Nakon sajber napada na IT sistem neke kompanije, a sve češće i na sisteme ustanova zdravstva, obrazovanja i državne uprave, zlonamerni napadači zahtevaju da im se plati otkupnina. To je uslov koji postavljaju kako bi firmi ili ustanovi “vratili” pristup podacima. Istraživanja pokazuju da čak više od polovine žrtava ransomver napada odlučuje da plati takozvane ključeve za dekripciju – iako stručnjaci ukazuju da plaćanje otkupnine ne pruža nikakve garancije i samo podstiče dalji sajber kriminal i ponavljanje napada.

Ransomver je, kako ukazuju u Nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima (CERT), vrsta zlonamernog softvera ili malvera, koji je osmišljen tako da uskraćuje pristup IKT sistemu ili podacima dok otkupnina ne bude plaćena. Obično je širi putem fišing poruka elektronske pošte ili nenamerno posećujući zaražene internet stranice, ukazuje CERT u preporukama za preventivnu zaštitu od ransomvera.

Može da ima velike posledice, kako za individualne korisnike, tako i za kompanije.

– Svaki korisnik koji čuva važne podatke na računaru ili mreži je u riziku, uključujući javni i privatni sektor, kao i druge subjekte koji predstavljaju kritičnu infrastrukturu. Oporavak može biti težak proces, koji u određenim slučajevima zahteva i korišćenje usluga stručnih lica da bi se otključale inficirane datoteke, a neke žrtve najčešće plaćaju otkupninu, u nadi da će dobiti odgovarajuće ključeve za otključavanje inficiranih datoteka. Međutim, ne postoji garancija da će se plaćanjem otkupnine dobiti navedeni ključevi – upozorava CERT, a prenosi N1.

I u kompaniji Kasperski ističu da ransomver napad spada u najupornije i najopasnije sajber pretnje današnjice, sa kojom se već susreo veliki broj kompanija.

– Zamislite da se probudite i otkrijete da su najvažniji podaci vaše organizacije zaključani iza neprobojnog digitalnog zida, a da je jedini ključ otkupna poruka. Ipak, plaćanje otkupnine nikako ne garantuje rešenje. Sajber kriminalci mogu jednostavno da odluče da nikada ne podele alate za dekripciju i tako podaci ostaju oštećeni ili samo delimično vraćeni – upozoravaju u ovoj kompaniji.

Napada je sve više i sve su sofisticiraniji

Napadi ransomverom su poslednjih godina sve češći i sve prisutniji. Ovi napadi danas ne targetiraju samo privatne firme, već i ključne organizacije u javnom sektoru poput zdravstva, obrazovanja i državne uprave.

U maju 2017. godine, napad WannaCry ransomverom postao je vest širom sveta, a posledice se i dalje osećaju jer mnoge organizacije nisu potpuno ispravile ranjivosti koje je napad iskoristio. Ciljao je na ranjivost na računarima koji koriste Microsoft Windows operativni sistem. Kada je napad izveden, pogođeno je više od 200.000 računara širom sveta. Korisnicima je zabranjen pristup njihovim fajlovima i prikazana im je poruka koja je zahtevala da plate otkupninu u bitkoinima kako bi povratili pristup. Procenjeno je da je napad WannaCry ransomverom 2017. godine izazvao finansijske gubitke od četiri milijarde dolara.

Istraživanje kompanije Kasperski, koje obuhvata 2022. i 2023. godinu otkrilo je porast ransomver grupa koje izvode ciljane napade. Rezultati su pokazali dramatičan rast od 30 odsto u broju ovih grupa širom sveta u poređenju sa 2022. godinom, uz povećanje broja poznatih žrtava njihovih napada od 71 procenat.

 
Kada plaćanje deluje neizbežno

Iako je opšti konsenzus da je plaćanje otkupnine pogrešan korak, kompanije odluku o tome donose u svakom pojedinačnom slučaju.

U kritičnim sektorima kao što je zdravstvo, ovakav napad može uticati na brigu o pacijentima, sa posledicama koje potencijalno mogu ugroziti živote.

Kompanija United Health je potvrdila da je ransomver napad na Change Healthcare jedinicu u februaru uticao na oko 190 miliona ljudi u SAD, što je skoro duplo više od prethodnih procena. U decembru 2024. godine, Artivion, dobavljač tkiva i opreme za operacije srca, prijavio je sajber napad koji je kompromitovao IT infrastrukturu.

Napadači su ukrali podatke sa pogođenih računara i šifrovali elemente sistema kompanije.

