Проучвания

От 2018 г. насам атаките с ransomware срещу финансовия сектор са стрували на световната икономика 32,3 милиарда долара само за престой

От 2018 г. насам атаките с ransomware срещу финансовия сектор са стрували на световната икономика 32,3 милиарда долара само за престой



От 2018 г. до юни 2023 г. 225 финансови организации са били засегнати от ransomware атака. Ние изчисляваме, че тези субекти са загубили над $32,3 милиарда само в престой.

Рансъмуер атака срещу финансов бизнес, напр. банка, застрахователна компания или счетоводна фирма, има потенциала да предизвика масов хаос с криптирани системи и излага на риск важни чувствителни данни.



За да разберем колко опустошителни могат да бъдат атаките на ransomware във финансовия сектор, ние разгледахме всичките 225 случая на потвърдени атаки срещу тези компании от целия свят. Използвайки нашия световен инструмент за проследяване на рансъмуер, ние проучихме подробно всяка атака, за да разберем колко прекъсвания са били причинени, колко данни са откраднати, какви са исканията за откуп и дали са платени откупи или не.

Моля обърнете внимание: въпреки че може да сме регистрирали по-голям брой атаки в една държава в сравнение с друга, това не означава непременно, че е по-„целенасочена“ от нападателите. По-скоро осведомеността и докладването на такива атаки може да бъде по-задълбочено. Например, инструментите за докладване на нарушения на данните и разпоредбите в много американски щати помагат да се потвърдят тези атаки. Същите инструменти и разпоредби не съществуват в много други страни.



Основни констатации:

От 2018 г. до юни 2023 г. открихме:

  • 225 потвърдени атаки с ransomware срещу финансови организации, като 2021 г. е най-засегнатата година с общо 86 атаки
  • Над 32,3 милиона индивидуални записа бяха нарушени в резултат на тези атаки – поне
  • Исканията за откуп варират от 180 000 до 40 милиона долара
  • Средно хакерите са поискали 6,9 милиона долара, което предполага, че са поискани общо около 2,14 милиарда долара плащания на откуп
  • Хакерите са получили 44,2 милиона долара плащания за откуп само при пет атаки
  • Престоят варира от един ден до 52 дни
  • Средното време на престой от атаки е било постоянно високо през последните години (вариращо от 10 до 14 дни)
  • Общите разходи за престой се оценяват на 32,3 милиарда долара
  • Най-много атаки има застрахователни компании (65)
  • LockBit беше най-доминиращият щам на рансъмуер през 2022 г., но беше изпреварен от BlackCat/ALPHV през 2023 г. (засега). REvil и Conti бяха най-плодотворните през 2021 г., докато Maze извърши най-много атаки (при които щамът на рансъмуер е потвърден) през 2019/20 г.

Ransomware атаки срещу финансови компании по месеци и години

Както вече отбелязахме, 2021 г. беше най-голямата година за атаки с ransomware срещу финансови компании с общо 86. 2020 г. беше втората по големина година с 56.

Въпреки че броят на атаките с рансъмуер намаля значително през 2022 г. (само 39 общо), това отразява общата тенденция от миналата година. 2023 г. обаче изглежда ще видим значително увеличение на атаките с ransomware.

До края на юни 2023 г. нашият екип е регистрирал 24 потвърдени атаки с ransomware срещу финансови компании. Това е много повече от 16-те, отбелязани през същия период на 2022 г. Много атаки не се потвърждават до около месец след инцидента, така че очакваме тези цифри да нараснат още повече.

Изглежда, че хакерите също преследват компании с големи количества данни. Като крадат големи количества данни, както и криптират системи, хакерите увеличават шансовете си да получат плащане на откуп. По същия начин, дори ако една организация не успее да плати, личните финансови данни ще го направят вземете премия в тъмната мрежа .

През 2022 г. беше потвърдено, че малко над 3,5 милиона записа са засегнати от атаки на ransomware. Досега тази година са били засегнати малко над 14 милиона записа. По-голямата част от тях произтичат от атаката срещу австралийския Latitude Financial, при която бяха засегнати 14 милиона записа. Първоначално компанията каза, че 328 000 души са били засегнати, но в актуализиран доклад за нарушение се казва, че може да бъдат засегнати до 14 милиона. Организацията отказа да плати откупа и предлага помощ на засегнатите клиенти чрез IDCARE.

