Podle očekávání studie potvrdila význam zálohování, když náklady na obnovu dat byly dvojnásobné u organizací, které zaplatily výkupné za dešifrování (průměrně 750 000 dolarů) v porovnání s organizacemi, které k obnově dat použily zálohy. Zaplacení výkupného navíc obvykle znamenalo delší dobu obnovy – 45 % organizací, které použily zálohy, se po útoku ransomwaru zotavilo do týdne, na rozdíl od 39 % organizací, které zaplatily výkupné.

„Míra zašifrování dat ransomwarem se po dočasném poklesu během pandemie vrátila na velmi vysokou úroveň, což je znepokojující. Tvůrci ransomwaru zdokonalují metody útoků a také své útoky zrychlují, aby zkrátili dobu, během které mohou obránci jejich plány narušit,“ řekl Chester Wisniewski, technický ředitel společnosti Sophos.

„Zaplacením výkupného se náklady na incidenty výrazně zvyšují. Většina obětí navíc není schopna obnovit všechny své soubory pouhým zakoupením šifrovacích klíčů, ale musí část z nich obnovit také ze záloh. Vyplácení výkupného nejen obohacuje zločince, ale také zpomaluje reakci na incident a zvyšuje náklady v již tak zničující situaci,“ upozornil Wisniewski.

Při analýze hlavních příčin ransomwarových útoků se nejčastěji objevovalo zneužití zranitelností (ve 36 % případů), následované kompromitací přihlašovacích údajů (ve 29 % případů).

Mezi další klíčové poznatky uvedené ve studii patří:

• Ve 30 % případů, kdy byla data zašifrována, byla současně i odcizena, což naznačuje, že tato metoda „dvojího poškození“ (šifrování dat a jejich exfiltrace) se stává běžnou.
• Nejvíce ransomwarových útoků bylo zaznamenáno ve vzdělávacím sektoru, kde 79 % dotázaných vysokoškolských organizací a 80 % organizací nižšího stupně vzdělávání uvedlo, že se stalo obětí ransomwaru.
• Celkově 46 % dotázaných organizací, jejichž data byla zašifrována, zaplatilo výkupné. Mnohem častěji však platily větší organizace. Výkupné zaplatila více než polovina podniků s tržbami 500 milionů dolarů a více, přičemž nejvyšší podíl zaznamenaly podniky s tržbami přes 5 miliard dolarů. Částečně to může být způsobeno tím, že větší společnosti mají s větší pravděpodobností uzavřenou samostatnou pojistnou smlouvu pro případ kybernetických útoků, která se vztahuje i na platby výkupného.

„Dvě třetiny organizací již druhým rokem hlásí, že se staly oběťmi ransomwaru, takže jsme pravděpodobně dosáhli stabilní úrovně. Klíčem ke snížení tohoto podílu je snaha o zásadní zkrácení doby detekce i zrychlení reakce. Lidmi vedené vyhledávání hrozeb je velmi účinné při zastavování těchto zločinců na jejich cestě, ale prošetření upozornění a odstranění útočníků ze systémů musí probíhat v řádu hodin a dnů, nikoli týdnů a měsíců. Zkušení analytici dokáží rozpoznat vzorce aktivního útoku již během několika minut a mohou okamžitě začít jednat. Tato schopnost pravděpodobně představuje rozdíl mezi třetinou organizací, které zůstávají v bezpečí, a dvěma třetinami, které nikoli. Aby se mohly organizace účinně bránit, musí být dnes v pohotovosti 24 hodin denně, sedm dní v týdnu,“ dodává Wisniewski.