A Sophos "Cybersecurity: The Human Challenge" (Digitális biztonság: Az emberi kihívás) 5000 fő megkérdezésével készült globális felméréséből kiderül, hogy a zsarolóvírus támadások után a szervezetek már soha nem lesznek olyanok, mint azelőtt. Legfőképpen az IT menedzserek önbizalma és a digitális támadások elleni harccal kapcsolatos megközelítésük tér el jelentősen, attól függően, hogy a szervezetüket érte zsarolóvírus támadás, vagy sem.
Például a zsarolóvírus támadást elszenvedett szervezetek IT menedzserei esetében háromszor valószínűbb, hogy "jelentősen lemaradva" érzik magukat a digitális fenyegetések megértésével kapcsolatban, mint azok a kollégáik, akik szervezete még nem élt át ilyen támadást. (17% kontra 6%) A zsarolóvírusok áldozatainak több, mint harmada (35%) nyilatkozta, hogy a képzett IT biztonsági szakértők toborzása és megtartása jelenti a legnagyobb kihívást a digitális biztonsággal kapcsolatban. Összehasonlításképp: a válaszadók 19%-a mondta ezt azok közül, akiket még nem ért támadás.
Mire fókuszálnak a biztonság terén? A felmérés szerint a zsarolóvírus áldozatok arányosan kevesebb időt fordítanak a fenyegetések megelőzésére (42,6%) és többet a reagálásra (27%) összehasonlítva azokkal, akiket még nem ért ilyen támadás (az ő számaik 49% és 22%). Az áldozatok több erőforrást szánnak az incidensek kezelésére, ahelyett, hogy már eleve megakadályoznák azokat.
Chester Wisniewski, a Sophos vezető kutatója szerint az erőforrások prioritása terén megjelenő különbség arra utalhat, hogy a zsarolóvírus áldozatoknak összességében több incidenst kell kezelniük. Ugyanakkor ezt azt is jelezheti, hogy jobban ügyelnek a fejlettebb támadások összetett, többszakaszos természetére és emiatt több erőforrást szánnak a bekövetkező támadás árulkodó jeleinek észlelésére és kezelésére.
A tény, hogy a zsarolóvírusok mögött álló támadók folyamatosan fejlesztik taktikáikat, technikáikat és eljárásaikat (TTP-iket), tovább növeli az IT biztonsági csapatokra háruló nyomást. A Sophos szakértői egy, a Ryuk zsarolóvírus felhasználásával végrehajtott közelmúltbéli támadás kapcsán jutottak arra, hogy a Ryukot használó támadók széles körben elérhető és legitim eszközök frissített verzióit használták egy célpontnak jelölt hálózat kompromittálására és a zsarolóvírus telepítésére. Szokatlan módon a támadás gyors tempóban haladt előre - három és fél órán belül, hogy egy dolgozó megnyitotta egy káros adathalász email mellékletét, a támadók már aktív hálózatfelderítést végeztek. 24 órán belül a támadóknak már hozzáférése volt a domain vezérlőhöz és a Ryuk indítását készítették elő.
A Sophos közelmúltbéli Ryuk zsarolóvírus támadást követő nyomozása rávilágít arra, hogy a védekező felek mivel állnak szemben. Az IT biztonsági csapatoknak a nap 24 órájában, a hét minden napján résen kell lennie és teljes mértékben tisztában kell lennie a támadók eszközeivel és magatartásával kapcsolatos legfrissebb információkkal. Egyértelmű, hogy amikor biztonságról van szó, egy szervezet már sosem lesz a régi, miután zsarolóvírus támadást szenvedett el.
