Kad firmu napadnu hakeri i zaključaju sve podatke: Platiti otkupninu ili ne

Ransomver je, kako ukazuju u Nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima (CERT), vrsta zlonamernog softvera ili malvera, koji je osmišljen tako da uskraćuje pristup IKT sistemu ili podacima dok otkupnina ne bude plaćena.

"Ransomver se obično širi putem fišing poruka elektronske pošte ili nenamerno posećujući zaražene internet stranice", ukazuje CERT u preporukama za preventivnu zaštitu od ransomvera.
Ransomver, objašnjava se, može da ima velike posledice kako za individualne korisnike, tako i za kompanije.

"Svaki korisnik koji čuva važne podatke na računaru ili mreži je u riziku, uključujući javni i privatni sektor, kao i druge subjekte koji predstavljaju kritičnu infrastrukturu. Oporavak može biti težak proces, koji u određenim slučajevima zahteva i korišćenje usluga stručnih lica da bi se otključale inficirane datoteke, a neke žrtve najčešće plaćaju otkupninu, u nadi da će dobiti odgovarajuće ključeve za otključavanje inficiranih datoteka. Međutim, ne postoji garancija da će se plaćanjem otkupnine dobiti navedeni ključevi", upozorava CERT.

I u kompaniji Kasperski ističu da ransomver napad spada u najupornije i najopasnije sajber pretnje današnjice, sa kojom se već susreo veliki broj kompanija.

"Zamislite da se probudite i otkrijete da su najvažniji podaci vaše organizacije zaključani iza neprobojnog digitalnog zida — a da je jedini ključ otkupna poruka. Ipak, plaćanje otkupnine nikako ne garantuje rešenje. Sajber kriminalci mogu jednostavno da odluče da nikada ne podele alate za dekripciju i tako podaci ostaju oštećeni ili samo delimično vraćeni", upozoravaju u ovoj kompaniji.

Ovi napadi postaju sve češći i sofisticiraniji.

Rastući talas ransomver napada

Napadi ransomverom su poslednjih godina sve češći i sve prisutniji. Ovi napadi danas ne targetiraju samo privatne firme, već i ključne organizacije u javnom sektoru poput zdravstva, obrazovanja i državne uprave.

U maju 2017. godine, napad WannaCry ransomverom postao je vest širom sveta, a posledice se i dalje osećaju jer mnoge organizacije nisu potpuno ispravile ranjivosti koje je napad iskoristio. Ovaj ransomver je ciljao ranjivost na računarima koji koriste Microsoft Windows operativni sistem. Kada je napad izveden, pogođeno je više od 200.000 računara širom sveta. Korisnicima je zabranjen pristup njihovim fajlovima i prikazana im je poruka koja je zahtevala da plate otkupninu u bitkoinima kako bi povratili pristup. Procenjeno je da je napad WannaCry ransomverom 2017. godine izazvao finansijske gubitke od četiri milijarde dolara.

Istraživanje kompanije Kasperski, koje obuhvata 2022. i 2023. godinu otkrilo je porast ransomver grupa koje izvode ciljane napade. Rezultati su pokazali dramatičan rast od 30 odsto u broju ovih grupa širom sveta u poređenju sa 2022. godinom, uz povećanje broja poznatih žrtava njihovih napada od 71 procenat.

Kada plaćanje deluje neizbežno

Iako je opšti konsenzus da je plaćanje otkupnine pogrešan korak, kompanije odluku o tome donose u svakom pojedinačnom slučaju.
U kritičnim sektorima kao što je zdravstvo, ransomver napad može uticati na brigu o pacijentima, sa posledicama koje potencijalno mogu ugroziti živote.

Kompanija United Health je potvrdila da je ransomver napad na Change Healthcare jedinicu u februaru uticao na oko 190 miliona ljudi u SAD, što je skoro duplo više od prethodnih procena. U decembru 2024. godine, Artivion, dobavljač tkiva i opreme za operacije srca, prijavio je sajber napad koji je kompromitovao IT infrastrukturu.

Napadači su ukrali podatke sa pogođenih računara i šifrovali elemente sistema kompanije.

