Najnowsza analiza zespołu Cisco Talos Incident Response (Talos IR) pokazuje, iż czas reakcji ma najważniejsze znaczenie w ograniczaniu skutków ataków ransomware. Organizacje, które reagowały na alerty systemów wykrywania w ciągu dwóch godzin lub angażowały zespół Talos IR w ciągu jednego do dwóch dni, były w stanie zapobiec wdrożeniu ransomware w jednej trzeciej analizowanych przypadków.
Badanie, obejmujące ponad dwa i pół roku danych z działań reagowania na incydenty (od stycznia 2023 do czerwca 2025), koncentruje się na tzw. incydentach pre-ransomware – sytuacjach, w których cyberprzestępcy uzyskali już dostęp do systemów, ale nie rozpoczęli jeszcze szyfrowania danych.
Wczesne sygnały ostrzegawcze mają znaczenie
Według Cisco Talos, na tym etapie atakujący najczęściej wykorzystują zdalny dostęp, kradną poświadczenia lub prowadzą rekonesans sieciowy. Wczesne wykrycie takich działań pozwala organizacjom zareagować szybciej i wzmocnić swoje zabezpieczenia, zanim dojdzie do faktycznego ataku ransomware.
Zdaniem ekspertów z Cisco Talos, zewnętrzne ostrzeżenia, np. od krajowych agencji ds. cyberbezpieczeństwa, również odgrywają istotną rolę – umożliwiają bowiem zakłócenie działań cyberprzestępców już na wczesnym etapie.
„Nasza analiza pokazuje, iż ataki ransomware często mają przewidywalne sygnały ostrzegawcze. Umiejętność ich rozpoznania i szybkie działanie mogą powstrzymać atak, zanim spowoduje realne szkody” – zauważa Lexi DiScola, analityczka bezpieczeństwa informacji z Cisco Talos.
Technologia, procesy i kooperacja – trzy filary skutecznej ochrony
Analiza Cisco Talos potwierdza, iż zintegrowane rozwiązania bezpieczeństwa i precyzyjnie zdefiniowane uprawnienia dostępu mogą skutecznie zatrzymać atak. W wielu przypadkach to właśnie oprogramowanie zabezpieczające, które automatycznie blokowało lub poddawało kwarantannie podejrzane pliki, zapobiegło rozprzestrzenieniu się ransomware. Opóźniona reakcja znacząco zwiększała jednak ryzyko zaszyfrowania systemów i utraty kopii zapasowych. Dlatego Cisco Talos rekomenduje m.in. regularne aktualizacje oprogramowania, przechowywanie kopii zapasowych offline, szerokie wdrożenie uwierzytelniania wieloskładnikowego (MFA) oraz szkolenia dla pracowników z zakresu rozpoznawania phishingu i innych zagrożeń.
„Nie chodzi wyłącznie o technologię, ale również o procesy i współpracę. Czujność wobec nietypowych aktywności, ścisła kooperacja ze specjalistami ds. reagowania na incydenty oraz skuteczne wykorzystanie istniejących środków bezpieczeństwa mogą znacząco ograniczyć skutki ransomware” – podsumowuje DiScola.
Pełna analiza Cisco Talos dostępna jest na blogu: https://blog.talosintelligence.com/stopping-ransomware-before-it-starts/
