דוח State of Ransomware 2022 של סופוס – 66% מהארגונים בישראל נפלו קורבן למתקפת כופרה ב-2021

57% מהארגונים בישראל שנפלו קורבן למתקפת כופרה שילמו את דמי הכופר כדי להסיר את ההצפנה ולשחרר את המידע שלהם

סופוס (Sophos),  חברת אבטחת המידע והסייבר המובילה, פרסמה היום את דוח State of Ransomware 2022 (דוח מתקפות כופרה ונזקיהן לשנת 2022) המציג תמונת מצב עדכנית של מתקפות הכופרה ונזקיהן ברחבי העולם. מהדוח עולה כי שיעור של 66% מהארגונים בישראל שהשתתפו בסקר נפגעו ממתקפת כופרה בשנת 2021. מתוכם, שיעור של 57% שילמו את דמי הכופר כדי להסיר את ההצפנה ולשחרר את המידע שלהם, גם אם היו להם אמצעים אחרים לשחזור המידע, ובהם גיבוי עדכני.

הדוח מסכם את ההשפעות וההשלכות הכלכליות של מתקפות כופרה על 5,600 עסקים בינוניים ב־31 ארצות באירופה, צפון ודרום אמריקה, אסיה הפסיפית, מרכז אסיה, המזרח התיכון ואפריקה, לרבות ישראל.

"הדוח מצביע על מגמת עלייה עולמית בשיעור הקורבנות שמשלמים את דמי הכופר אפילו כשייתכן שיש לארגונים האלה אפשרות לשחזר את המידע בדרכים אחרות," אומר צ'סטר וויסנייבסקי, מדען וחוקר ראשי בסופוס. "יש כמה סיבות אפשריות לכך, ובהן גיבויים חסרים או הרצון למנוע דליפה של מידע שנגנב. מיד כשמתברר כי הארגון נפגע ממתקפת כופרה, קיימת בדרך כלל בהילות גדולה להחזיר את המערכות והעסק לפעילות בהקדם האפשרי. שחזור המידע שהוצפן מגיבויים עלול להיות תהליך מורכב וארוך ולכן מפתה לחשוב שתשלום דמי הכופר וקבלת מפתח ההצפנה יהיה פתרון מהיר יותר. אבל פתרון זה טומן בחובו סיכון לא מבוטל. ארגונים לא יודעים מה עשו התוקפים, האם השתילו דלתות אחוריות (פרצת אבטחה שתאפשר לתוקפים לגשת בעתיד למידע חסוי), גנבו סיסמאות או נקטו בפעולות זדוניות אחרות. ארגונים שלא מנקים מהיסוד את מערכות המידע עלולים למצוא עצמם בסיכון מוגבר למתקפות חוזרות ונשנות."

מניתוח נתוני סקר State of Ransomware 2022 העוסקים בארגונים מישראל שנפלו קורבן למתקפת סייבר בשנת 2021, עולים הממצאים העיקריים הבאים:

• שיעור משמעותי מהארגונים שנפגעו ממתקפת כופרה משלמים את דמי הכופר – בשנת 2021, שיעור של 57% מהארגונים בישראל שנפלו קורבן למתקפת כופר שילמו את דמי הכופר.

• למתקפות כופרה יש השלכות כלכליות משמעותיות – עלות ההתאוששות הממוצעת ממתקפת כופר עמדה בשנת 2021 על 1.41 מיליון דולר.  בממוצע, לקח לארגונים חודש להתאושש מהנזק ומשיבוש הפעילות. שיעור של 89% מהארגונים דיווחו כי המתקפה שיבשה את פעילותם, ושיעור של 86% מהארגונים שנפלו קורבן למתקפת כופרה דיווחי כי איבדו מכירות ו/או הכנסות כתוצאה מהמתקפה.

• ארגונים רבים מחזיקים ביטוח סייבר המעניק לארגון כיסוי ביטוחי במקרה של מתקפת כופרה – שיעור של 66% מהעסקים הבינוניים מחזיקים בביטוח סייבר המכסה מתקפות סייבר, וב־88% מהמקרים שילם הביטוח את הוצאות ההתאוששות מהמתקפה בחלקן או במלואן.

• מתוך הארגונים המחזיקים בביטוח סייבר, 93% דיווחו כי חברות הביטוח הקשיחו את תנאי הביטוח במהלך 12 החודשים האחרונים, הוסיפו דרישות מחמירות יותר עבור אמצעי אבטחת סייבר בארגון, הביטוח התייקר או נעשה מורכב יותר ופחות חברות ביטוח שמציעות ביטוח סייבר.