Predlog britanske vlade, o čemu je pisao Gardijan, da se javnim institucijama zabrani plaćanje otkupnine naglašava potrebu za sistemskim rešenjima. Javne ustanove poput škola i bolnica mogu da budu mete, a zabrana plaćanja smanjila bi podsticaj napadačima.

Ipak, ova politika otvara i pitanja o podršci za žrtve koje se nađu u bezizlaznoj situaciji.

Tri mita i rizici

Fedor Sinicin iz kompanije Kasperski izdvojio je uobičajene mitove da plaćanje otkupnine uvek pomaže i ukazao na strategije ublažavanja rizika koje mogu pomoći organizacijama da se odbrane od ransomver napada.

Mit broj 1: Plaćanje otkupnine obezbeđuje povraćaj podataka

Nedavna istraživanja pokazuju da više od polovine žrtava ransomver napada odlučuje da plati ključeve za dekripciju.

Procenat isplata otkupnine porastao je za 10 procentnih poena u 2024. u poređenju sa 2023. godinom. Organizacije mogu primeniti hibridnu strategiju — kombinujući plaćanje otkupnine sa drugim metodama poput rezervnih kopija podataka — a verovatnoća plaćanja često zavisi od više faktora, kao što je dostupnost rezervnih kopija. Ipak, porast isplata predstavlja zabrinjavajući trend jer plaćanje ne garantuje da će sajber kriminalci vratiti ukradene podatke: 35 odsto kompanija koje su platile otkupninu nije dobilo dekripcioni ključ ili nije uspelo da povrati podatke.

Još gore je to što se time podstiču ponovljeni napadi.

Studije pokazuju da su organizacije koje jednom plate verovatno meta i u budućnosti, čime se ciklus ransomver napada nastavlja.

Mit broj 2: Plaćanje nema alternativu

Proaktivne mere kao što su rezervne kopije podataka, zaštita krajnjih tačaka, testovi penetracije, skeniranje ranjivosti i obuka zaposlenih mogu smanjiti rizik od ransomver napada, ukazuju u kompaniji Kasperski. Međutim, postoje situacije kada je organizacija već zaražena i nema rezervne kopije - u tom trenutku može delovati da je plaćanje jedina opcija. To ipak nije uvek tačno.

Besplatni resursi nude alate za dekripciju i smernice, pružajući održive alternative plaćanju.

U slučajevima kada je organizacija pogođena ransomver napadom i trenutno ne postoji alat za dekripciju, preporučljivo je sačuvati kritične enkriptovane fajlove. Moguće je da će održivo rešenje za dekripciju postati dostupno kasnije, npr. kroz aktuelna istraživanja u oblasti sajber bezbednosti ili ako organi reda dobiju pristup infrastrukturi napadača.

Mit broj 3: Napadači će se uzdržati od zloupotrebe ili curenja ukradenih podataka ako se otkup plati

Ransomver grupe često javno objavljuju svoje žrtve na dark vebu, tajnim forumima, pa čak i na mejnstrim platformama kao što je X (nekadašnji Tviter), koristeći pritisak javnosti i odbrojavanje kako bi iznudile isplatu za neobjavljivanje osetljivih podataka.

Međutim, čak i nakon što se otkup plati, sajber kriminalci zadržavaju ukradene podatke, ukazuje Sinicin.

Organizacije bi, ističe, trebalo da imaju na umu da se ti podaci mogu iskoristiti za nove napade, poput fišinga, ili prodati drugim zlonamernim akterima.

"Uvidi koje pruža Digital Footprint Intelligence usluga kompanije Kaspersky otkrivaju da pretnje po kompanije na dark vebu često uključuju trgovinu kompromitovanim akreditivima, internim dokumentima i bazama podataka, kao i neovlašćen pristup korporativnim sistemima. Iako podaci analizirani u istraživanju potiču iz različitih napada, npr. info-stilera ili bezbednosnih proboja, razumno je pretpostaviti da napadi ransomverom takođe mogu biti jedan od izvora", navodi Fedor Sinicin.

Na kraju, plaćanje otkupnine ne garantuje da će ukradeni podaci biti obrisani ili zadržani; napadači i dalje mogu posedovati te informacije i koristiti ih kako im odgovara.

