Det koster 700% mere end løsesummen at blive ramt af Ransomware

Et forskerhold fra Checkpoint har analyseret de sikkerhedsmæssige konsekvenser af et ransomware-angreb. De inkluderer de andre omkostninger, der er cirka 700% højere end den løsesum, der kræves af trusselsaktørerne. Herhjemme er det nogenlunde det samme billede.

Analyserne omfatter skadesvirkningen af den økonomiske byrde, der pålægges af hændelsesresponsindsatsen, systemgendannelse, juridiske gebyrer, overvågningsomkostninger og den samlede virkning af forretningsforstyrrelser.

Ransomware-angreb involverer typisk at stjæle data fra virksomheden og kryptere systemer for at presse offeret til at betale for at dekryptere filer og for at undgå en datalækage.

Forskere ved Check Point (en Firewall leverandør) udarbejdede ransomware-statistikker ved at analysere data fra offentlige kilder og flere tusinde cyberangreb i Kovrr-databasen. Kovrr er en cyberrisiko- og cyberforsikringsekspert.

Indstilling af løsepengekravet

Startende med mængden af løsesummen, trusselsaktørerne ser ud til at følge et specifikt mønster baseret på offerets økonomiske poster for at fastslå, hvor meget der skal spørges.

Ifølge Check Points analyse, løsesumskravet er typisk mellem 0.7% og 5% af offerets årlige indtægter, med den gennemsnitlige procentdel er 2.82%. Hackerne skelner ikke til fortjeneste, men udelukkende omsætning.

I Danmark har mange virksomheder dog ikke offentlige omsætningstal da man lovmæssigt har lov at skjule dette i Erhvervssstyrelsen, der offentligegør regnskaber, og i det tilfælde kommer man til at betale mere, men det er vor Gidselsforhandler’s opgave at forsvare dette synspunkt og forhandler rabatter.

Mange ransomware bander tilbyder rabatter for hurtige betalinger, spænder mellem 20% og 25%, hvis løsesummen betales inden for få dage.

Eb Contis forhandler der tilbyder rabat og forklaringer (Check Point)

Estimering af skadesvirkningen

Den samlede virkning af et ransomware-angreb på en organisations økonomi er direkte knyttet til hændelsens varighed, fra kryptering til fuld systemgendannelse.

I 2021 demonstrerede organisationer en bedre evne til at håndtere dobbeltafpresningstaktikken, hvilket reducerede angrebsvarigheden betydeligt.

Varighed af ransomware-angreb

Denne dobbeltafpresningstaktik introducerer imidlertid ekstra omkostninger for den offeret, som skal håndtere, at deres kunder mister tillid og langsigtet omdømmeskade.

Når offeret rammes af ransomware, skal offeret dække omkostningerne ved tabt indkomst fra forretningsforstyrrelser, juridiske procedurer, hændelsesrespons og afhjælpning, opdagelse og sletning af malware, gendannelse af data fra sikkerhedskopier, kontrakt med tredjepartseksperter og mere.

Finansielle konsekvenser for ransomware ofre (Check Point)

Selvom organisationen betaler løsesummen, er der ingen måde at undgå yderligere økonomiske tab på, og gendannelse af systemer, der bruger dekrypteringsnøglerne fra angriberne, er oftest langsommere end at bruge sikkerhedskopier.

“De fleste andre tab, herunder svar- og restaureringsomkostninger, advokatomkostninger, overvågningsomkostninger osv., Anvendes, uanset om afpresningskravet blev betalt eller ej. Året 2020 viste, at de gennemsnitlige samlede omkostninger ved et ransomware-angreb var mere end syv gange højere end den gennemsnitlige løsesum, der blev betalt.”

– siger forskerne

 

At forhindre hændelserne i at ske i første omgang er det mest afgørende element, langt mere kritisk end at stole på det mest avancerede hændelsesresponssystem.

Fra skuespillerens perspektiv

Ransomware bander og operatører af store ransomware-as-a-service (Raas) programmer forstår den delikate økonomiske balance, der kommer i spil og træffer foranstaltninger for at holde betaling som den mest praktiske mulighed.