"ממצאי הסקר מצביעים על כך שייתכן שהגענו לנקודת מפנה בתחום מתקפות הכופרה: החמדנות של התוקפים שממשיכים לעלות את דמי הכופר מתנגשת עם הקשחת עמדותיהן של חברות הביטוח המחפשות להקטין את הסיכון והחשיפה שלהן," מסביר וויסניבסקי. "בשנים האחרונות, מתקפות כופר הפכו לקלות מאוד לביצוע והן אפילו מוצעות ברשת האפלה במודל של תוכנה-כשירות. בתוך כך, מכיוון שחברות ביטוח רבות שמציעות ביטוח סייבר כיסו את עלויות ההתאוששות ממתקפת הכופרה, ובהן תשלום דמי הכופר, הפכו התוקפים לחמדנים יותר והעלו בהדרגה את גובה דמי הכופר. תוצאות הסקר מצביעות על כך שחברות הביטוח התחילו להקשיח את עמדותיהן ובעתיד ייתכן שארגונים רבים שנפלו קורבן למתקפת כופר כבר לא יוכלו לעמוד בתשלום דמי הכופר הגבוהים. לרוע המזל, ספק גדול אם זה יוביל לירידה במספר מתקפות הכופרה. בשונה ממתקפות סייבר מתוחכמות יותר, מתקפות כופר לא דורשות ידע או משאבים מיוחדים ולכן גם אם פחות ארגונים ישלמו כופר עדיין מדובר במתקפה כדאית עבור פושעי הסייבר שימשיכו לחפש מטרות קלות."

סופוס ממליצה לארגונים לנקוט בפעולות הבאות במטרה להקשות על התוקפים ולמנוע מתקפות סייבר וכופרה:

1. להתקין אמצעי הגנה מוכחים בכל נקודות הגישה לרשת ולמידע בארגון. לבצע בדיקה תקופתית של בקרות האבטחה ולוודא שהן עדיין מתאימות לצורכי הארגון.
2. לפעול באופן יזום לאיתור וזיהוי איומים מבעוד מעוד כדי למנוע מהתוקפים לבצע פעולות זדוניות ברשת הארגונית. אם אין לארגון את הידע או המשאבים לעשות זאת בעצמו, אפשר לשכור שירותי זיהוי ותגובה מנוהלים (MDR) במיקור חוץ.
3. להקשיח את אבטחת המידע בארגון על ידי חיפוש פרצות אבטחה ותיקונן: מחשבים ומכשירים שמריצים מערכות הפעלה ישנות או לא מעודכנות, מחשבים ושרתים לא מוגנים, פורטים חשופים של שירות ה־RDP ועוד. לשם כך מתאימים במיוחד פתרונות זיהוי ותגובה מורחבים (XDR).
4. להתכונן לתרחיש הגרוע ביותר. להכין תכנית תגובה למקרה של מתקפת סייבר ולעדכנה באופן תקופתי.
5. לדאוג לגיבויים שוטפים ולתרגל את שחזורם כך שהארגון יוכל להתאושש ממתקפת סייבר במהירות ולחזור לפעילות מלאה תוך זמן קצר ככל האפשר.

את הממצאים המלאים וניתוח הנתונים לפי ענף שוק אפשר למצוא בדוח The State of Ransomware 2022 (מתקפות כופרה ונזקיהן לשנת 2022). 

מידע על הסקר

סקר The State of Ransomware 2022 (מתקפות כופרה ונזקיהן לשנת 2022) מכסה מתקפות כופרה שאירעו בשנת 2022. הסקר נערך בינואר ובפברואר 2022 על ידי Vanson Bourne, מכון מחקר שוק בלתי־תלוי המתמחה בענף הטכנולוגיה. בסקר השתתפו 5,600 מנהלי טכנולוגיות מידע מ־31 ארצות: ארה"ב, קנדה, ברזיל, צ'ילה, קולומביה, מקסיקו, אוסטריה, צרפת, גרמניה, הונגריה, בריטניה, איטליה, הולנד, בלגיה, ספרד, שוודיה, שוויץ, פולין, צ'כיה, טורקיה, ישראל, איחוד האמירויות הערביות, ערב הסעודית, הודו, ניגריה, דרום אפריקה, אוסטרליה, יפן, סינגפור, מלזיה והפיליפינים. כל משתתפי הסקר עובדים בארגונים בינוניים המעסיקים בין 100 ל־5,000 עובדים.

חשוב לדעת: למטרת הסקר, הביטויים 'נפלו קורבן למתקפת כופרה/נפגעו ממתקפת כופרה' פירושם שלפחות מכשיר אחד בארגון נדבק בתוכנת כופרה גם אם ההדבקה לא הובילה להצפנת המידע. המשתתפים התבקשו להתייחס למתקפת הכופרה המשמעותית ביותר שפגעה בארגון, אלא אם הונחו אחרת.