Atacatorii s-au specializat în identificarea punctelor slabe ale potențialelor victime. Țintele variază de la spitale, școli și autorități locale, la infrastructuri cheie (tratarea apei și conductele de combustibil). Atacatorii și-au perfecționat tactica, iar creatorii de ransomware își „francizează” instrumentele. Atacurile ransomware au loc aproape în fiecare zi, devenind un adevărat flagel.
Dinamica din jurul ransomware trebuie să se schimbe. Răscumpărarea este, uneori, inevitabilă, dar ar trebui să fie ultimul pas, nu primul. Asigurarea cibernetică ar trebui plătită victimelor, nu atacatorilor, iar guvernele ar trebui să-și știe rolul în asistarea victimelor, atât din punct de vedere tehnic, cât și financiar.
Atacul Conti împotriva sistemului de sănătate al Irlandei, Health Service Executive (HSE), arată clar gravitatea amenințării. În pandemie, atacatorii au paralizat rețeaua, provocând întreruperi ale serviciilor vitale și anularea programărilor medicale. După publicarea cheii de decriptare, atacatorii au încercat să obțină bani de la HSE, amenințând că vor publica datele „sensibile”.
Aceste atacuri au nevoie de multă implicare a hackerilor, atât pentru infectare, cât și pentru identificarea clară a victimei, putând estima răscumpărarea ce va fi plătită.
De obicei, după astfel de atacuri se pune întrebarea dacă victima și-a securizat suficient rețeaua. Învinovățirea sa exclusivă este prea simplistă și denaturează înțelegerea motivului pentru care ransomware-ul are succes uimitor. Criticile exagerate încurajează tot mai multe victime să plătească, pe ascuns, recompensa, și îi face uitați pe făptași.
Infractorii ransomware au printre cele mai performante tehnici și resurse cu care operează. Conform Chainalysis, grupurile de ransomware au câștigat aproape 350 milioane dolari în 2020, cu 311% mai mult decât în 2019, adică un buget mai mare pentru atacuri.
Guvernul irlandez, sub presiune în creștere, trebuie lăudat pentru neplata răscumpărării, mai ales dacă restaurarea serviciilor este lentă sau dacă date „sensibile” sunt publicate.
Din păcate, o problemă este că plata ransomware parcă a devenit un cost. Răscumpărarea este plătită deoarece costul este considerat mai mic decât cel al restaurării sistemelor sau pentru că este acoperită de asigurarea cibernetică.
Asigurările ar trebui să fie plătite victimelor, pentru a-și restabili operațiunile, chiar dacă ar putea costa mai mult pe termen scurt, însă aceasta este modalitatea de a elimina veniturile din ransomware și a descuraja atacurile.
Guvernele trebuie să se implice mai mult. Dacă accentul a fost pus pe îndrumări și pe reglementările de securitate și raportare pentru organizațiile critice, este nevoie de o abordare mai strategică. Multe organizații nu au resursele tehnice necesare pentru recuperarea rapidă a datelor, iar pentru a stimula neplata, guvernele ar trebui să ia în considerare și furnizarea de sprijin tehnic și financiar direct victimelor. Posibilitatea publicării datelor furate obligă organizațiile să plătească, devenind un instrument de extorcare din ce în ce mai puternic.
În cazul HSE, o decizie judecătorească restricționează orice partajare, prelucrare, vânzare sau publicare a datelor furate. Deși rareori descurajează infractorii cibernetici, valoarea reală a deciziei este reducerea riscului ca informațiile furate să fie făcute publice, diminuând presiunea asupra victimelor de a plăti răscumpărare.
Eliminarea dinamicii toxice din jurul ransomware nu va fi ușoară. Este clar și că lucrurile se vor îmbunătăți doar când detectarea și apărarea vor fi eficiente, reducând atracția financiară. Presiunea asupra victimelor este tot mai mare, iar atacatorii își vor dubla eforturile în caz de rezistență. Însă dacă rezistența va crește, succesul ransomware va fi mai dificil, bugetele infractorilor devenind tot mai subțiri.
Symantec este una din marile firme de securitate din lume ale cărei produse sunt distribuite în România de compania SolvIT Networks.