lockbit, który jeszcze dwa lata temu odpowiadał za 40% ataków, po policyjnych operacjach z początku 2024 roku, zmaga się z dużymi trudnościami. We wrześniu grupa odpowiadała już tylko za 5% ataków ransomware, a 40% z nich to „recykling” starych danych, co sugeruje, że grupa próbuje stworzyć pozory aktywności. Choć jej wpływy osłabły, Lockbit nadal próbuje utrzymać się na rynku, wykorzystując swoją rozległą sieć współpracowników i atakując rentowne sektory, takie jak przemysł i logistyka.

Grupy przestępcze ewoluują i opracowują coraz bardziej zaawansowane techniki, w tym model „ransomware-as-a-service” (RaaS), gdzie nawet osoby bez zaawansowanej wiedzy technicznej mogą uruchamiać ataki. Nowym standardem staje się kradzież danych zamiast ich szyfrowania, co jeszcze bardziej komplikuje obronę przedsiębiorstw.

Obecnie ransomware staje się coraz bardziej wyrafinowane, a cyberprzestępczość – coraz bardziej zorganizowana. Zdaniem ekspertów, kluczem do ochrony staje się wdrożenie systemów opartych na sztucznej inteligencji, które umożliwiają wczesne wykrywanie i neutralizację zagrożeń w czasie rzeczywistym. Dodatkowo, architektura zero-trust – czyli brak zaufania do jakiegokolwiek użytkownika wewnątrz czy na zewnątrz sieci – może znacząco zredukować ryzyko ataku.