Още 15 милиона записа са откраднати от Bank Syariah Indonesia от LockBit, но, както обясняваме по-долу, това все още не е потвърдено от банката, така че не е включено в анализа.

  • Брой атаки:
    • 2023 (до юни) – 24
    • 2022 – 39
    • 2021 – 86
    • 2020 г. – 56
    • 2019 – 13
    • 2018 – 7
  • Брой засегнати записи:
    • 2023 (до юни) – 14 002 968
    • 2022 г. – 3 513 240
    • 2021 г. – 4 143 682
    • 2020 г. – 15 331 455
    • 2019 г. – 172 376
    • 2018 г. – 26 155
  • Средно време на престой:
    • 2023 (до юни) – 14 дни
    • 2022 г. – 10 дни
    • 2021 г. – 14 дни
    • 2020 г. – 9 дни
    • 2019 г. – 8 дни
    • 2018 – 8 дни*
  • Причинен престой (известни случаи):
    • 2023 (до юни) – 158 дни (11 случая)
    • 2022 г. – 76 дни (8 случая)
    • 2021 г. – 244 дни (17 случая)
    • 2020 г. – 83 дни (9 случая)
    • 2019 г. – 32 дни (4 случая)
    • 2018 – N/A*
  • Прогнозно причинено време на престой (въз основа на известни случаи и средно при неизвестни):
    • 2023 (до юни) – 340 дни
    • 2022 г. – 386 дни
    • 2021 г. – 1210 дни
    • 2020 г. – 506 дни
    • 2019 г. – 104 дни
    • 2018 г. – 56 дни
  • Приблизителни разходи за престой:
    • 2023 г. (до юни) – 4,2 милиарда долара
    • 2022 г. - 4,8 милиарда долара
    • 2021 г. – 15,1 милиарда долара
    • 2020 г. - 6,2 милиарда долара
    • 2019 г. - 1,3 милиарда долара
    • 2018 г. – 698,5 млн. долара

*За 2018 г. не са налични данни за престой, така че е използвана средната стойност за 2019 г.

Истинската цена на атаките на ransomware срещу финансови организации

Както отбелязахме във въведението, исканията за откуп варират от 180 000 до 40 милиона долара. Последното беше поискано от Phoenix CryptoLocker на CNA Financial Corporation (базирана в САЩ застрахователна компания). Това, което може би е още по-изненадващо е, че се твърди, че организацията е платила откупа две седмици след като нейните системи са били криптирани и данните са били откраднати.

Други високи искания за откуп включват:

  • Indonesian Sharia Bank – 20 милиона долара: През май 2023 г. BSI беше атакуван от LockBit, който поиска 20 милиона долара откуп. Банката отказа да плати и оттогава LockBit изтече 1,5TB данни, за които се твърди, че включват личната и финансова информация на 15 милиона клиенти. BSI все още не е потвърдила тази цифра, така че не е включена в нашия цялостен анализ.
  • Едно обаждане – 21,15 милиона долара: Базираната в Обединеното кралство застрахователна компания One Call беше засегната от откуп от £15 милиона от DarkSide през май 2021 г. Не беше дадено потвърждение дали компанията е платила откупа, но възстановяването на системите отне около 12 дни.

Въз основа на наличните данни успяхме да определим следното (нямаше налични данни за 2018 г.):

  • Средно търсене на откуп:
    • 2023 г. (до юни) – 9,3 милиона долара
    • 2022 г. – 892 335 долара
    • 2021 г. – 20,5 милиона долара
    • 2020 г. – 4,1 милиона долара
    • 2019 г. - 1,7 милиона долара
  • Искан откуп (известни случаи):
    • 2023 (до юни) – $28 милиона (3 случая)
    • 2022 г. – $4,5 млн. (5 случая)
    • 2021 г. – $61,6 млн. (3 случая)
    • 2020 г. – 12,3 милиона долара (3 случая)
    • 2019 г. – $3,4 млн. (2 случая)
  • Общ платен откуп (известни случаи):
    • 2023 (до юни) – няма данни
    • 2022 г. – $1,5 млн. (2 случая)
    • 2021 г. – $40,4 млн. (2 случая)
    • 2020 г. – няма данни
    • 2019 г. - $2,3 милиона (1 случай)

Ясно е, че исканията за откуп остават изнудващо високи за финансовия сектор. Но предвид престоя и чувствителните данни, които са заложени, не е голяма изненада, че хакерите се опитват да спечелят от неотложността на стартирането на системите и/или защитата на данните.

