Egy friss holland tanulmány szerint a zsarolóvírusos támadók jelentősen megemelik a váltságdíj összegét, ha azt észlelik, hogy áldozatuk rendelkezik kiberbiztosítással.

Egy hollandiai rendőr PhD-kutatása több száz zsarolóvírus incidenst elemzett, és ez egyértelműen kimutatta: a támadók első lépései között nem csak az esetleges mentések, recovery fájlok és shadow copy állományok törlése szerepel, nem csak esetlegesen ott felejtett password.txt állományok után kutatnak, hanem célzottan rákeresnek a rendszerekben az insurance (biztosítás) és policy (kötvény) szavakra is.

És ha ilyet találnak, akkor szabad szemmel is jól láthatóan alaposan megnyomják a ceruzájukat.

Az esettanulmány szerint érvényes kiberbiztosítás megléte esetén 2-3 szoros mértékben megemelik a követelt összeget. A doxing, azaz adatlopással kombinált zsarolóvírus támadás esetén az adatszivárgás miatti fenyegetés nagyobb nyomást helyez az áldozatokra, de az adatok arról is tanúskodnak, hogy a biztosított cégektől átlagosan 5 és félszer nagyobb összeget kérnek, mint a biztosítással nem rendelkezőktől.

A biztosított cégeknél átlagosan 708 ezer EUR (kb. 288 millió HUF) a követelt váltságdíj, míg a biztosítás nélkülieknél ugyanez átlagban "csak" 133 ezer eurót (hozzávetőleg 54 millió forint) tesz ki. A fizető áldozatok pedig úgy vélik, ezzel olcsóbban megússzák, mint a hosszas leállás miatti üzleti kár, a külsős szakértők díja, az adatok helyreállítás költsége, stb.

Már itt a blogban is boncolgattuk ezt a témát, hogy a biztosított, de gyenge technikai védekezés esetén a fizetési hajlandóság jóval nagyobb lehet (zömmel az államigazgatásban, állami szervezeteknél úgy gondolják: majd fizet a biztosító, jól van ez így). A fizetési hajlandóság a tanulmány szerint majdnem duplája, 44% szemben a nembiztosítottak 24%-os arányával szemben.

Az ilyen rosszul védekező, de a biztosítás mögé bújó szervezetek egyébként ráadásul azt a kockázatot is elszenvedik, hogy a gyenge védelmük, vagy egy jól elrejtett backdoor miatt ismételten többszörösen is célkeresztbe kerülhetnek.

A leggyakoribb támadási módszer az adathalász e-mail (ez a sikeres támadások mintegy harmada), de jelentős arányban fordul elő rosszindulatú mobilalkalmazás (13%) és nem frissített, sérülékeny szoftverek kihasználása is (10%). Szektorok alapján a kereskedelem a leggyakoribb célpont (az esetek 33%-a), átlagosan 112 ezer euró (kb. 45 millió Ft) váltságdíjjal.

És bár az IT szektor ritkábban akad horogra (14.7%), de ott a legmagasabb az átlagos kifizetés: 268 039 euró (kb. 109 millió Ft), mivel ezek a cégek gyakran több másik vállalat informatikai rendszereit is üzemeltetik, így egy támadás több céget béníthat meg egyszerre. Gondoljunk csak a Solarwinds esetére vagy a Kaseya incidensekre.

A kutatás szerint a támadók tudatosan keresik azokat a szektorokat, amelyekről tudható, hogy nagyobb összegeket is hajlandóak fizetni. Az is kiderült, hogy a zsarolóvírusos támadásoknak csak körülbelül 40%-át jelentik a hatóságoknak, vagyis igen jelentős a látencia. Ami biztos, hogy doxinggal kombinált zsarolóvírus-támadások sajnos továbbra is kopogtatnak, hiszen jelentős nyereséget hoznak a támadóknak. Akik minden eszközt és testre szabott finomhangolást bevetnek, hogy az áldozatok hajlandóak legyenek fizetni az adatok visszaszerzése és/vagy a nyilvánosságra hozatal elkerülése érdekében.

A megelőzés/védekezés pedig kizárólag jól működő védelemmel, valamint külső leválasztott rendszeres és kipróbált mentésekkel képes csökkenteni a kockázatokat - az adatok szerint az ilyen szervezetek 27-szer ritkábban kényszerülnek váltságdíj fizetésre.