Posljednjih godina sve veća sofisticiranost financijskih zločina motivirala je kibernetičke kriminalce da traže rupe u zakonu i izvode sve inovativnije napade. Obećanje značajne financijske dobiti čini da ti kibernetički kriminalci razviju nove tehnike i poboljšaju metode koje su već poznate, što je rezultiralo značajnim porastom iznuđivanja kibernetičkih napada.
Prema Verizonovom Izvješću o istrazi kršenja podataka za 2024., otprilike jedna trećina svih kršenja (32%) uključivala je napade ransomwareom ili neku drugu tehniku iznude. Čisti napadi iznude porasli su prošle godine i sada čine 9% svih kršenja. Ove brojke potvrđuju ono što je primijećeno u posljednje tri godine: kombinacija ransomwarea i drugih kršenja iznude činila je gotovo dvije trećine financijski motiviranih kibernetičkih napada, u rasponu od 59% do 66% u tom razdoblju.
Slično tome, u posljednje dvije godine, četvrtina financijski motiviranih napada (u rasponu od 24% do 25%) uključivala je tehniku izgovora, kategoriju napada društvenog inženjeringa, kada se stvori lažna priča ili uvjerljiva izlika da se žrtva uvjeri da otkrije osobne ili osjetljive podatke, od kojih je većina predstavljala slučajeve kompromisa poslovne e-pošte (BEC), koji uključuju slanje lažnih poruka e-pošte u ime tvrtke.
“ransomware napadi imaju razoran utjecaj na korporacije, kako financijski tako i tehnički, kao i ozbiljno narušavaju imidž tvrtki, Iako su posljedice grandiozne, ti napadi često počinju jednostavnim incidentima izvršenja, kao što je procurila vjerodajnica ili tehnika društvenog inženjeringa, Ove početne metode, često ignorirane od strane korporacija, mogu otvoriti vrata cyber upadima koji rezultiraju gubicima od više milijuna dolara i gubitkom povjerenja od strane klijenata, objašnjava Mauricio Paranhos, CCO brazilske Apura Cyber Intelligence, koji je surađivao s Verizonovim izvješćem.
Paranhos ističe da je razumijevanje scenarija cyber iznude temeljni ključ za tvrtke poput Apure da nastave razvijati niz rješenja i mjera za ublažavanje djelovanja kriminalaca Stoga je potrebno promatrati podatke i pokušati iz njih izvući što više informacija.
Jedan od troškova koji je najlakše kvantificirati je iznos povezan s plaćanjem otkupnine Analizirajući statistički skup podataka Centra za pritužbe na internetski kriminal (IC3) FBI-a ove godine, utvrđeno je da je prilagođeni medijan gubitka (nakon povrata sredstava od strane inspekcije) za one koji su platili otkupninu bio oko US$ 46.000. Ova brojka predstavlja značajno povećanje u odnosu na medijan prethodne godine, koji je iznosio US$ 26.000. Međutim, važno je uzeti u obzir da je samo 4% pokušaja iznude rezultiralo stvarnim gubitkom ove godine, u usporedbi s %.
Drugi način analize podataka je promatranje zahtjeva za otkupninom kao postotak ukupnog prihoda organizacija žrtava. Prosječna vrijednost početnog zahtjeva za otkupninom bila je ekvivalentna 1,34% ukupnog prihoda organizacije, s 50% zahtjeva u rasponu između 0,13% i 8,30%. Ova široka varijacija ukazuje na to da neki od najtežih slučajeva čak zahtijevaju do 24% ukupnog prihoda žrtve. Ovi rasponi vrijednosti mogu pomoći organizacijama da izvrše scenarije rizika s bližim pogledom na potencijalne izravne troškove povezane s napadom ransomwarea.
“Iako se moraju uzeti u obzir i mnogi drugi čimbenici, ovi podaci pružaju vrijednu polaznu točku za razumijevanje financijske dimenzije napada ransomwareom, Sve veća učestalost tih napada i raznolikost tehnika koje koriste kibernetički kriminalci pojačavaju potrebu za stalnim nadzorom i snažnim strategijama kibernetičke sigurnosti kako bi se ublažili rizici i financijski utjecaji povezani s tim zločinima.”, objašnjava Paranhos.
Upad u sustav ostaje glavni obrazac kršenja, za razliku od incidenata, gdje napadi uskraćivanjem usluge (DoS) još uvijek vladaju.Standardi društvenog inženjeringa i raznih pogrešaka značajno su porasli od prošle godine. S druge strane, standard Basic Web Application Attacks dramatično je pao sa svoje pozicije u DBIR-u za 2023. DBIR izvješće također predstavlja najrelevantnije MITRE ATT&CK tehnike i odgovarajuće kritične sigurnosne kontrole Centra za internetsku sigurnost (CIS) koje se mogu usvojiti za ublažavanje nekoliko od ovih standarda: upad u sustav, društveni inženjering, osnovni napadi na aplikacije, zlouporaba imovine, zlouporaba web aplikacija ili imovine.
“S ovim informacijama u ruci, organizacije mogu poboljšati svoju obranu i biti bolje pripremljene za suočavanje s izazovima koje postavljaju kibernetički kriminalci, čime se osigurava učinkovitija zaštita od kibernetičkih prijetnji koje se stalno razvijaju”, kaže stručnjak.
