79% firm w Indiach doświadczyło ataku ransomware. Co mówi nowe badanie Rubrik Zero Labs i co z tego wynika dla obrony?

Wprowadzenie do problemu / definicja luki

Według najnowszego badania Rubrik Zero Labs dotyczącego odporności tożsamości, 79% organizacji w Indiach doświadczyło w minionym roku ataku ransomware, a 91% z nich zapłaciło okup (często, by odzyskać dane lub zatrzymać intruzów). Artykuł „Deccan Herald” streszcza wnioski, podkreślając także, iż 34% firm szacuje powrót do pełnej operacyjności dopiero po >2 dniach w przypadku ataku opartego o kompromitację tożsamości.

W skrócie

• 79% badanych organizacji w Indiach miało incydent ransomware w ostatnich 12 miesiącach.
• 91% ofiar zapłaciło okup.
• Tylko 32% deklaruje zdolność do pełnego odtworzenia usług w ≤12h; ~34% potrzebuje >2 dni po ataku tożsamościowym.
• Badanie wiąże wzrost ryzyka z eksplozją „tożsamości nie-ludzkich” (NHI) i agentów AI, czyli nowymi kontami/usługami działającymi automatycznie w środowiskach firm.

Kontekst / historia / powiązania

Dane Rubrika wpisują się w szerszy obraz: ransomware w 2024/2025 pozostaje dominującym wektorem szkód, a głośne incydenty w Indiach obejmowały także sektor bankowy (atak na dostawcę C-Edge, którego skutki odczuli klienci setek mniejszych banków; usługi przywrócono po izolacji i audycie). Z kolei zestawienia branżowe (Acronis/DSCI) wskazują, iż Indie są jednym z najczęściej atakowanych rynków malware/ransomware globalnie.

Analiza techniczna / szczegóły luki

Nowy raport Rubrik Zero Labs („The Identity Crisis”) pokazuje, iż tożsamość stała się główną powierzchnią ataku: napastnicy „żyją z zasobów” (Living-off-the-Land), nadużywając ważnych, ważnych i często uprawnień nadmiernych* kont – ludzkich i nieludzkich (usługi, boty, integracje, agenci AI). Kompromitacja poświadczeń pozwala ominąć klasyczne kontrole sieciowe i szybciej dotrzeć do kopii zapasowych, systemów MDM, chmur czy SaaS-ów. W tym modelu przywracalność (rapid recovery) staje się równie ważna, co prewencja.

Główne techniki napastników (z raportu i praktyki IR):

• Kradzież/token hijacking (OAuth/OIDC), abuse refresh tokens.
• „Password spraying” na Entra ID/Okta, następnie MFA bypass (MFA fatigue, token replay, fałszywe push-y).
• Eskalacja uprzywilejowań w AD/Entra (misconfig, role assignment, stale app registrations).
• Sabotaż kopii zapasowych: usuwanie snapshotów, wyłączanie retention/immutability.

Praktyczne konsekwencje / ryzyko

• Wysoka skłonność do płacenia (91% w Indiach według Rubrika) utrzymuje rentowność grup ransomware i „double/triple extortion”.
• Dłuższe RTO: tylko 32% firm jest gotowych na pełne odtworzenie ≤12h; duża część liczy >48h, co oznacza realne przerwy w przychodach i SLA.
• Rozrost NHI i agentów AI zwiększa „blast radius”: każde konto/usługa wymaga cyklu kluczy, rotacji sekretów, kontroli skopów i krótkich TTL.

Rekomendacje operacyjne / co zrobić teraz

Poniżej checklista nastawiona na Identity Resilience + Rapid Recovery:

1. Twarde RPO/RTO oraz izolowalne kopie

• Kopie w trybie immutable/WORM, air-gap lub logical gap; odrębne poświadczenia backup.
• Testy odtworzeniowe runbook→automaty (np. Terraform/Ansible) z mierzeniem RTO co sprint.

2. Least privilege i segmentacja tożsamości

• Oddziel break-glass od SSO, z posiadaniem fizycznym (FIDO2).
• Rotacje i short-lived tokens dla aplikacji/NHI; deny by default dla grantów „offline_access”.