Hvad de gør er at forbinde løsesumbetalingen med omkostningerne ved sikkerhedsskader, når de forhandler med offeret, præsentere betalingsmuligheden som en mere økonomisk fordelagtig mulighed.

Faktisk bringer ransomware-aktører ofte omkostningerne ved sikkerhedsskader op i forhandlinger, som for eksempel at bruge GDPR-overtrædelsesbøder (på grund af kundedatalækage) som et afpresningsargument.

På trods af alle de retshåndhævende foranstaltninger mod disse trusselsgrupper, og udviklingen af forsvarstaktik, ransomware fortsætter med at sprede sig og bryde nye rekorder.

Både angribere og forsvarere tilpasser sig nye realiteter, der er pålagt af et stadigt udviklende landskab, og ingen af dem har råd til at sakke bagud i dette løb.

Hvad gør man hvis man er ramt af Ransomware?

Herhjemme i Danmark står det nogenlunde til på samme måde, som beskrevet herover. Der er stadig mange der vælger at betale, men den billigste og tillige den hurtigste løsning er at kontakte os der fra ca. 25.000 evt. kan dekryptere filerne fra Backup og driften, ofte selvom de er krypteret af ransomware banden.

Hvis du er ramt af Ransomware bør du lukke adgangen til Internettet og kontakte et REDTEAM, som kan være 1-5 sikkerhedskonsulenter, starter med en backup af backuppen, dernæst checker man med enkeltfiler at vore gælde dekrypteringsnøgler kan anvendes. Er det umuligt at dekryptere og man ikke kan rekonstruere data, kan man bruge vore Gidselsforhandlere der har kendskab til bandernes metoder og krav af erfaring. Gidselforhandlerens opgave er at have en god tone med banden og forhandle prisen ned. Dernæst at opnå garantier for nøgler f.eks. ved nøgle depot via aftale.

En vigtig undersøgelse om medarbejderhævn eller kriminalitet

De fleste Ransomware bander tilbyder forhandleravancer til dem der skaffer adgang. Der er tilfælde hvor hackere skriver til f.eks. IT chefer og medarbejdere og derfor melder det naturlige spørgsmål sig om der er medarbejdere som har grund til at skade virksomheden. Det kan også være medarbejdere der har ondt i økonomien. Disse kan nemt blive fristet af et par millioner på en udenlandsk bitcoin konto.

Medarbejderhævn og Medarbejderkriminalitet er mere eller mindre et mørkeområde i Danmark, så vi har ikke klare statistikker som her ovenfor anført, men det er der.

Det samme gælder medarbejdere i underleverandører som har adgang til nettet. Derfor foreslår vi en overvågning af mailservere, beskedsystemer og filer som slettes.

Det er naturligvis et ømfintligt område, men med vore scannere kan vi se mange ting.

Backup af Backuppen

Med nutidens deduplikering og backup af backuppen kan vore backup systemer holdes væk for ranmware hackere, dels fordi operativ systemet er Linux eller Unix varianter og dels fordi trafik kun kan køre en vej, fra arbejdsstationer og andre små servere til backuppen. Normalt installerere vi backup i et datacenter og en anden i et andet datacenter.

Vi leverer databackup med garanteret og historisk højeste oppetid i Danmark.

Michael Rasmussen har tilbudt Server Hosting Center i 10 danske byer og startede i 1992. I dag er 4 af disse datacentre A+, ISO27001, ISO22301, AICPA, ISAE 3402, PCI DSS certificeret. Vi bruger ikke kinessiske produkter såsom Lenovo m.v.

Kryptering sikrer mod kryptering

Men forebyggende bør man kryptere sine datalagre, det er nu den billigste og mest forebyggende løsning, da ransomware aktører ikke kan kryptere allerede krypterede filer og datalagringssystemet.

Dertil kommer at vi laver forbindelserne sådan at man installere en envejs firewall, der sikre at data kun kan komme til backup, ikke ud igen, uden selvstændig anmodning herom, der kommer på SMS og benytter OKTA SSO verificerings systemet.

Kontakt os gerne på 31971111 hvis du ønsker forebyggelse eller f.eks. en Penetrationstest.

Se vores Penetratrationstest der er nr. 1 i mange tests

 

Cybersikkerhed & Nyheder