Добавяне на престой

Времето на престой е един от най-важните фактори, участващи в атаката на ransomware. Ако една организация разполага с резервно копие, тя може бързо да възстанови своите системи, това ще помогне да се сведат до минимум разходите (поне от престой – това не отчита откраднати данни).

Използвайки събраните от нас данни, успяхме да видим колко прекъсвания са причинили атаките на ransomware във финансовия сектор. Цели системи могат да се повредят за дни, седмици и дори месеци, причинявайки сериозни смущения на бизнеса и неговите клиенти. Както показват последните ни открития, финансовите организации губят средно две седмици престой, когато са засегнати от такава атака.

Според отчет през 2017 г , средната цена на престой (в 20 различни индустрии) е $8662 на минута. Това означава, че финансовите компании по целия свят са загубили около 32,3 милиарда долара поради прекъсване на работата си от атаки на рансъмуер.

Въпреки че тези разходи може да изглеждат изключително високи, те са в съответствие с някои от докладваните цифри, публикувани от организации, засегнати от ransomware. Например Latitude Financial, който обсъдихме по-рано, отчете разходи от 95 до 105 милиона австралийски долара (64 до 71 милиона щатски долара) в резултат на своята атака.

А 2017 проучване от Information Technology Intelligence Consulting (ITIC) определя почасовите разходи за престой в банковото/финансовото дело на 9,3 милиона долара. Това е значително по-високо от оценката, която сме използвали (която би възлизала на $519 720).

Тъй като няма скорошни проучвания или специфични проучвания за престой във финансите, ние избрахме да изберем по-ниската цифра от $8 662 на минута. Въпреки това, ако използваме цифрата на ITIC, престоят от рансъмуер може да струва на финансовите организации до $580,7 милиарда.

Финансовият сектор е основна мишена за хакерите на ransomware

Миналогодишният спад в атаките на рансъмуер може да е било добре дошло облекчение, но както показват данните ни за първата половина на тази година, вероятно това е само краткотрайно. По същия начин забелязахме промяна в разказа около ransomware миналата година, като много организации избягваха да използват думата „ransomware“, когато описват кибер инцидент.

Тази година изглежда повече жертви признават, че са претърпели атака с ransomware. Това донякъде може да се дължи на широкомащабни атаки като тези на Fortra и MOVEit. (Те са включени само в нашия световен инструмент за проследяване на рансъмуер като единични атаки, така че всяка жертва не се регистрира отделно).

Какъвто и да е разказът около рансъмуера обаче, заплахата остава висока. Тъй като хакерите все повече избират двойно изнудване, финансовите организации не само се сблъскват с притесненията от прекъсване, но и от откраднати данни. Някои ключови атаки досега тази година включват Latitude Financial, Globalcaja, FIIG Securities, Fullerton India и Bank Syariah Indonesia.

Методика

Използвайки базата данни от нашата карта на рансъмуер атаки, нашето изследване откри общо 225 финансови атаки на рансъмуер. От тези данни успяхме да определим сумите на откупите, дали откупите са били платени или не и причиненото време на престой.

Ако не бяха дадени конкретни цифри за престой, т.е. бяха цитирани „няколко дни“, „един месец“ или „връщане към 80% след 6 седмици“, ние създадохме прогнози от тези цифри въз основа на най-ниската цифра, която биха могли да бъдат. Например, няколко дни бяха изчислени като 3, един месец беше изчислен като броя на дните в месеца, в който се е случила атаката, и беше използван броят седмици, цитиран в % изявления за възстановяване (напр. 6 седмици за предишния пример).

За пълен списък с източници, моля, вижте нашия световен инструмент за проследяване на рансъмуер.

^