Predlog britanske vlade, o čemu je pisao Gardijan, da se javnim institucijama zabrani plaćanje otkupnine naglašava potrebu za sistemskim rešenjima. Javne ustanove poput škola i bolnica mogu da budu mete, a zabrana plaćanja smanjila bi podsticaj napadačima.

Ipak, ova politika otvara i pitanja o podršci za žrtve koje se nađu u bezizlaznoj situaciji.

Tri mita 

Fedor Sinicin iz kompanije Kasperski izdvojio je uobičajene mitove da plaćanje otkupnine uvek pomaže i ukazao na strategije ublažavanja rizika koje mogu pomoći organizacijama da se odbrane od ransomver napada.

Mit broj 1: Plaćanje otkupnine obezbeđuje povraćaj podataka

Nedavna istraživanja pokazuju da više od polovine žrtava ransomver napada odlučuje da plati ključeve za dekripciju.

Procenat isplata otkupnine porastao je za 10 procentnih poena u 2024. u poređenju sa 2023. godinom. Organizacije mogu primeniti hibridnu strategiju — kombinujući plaćanje otkupnine sa drugim metodama poput rezervnih kopija podataka — a verovatnoća plaćanja često zavisi od više faktora, kao što je dostupnost rezervnih kopija. Ipak, porast isplata predstavlja zabrinjavajući trend jer plaćanje ne garantuje da će sajber kriminalci vratiti ukradene podatke: 35 odsto kompanija koje su platile otkupninu nije dobilo dekripcioni ključ ili nije uspelo da povrati podatke.

Još gore je to što se time podstiču ponovljeni napadi.

Studije pokazuju da su organizacije koje jednom plate verovatno meta i u budućnosti, čime se ciklus ovih napada nastavlja.

Mit broj 2: Plaćanje nema alternativu

Proaktivne mere kao što su rezervne kopije podataka, zaštita krajnjih tačaka, testovi penetracije, skeniranje ranjivosti i obuka zaposlenih mogu smanjiti rizik od ransomver napada, ukazuju u kompaniji Kasperski. Međutim, postoje situacije kada je organizacija već zaražena i nema rezervne kopije – u tom trenutku može delovati da je plaćanje jedina opcija. To ipak nije uvek tačno.

Besplatni resursi nude alate za dekripciju i smernice, pružajući održive alternative plaćanju.

U slučajevima kada je organizacija pogođena ransomver napadom i trenutno ne postoji alat za dekripciju, preporučljivo je sačuvati kritične enkriptovane fajlove. Moguće je da će održivo rešenje za dekripciju postati dostupno kasnije, npr. kroz aktuelna istraživanja u oblasti sajber bezbednosti ili ako organi reda dobiju pristup infrastrukturi napadača.

Mit broj 3: Napadači će se uzdržati od zloupotrebe ili curenja ukradenih podataka ako se otkup plati

Ransomver grupe često javno objavljuju svoje žrtve na dark vebu, tajnim forumima, pa čak i na mejnstrim platformama kao što je X (nekadašnji Tviter), koristeći pritisak javnosti i odbrojavanje kako bi iznudile isplatu za neobjavljivanje osetljivih podataka.

Međutim, čak i nakon što se otkup plati, sajber kriminalci zadržavaju ukradene podatke, ukazuje Sinicin.

Organizacije bi, ističe, trebalo da imaju na umu da se ti podaci mogu iskoristiti za nove napade, poput fišinga, ili prodati drugim zlonamernim akterima.

– Uvidi koje pruža Digital Footprint Intelligence usluga kompanije Kaspersky otkrivaju da pretnje po kompanije na dark vebu često uključuju trgovinu kompromitovanim akreditivima, internim dokumentima i bazama podataka, kao i neovlašćen pristup korporativnim sistemima. Iako podaci analizirani u istraživanju potiču iz različitih napada, npr. info-stilera ili bezbednosnih proboja, razumno je pretpostaviti da napadi ransomverom takođe mogu biti jedan od izvora – navodi Fedor Sinicin.

Na kraju, plaćanje otkupnine ne garantuje da će ukradeni podaci biti obrisani ili zadržani; napadači i dalje mogu posedovati te informacije i koristiti ih kako im odgovara.

Pored plaćanja otkupnine, ovakvi napadi nameću velike troškove za sanaciju koji mogu oslabiti organizacije.

Koje su preporuke CERT-a za zaštitu, i šta ako do napada ipak dođe, pročitajte na sajtu N1.