Cena ransomver napada

Pored plaćanja otkupnine, ransomver napadi nameću velike troškove za sanaciju koji mogu oslabiti organizacije.

"Gubici zbog zastoja mogu zaustaviti poslovanje, što dovodi do značajnog opadanja prihoda, dok visokoprofilisani napadi često krnje poverenje kupaca i narušavaju vrednost brenda. Novčane kazne takođe mogu povećati finansijski teret ako organizacija ne prijavi napad ili ne poštuje zakone o zaštiti podataka. Veliki ransomver napad je izveden na Advanced Computer Software Group 2022. godine, što je pogodilo IT infrastrukturu. Nezavisni regulator za zaštitu podataka u Velikoj Britaniji ICO je utvrdio da ovaj pružalac softverskih usluga nije preduzeo odgovarajuće korake da zaštiti podatke i izrečena je kazna od šest miliona funti", ukazuju u kompaniji Kasperski.

CERT: Preporuke za zaštitu

Nacionalni CERT preporučuje sledeće mere predostrožnosti kako bi se korisnici zaštititli od pretnji ransomverom:

- Potrebno je da korisnici redovno ažuriraju operativni sistem, kao i softver i antivirusna rešenja, najnovijim verzijama na uređajima.

Aplikacije i operativni sistemi sa zastarelim verzijama su meta većine napada. Redovno krpljenje ranjivog softvera je neophodno da bi se sprečila zloupotreba otkrivene ranjivosti. Razmislite o korišćenju centralizovanog sistema upravljanja zakrpama (eng. centralized patch management system).

- Kreiranje rezervnih kopija na dnevnom nivou ili češće, ukoliko za to postoji potreba.

Detalji o tome kako se kreiraju rezervne kopije podataka dostupne su na sajtu CERT-a OVDE.

"Vraćanje podataka iz sigurne rezervne kopije je najbrži način da se povrati pristup podacima", ukazuje CERT.

- Korisnici ne treba da kliknu na linkove ili otvaraju priloge koji stižu sa nepoznatih i sumnjivih mejl adresa.

- Ne ostavljajte lične podatke kada odgovarate na imejl poštu, neželjeni telefonski poziv ili tekstualnu poruku.

"Fišing napadači će pokušati da prevare zaposlene i instaliraju zlonamerni softver, ali se mogu i lažno predstaviti tvrdeći da su iz IT-a. Obavezno se obratite svom IT odeljenju ukoliko primite sumnjive poruke ili pozive upućene vama ili kolegama", upozoravaju u CERT-u.

- Koristite antivirusni softver i firewall poznatih i odobrenih kompanija.

"Održavanje firewall-a i ažuriranje antivirusnog softvera su kritični. Podesite antivirusne i anti-malver programe da redovno skeniranje rade automatski", navodi CERT.

- Pridržavajte se sigurne prakse prilikom korišćenja Interneta.

Exploit kits koji se nalaze na kompromitovanim veb sajtovima se obično koriste za širenje zlonamernog softvera.

- Ako putujete, prethodno obavestite IT odeljenje, posebno ako ćete koristiti javne pristupne tačke za bežični internet (Wi-Fi).

Obavezno koristite pouzdanu virtuelnu privatnu mrežu (VPN) kada pristupate javnoj Wi-Fi mreži.

Ako do napada ipak dođe...

Ukoliko se ransomver napad uspešno izvede, Nacionalni CERT preporučuje da:

- Ne plaćate otkupninu, jer time ohrabrujete i finansirate zlonamerne napadače.

"Čak i ako je otkupnina plaćena, nema garancije da ćete povratiti pristup svojim podacima, jer često ključevi koje dobijete za uzvrat, delimično ili uopšte neće otključati inficirane datoteke, odnosno fajlove", upozorava CERT.

- Prijavite incident nadležnim organima kako bi vam pomogli u rešavanju incidenta, jer postoji mogućnost da je isti tip incidenta prijavljen od strane drugih lica, pa je moguće da postoji dekripcioni ključ kojim možete otključati vaše podatke.

Uputstvo za prijavu incidenta dostupno je, takođe, na sajtu Nacionalnog CERT-a.