Najważniejsze wnioski:
- Szybka reakcja ma kluczowe znaczenie – organizacje reagujące na alerty w ciągu 2 godzin lub angażujące Talos IR (Incident Response) w 1-2 dni, zapobiegły wdrożeniu ransomware w jednej trzeciej przypadków.
- Ataki można zatrzymać jeszcze przed zaszyfrowaniem danych – analiza tzw. incydentów pre-ransomware pokazuje, że wczesne wykrycie aktywności napastników pozwala uniknąć poważnych strat.
- Technologia to nie wszystko – skuteczna obrona wymaga połączenia rozwiązań bezpieczeństwa, dobrze zdefiniowanych procesów i współpracy z ekspertami ds. incydentów.
- Profilaktyka się opłaca – aktualizacje systemów, MFA, kopie zapasowe offline i szkolenia pracowników znacząco zmniejszają ryzyko skutecznego ataku.
Najnowsza analiza zespołu Cisco Talos Incident Response (Talos IR) pokazuje, że czas reakcji ma kluczowe znaczenie w ograniczaniu skutków ataków ransomware. Organizacje, które reagowały na alerty systemów wykrywania w ciągu dwóch godzin lub angażowały zespół Talos IR w ciągu jednego do dwóch dni, były w stanie zapobiec wdrożeniu ransomware w jednej trzeciej analizowanych przypadków.
Badanie, obejmujące ponad dwa i pół roku danych z działań reagowania na incydenty (od stycznia 2023 do czerwca 2025), koncentruje się na tzw. incydentach pre-ransomware – sytuacjach, w których cyberprzestępcy uzyskali już dostęp do systemów, ale nie rozpoczęli jeszcze szyfrowania danych.
Wczesne sygnały ostrzegawcze mają znaczenie
Według Cisco Talos, na tym etapie atakujący najczęściej wykorzystują zdalny dostęp, kradną poświadczenia lub prowadzą rekonesans sieciowy. Wczesne wykrycie takich działań pozwala organizacjom zareagować szybciej i wzmocnić swoje zabezpieczenia, zanim dojdzie do faktycznego ataku ransomware.
Zdaniem ekspertów z Cisco Talos, zewnętrzne ostrzeżenia, np. od krajowych agencji ds. cyberbezpieczeństwa, również odgrywają istotną rolę – umożliwiają bowiem zakłócenie działań cyberprzestępców już na wczesnym etapie.
„Nasza analiza pokazuje, że ataki ransomware często mają przewidywalne sygnały ostrzegawcze. Umiejętność ich rozpoznania i szybkie działanie mogą powstrzymać atak, zanim spowoduje realne szkody” – zauważa Lexi DiScola, analityczka bezpieczeństwa informacji z Cisco Talos.
Technologia, procesy i współpraca – trzy filary skutecznej ochrony
Analiza Cisco Talos potwierdza, że zintegrowane rozwiązania bezpieczeństwa i precyzyjnie zdefiniowane uprawnienia dostępu mogą skutecznie zatrzymać atak. W wielu przypadkach to właśnie oprogramowanie zabezpieczające, które automatycznie blokowało lub poddawało kwarantannie podejrzane pliki, zapobiegło rozprzestrzenieniu się ransomware. Opóźniona reakcja znacząco zwiększała jednak ryzyko zaszyfrowania systemów i utraty kopii zapasowych. Dlatego Cisco Talos rekomenduje m.in. regularne aktualizacje oprogramowania, przechowywanie kopii zapasowych offline, szerokie wdrożenie uwierzytelniania wieloskładnikowego (MFA) oraz szkolenia dla pracowników z zakresu rozpoznawania phishingu i innych zagrożeń.
„Nie chodzi wyłącznie o technologię, ale również o procesy i współpracę. Czujność wobec nietypowych aktywności, ścisła współpraca ze specjalistami ds. reagowania na incydenty oraz skuteczne wykorzystanie istniejących środków bezpieczeństwa mogą znacząco ograniczyć skutki ransomware” – podsumowuje DiScola.
Pełna analiza Cisco Talos dostępna jest na blogu: https://blog.talosintelligence.com/stopping-ransomware-before-it-starts/
