Företag lyckas inte försvara sig mot ransomware-attacker.
Detta enligt Veeams Ransomware Trends Report, som visar att 72 procent av verksamheter delvis eller helt har fått sin säkerhetskopierade data attackerad.
Detta har i hög grad påverkat möjligheten att återställa data utan att betala lösensumman.Veeam Software, ledare inom säkerhetskopierings-, återställnings- och datahanteringslösningar för modernt dataskydd, har genom rapporten upptäckt att 80 procent av framgångsrika attacker riktat sig mot kända sårbarheter – vilket förstärker vikten av att patcha och uppgradera sin programvara. Nästan alla angripare försökte förstöra säkerhetskopior för att inaktivera offrets förmåga att återhämta sig utan att betala lösensumman.
Veeam 2022 Ransomware Trends Report presenterar resultaten från ett oberoende analysföretag som undersökte 1 000 IT-chefer vars verksamheter har attackerats av ransomware minst en gång under de senaste 12 månaderna, vilket gör rapporten till en av de största i sitt slag. Studien undersöker de viktigaste lärdomarna från dessa incidenter, deras inverkan på IT-miljöer och stegen som har vidtagits för att implementera moderna dataskyddsstrategier som säkerställer kontinuitet i verksamheten. Rapporten undersöker specifikt fyra IT-roller, CISO:er, säkerhetsexperter, administratörer inom säkerhetskopiering och IT-drift, för att förstå anpassningen av cyberberedskap i organisationer.
– Kidnappningsprogram gör det lättare att stjäla data vilket kräver ett ökat samarbete från organisationer i alla branscher för att maximera förmågan att åtgärda och återhämta sig utan att betala lösensumman, säger Danny Allan, CTO på Veeam. Att betala cyberkriminella för att återställa data är ingen dataskyddsstrategi. Det finns ingen garanti för att data kan återställas, riskerna med skadat rykte och förlust av kundernas förtroende är höga, och det värsta av allt, detta skapar en självuppfyllande profetia som belönar kriminell verksamhet.
Att betala lösensumma är inte en strategi för återställning
Av de undersökta organisationerna betalade majoriteten (76 procent) av offren lösensumman för att avsluta en attack och återställa data.52 procent betalade lösensumman och kunde återställa data, medan 24 procent betalade lösensumman men kunde inte återställa data, vilket betyder att en av tre att betalda lösensummor inte leder till att man får tillbaka sin data. Det är anmärkningsvärt att 19 procent av verksamheterna inte betalade lösensumman eftersom de kunde återställa sina egna uppgifter.
Detta är vad de återstående 81 procent av offren måste sträva efter – att återställa data utan att betala lösensumman.
– Ett av kännetecknen för en stark modern dataskyddsstrategi är ett engagemang för en tydlig policy där verksamheten aldrig kommer att betala lösensumman, utan i stället göra allt som står i dess makt för att förhindra, åtgärda och återhämta sig från attacker, fortsätter Allan. Trots det omfattande och oundvikliga hotet från ransomware är bilden av företag som hjälplösa inför detta hot inte korrekt. Utbilda anställda och se till att de tillämpar oklanderlig digital hygien; utför regelbundna rigorösa tester av dina dataskyddslösningar och protokoll; och skapa detaljerade affärskontinuitetsplaner som förbereder nyckelpersoner för värsta möjliga scenarier.
Förebyggande arbete kräver noggrannhet från både IT och användare
Attackytorna för de kriminella är mångsidiga. Cyberkriminella får ofta först tillgång till produktionsmiljöer genom att användare klickar på skadliga länkar, besöker osäkra webbplatser eller får nätfiske-e-postmeddelanden vilket visar på att många incidenter hade kunnat undvikas. Efter att ha fått tillgång till miljön var det mycket liten skillnad i infektionsfrekvensen mellan datacenterservrar, plattformar för distansarbete och molnbaserade servrar.
I de flesta fall utnyttjade inkräktarna kända sårbarheter, inklusive vanliga operativsystem och hypervisorer, såväl som NAS-plattformar och databasservrar, och vände på varje sten för att utnyttja all opatchad och gammal programvara de kunde komma över. Det är anmärkningsvärt att betydligt högre infektionsfrekvenser rapporterades av säkerhetsexperter och administratörer inom säkerhetskopiering, jämfört med IT-drift och CISO:er, vilket antyder att de som är närmare problemet ser ännu fler av problemen.
Återhämtning börjar med oföränderlighet
Respondenterna i undersökningen bekräftar att 94 procent av angriparna försökte förstöra säkerhetskopieringsarkiv och i 72 procent av fallen var denna strategi delvis framgångsrik. Detta borttagande av en verksamhets livlina för återhämtning är en populär attackmetod eftersom det ökar sannolikheten för att de drabbade inte ska ha något annat val än att betala lösensumman. Det enda sättet att skydda sig mot detta scenario är att ha minst en oföränderlig (immutabel) kopia eller ett ”air gap” inom dataskyddet, vilket 95 procent av de vi tillfrågade uppgav att de har nu. Faktum är att många verksamheter uppgav att de hade en viss nivå av oföränderlighet eller air-gap i mer än en nivå inom sin disk-, moln- och bandstrategi.
Några av de viktigaste resultaten från Veeam 2022 Ransomware Trends Report är:
- Orkestrering spelar en viktig roll: För att proaktivt säkerställa återställning av sina system automatiserar var sjätte (16 procent) IT-team valideringen och återställningsmöjligheten av sina säkerhetskopior för att säkerställa att deras servrar är återställningsbara. Under återställningen efter en ransomware-attack använder 46 procent av de tillfrågade en isolerad “sandlåda” eller iscensättning/testområde för att säkerställa att deras återställda data är ren innan de återinför systemen i produktion.
- Organisationens anpassning måste förenas: 81 procent anser att deras organisations strategier för cyber- och affärskontinuitet/katastrofåterställning är anpassade. Men 52 procent av de tillfrågade anser att interaktionen mellan dessa team kräver förbättring.
- Att variera lagringen är nyckeln: Nästan alla (95 procent) organisationer har minst en oföränderlig kopia eller en skyddsnivå med air-gap, 74 procent använder molnarkiv som erbjuder oföränderlighet; 67 procent använder lokala disklager med oföränderlighet eller låsning; och 22 procent använder band som har air-gap. Oavsett oföränderliga kopior och utöver från disklager så lagras 45 procent av produktionsdata fortfarande på band och 62 procent använder en molnlösning någon gång under deras datalivscykel.