3. Hardening AD/Entra/IdP – szybkie kontrole techniczne

# (AD) Wykryj konta z delegacją nieograniczoną Get-ADUser -Filter * -Properties TrustedForDelegation | ? {$_.TrustedForDelegation -eq $true} # (AD) Znajdź członków grup uprzywilejowanych Get-ADGroupMember "Domain Admins" -Recursive # (Windows) Wykryj wyłączenia AV/EDR ustawione przez atakującego Get-MpPreference | fl ExclusionPath,ExclusionProcess # (Entra ID) Aplikacje z uprawnieniami wysokiego ryzyka Get-MgServicePrincipal | ? {$_.AppRoleAssignmentRequired -eq $false} | % { Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $_.Id }

4. MFA odporne na phishing + polityki ryzyka

• FIDO2/Passkeys dla uprzywilejowanych; blokady „impossible travel”; step-up przy wrażliwych akcjach (np. kasowanie snapshotów).

5. Ochrona kopii i platform SaaS/Cloud

• Wymuszaj 4-eyes i „time-delay” na kasowanie kopii; alarmuj na DeleteSnapshot, PutBucketVersioning, kms:DisableKey.
• Wprowadź SaaS-backup z retencją niezależną od IdP.

6. Detekcje gotowe do użycia (SPL/Sigma)

-- Splunk: podejrzane wyłączenie EDR/AV w Windows index=win* EventCode=7036 Message="*stopped*" (Service_Name="*Defender*" OR Service_Name="*EDR*") | stats count by host, Service_Name, _time -- Entra ID: nietypowe tworzenie aplikacji/sekretów index=azure_audit OperationName IN ("Add app role assignment", "Add service principal") | stats count dc(host) by actor, target, location

7. Runbook IR dla ransomware opartego o tożsamość

• Natychmiast: zablokuj refresh tokens, wymuś reauth, rotuj klucze aplikacji (IdP/API/KMS).
• Odtwarzaj najpierw IdP/PKI/backup-controller, dopiero potem workloady.

8. Ćwiczenia krzyżowe

• Co kwartał: purple team proti wektorom token theft/MFA bypass; pomiar MTTD/MTTR, RTO.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Rubrik pokazuje bardzo wysokie wskaźniki ataków i płatności w Indiach (79%/91%). Dla porównania, Sophos „State of Ransomware 2025” raportował globalnie niższe odsetki płatności (w Indiach ~53% ofiar deklarowało zapłatę; median ransom spadł do ok. 481 tys. USD), co pokazuje, iż metodologie/okresy i dobór próby mocno wpływają na wyniki – ale trend „tożsamość w centrum” pozostaje spójny. CERT-In 2024 również akcentuje wzrost aktywności grup ransomware i zróżnicowanie TTP.

Podsumowanie / najważniejsze wnioski

• Ransomware w Indiach ma charakter tożsamościowy: atakujący celują w konta, tokeny i uprawnienia.
• Odporność na poziomie tożsamości + szybkie odtwarzanie stają się krytyczne KPI cyber-odporności (RTO/RPO).
• Firmy powinny automatyzować odtwarzanie (runbooki jako kod), zamykać luki w IdP i utwardzać kopie – bo to właśnie te obszary decydują, czy płacisz okup, czy wracasz do pracy bez płacenia.

Źródła / bibliografia

• Deccan Herald: streszczenie badania Rubrik Zero Labs dot. Indii (15.11.2025). (Deccan Herald)
• Rubrik Zero Labs – komunikat prasowy o „Identity Resilience” (13.11.2025) i strona raportu „The Identity Crisis”. (rubrik.com)
• PDF raportu „The Identity Crisis” (Rubrik Zero Labs, 2025). (Rubrik)
• Uzupełniające relacje o danych dla Indii (The Mobile Indian, ETTelecom). (The Mobile Indian)
• Kontekst rynkowy: incydent C-Edge (Reuters, 31.07–01.08.2024). (Reuters)
• Porównawczo: Sophos „State of Ransomware 2025” (Indie – płatności/median ransom). (SOPHOS)
• CERT-In: „Ransomware Report 2024”. (cert-in.org.in)