Размер выкупа составляет примерно 15% от общей стоимости ущерба от атак программ-вымогателей
Финансовый урон, который наносит ransomware (программа-вымогатель) атакуемой организации примерно в семь раз превышают сумму выкупа, требуемую хакерами. Если считать в процентном отношении, то это всего 15%, считают исследователи в области кибербезопасности.
Сюда входят финансовые затраты, связанные с ликвидацией последствий инцидента, восстановлением системы, судебными издержками, расходами на мониторинг и общим воздействием на бизнес.
Атаки Ransomware обычно связаны с кражей данных компании и шифрованием систем (баз данных), чтобы вынудить жертву заплатить за расшифровку файлов и избежать утечки данных.
Исследователи Check Point собрали статистику по ransomware, проанализировав данные из открытых источников.
Определение суммы выкупа
Назначая сумму выкупа, хакеры, похоже, следуют определенной схеме, основанной на финансовых данных жертвы, чтобы определить, сколько просить.
Согласно анализу Check Point, сумма выкупа обычно составляет от 0,7% до 5% от годового дохода жертвы, при этом средний процент составляет 2,82%.
Многие преступные группировки предлагают скидки за быструю оплату, от 20% до 25%, если выкуп выплачивается в течение нескольких дней. Такие мощные и безжалостные группировки как банда Conti, используя свою репутацию беспощадных злодеев-вымогателей, могли предлагать жертвам "дисконт" при быстрой оплате выкупа.
Оценка воздействия
Общее воздействие атаки ransomware на финансовые показатели организации напрямую связано с продолжительностью инцидента - от шифрования до полного восстановления системы.
В 2021 году организации продемонстрировали лучшую способность справляться с тактикой двойного вымогательства, что значительно сократило продолжительность атаки.
Однако такая тактика двойного вымогательства влечет за собой дополнительные расходы для пострадавшей организации, которой теперь приходится иметь дело с потерей доверия клиентов и долгосрочным репутационным ущербом.
При атаке ransomware пострадавшей организации приходится покрывать расходы, связанные с потерей дохода из-за нарушения работы бизнеса, юридическими процедурами, реагированием на инцидент и устранением последствий, обнаружением и удалением вредоносного ПО, восстановлением данных из резервных копий, привлечением сторонних экспертов и т. д.
Даже если организация заплатит выкуп, избежать дальнейших финансовых потерь не удастся, а восстановление систем с использованием ключей расшифровки, полученных от злоумышленников, зачастую происходит медленнее, чем при использовании резервных копий.
"Большинство других потерь, включая затраты на реагирование и восстановление, судебные издержки, затраты на мониторинг и т.д., применяются независимо от того, было ли заплачено требование о вымогательстве или нет. 2020 год показал, что средняя общая стоимость атаки ransomware более чем в семь раз превышает средний размер выплаченного выкупа."
- Check Point
Предотвращение инцидентов в первую очередь является самым важным элементом, гораздо более важным, чем использование самой передовой системы реагирования на инциденты.
С точки зрения действующего лица
Банды Ransomware и операторы крупных программ ransomware-as-a-service (RaaS) понимают хрупкое экономическое равновесие, которое возникает, и принимают меры, чтобы сделать оплату наиболее практичным вариантом.
Они увязывают выплату выкупа с расходами на сопутствующий ущерб при переговорах с жертвой, представляя вариант оплаты как более выгодный с финансовой точки зрения.
На самом деле, разработчики ransomware часто упоминают о побочном ущербе в переговорах, например, используя штрафы за нарушение GDPR (из-за утечки данных клиентов) в качестве аргумента для вымогательства.
Несмотря на все действия правоохранительных органов против этих групп хакеров и эволюцию тактики защиты, ransomware продолжает распространяться и ставить новые рекорды.
И атакующие, и защитники вынужденно приспосабливаются к новым реалиям, навязанным постоянно меняющимся обстоятельствами, и ни те, ни другие не могут позволить себе отстать в этой гонке.