Ransomware to realne i rosnące zagrożenie dla europejskich firm

Gangi ransomware zarobiły dzięki swojej przestępczej działalnościna całym świecie prawie 1 miliard dolarów w 2024 roku. Podczas gdy ten typ cyberataków nadal stanowi poważny problem dla organizacji na całym świecie, sprzedawcy detaliczni często źle rozumieją ryzyko, jakie te ataki stwarzają dla ich działalności. Mit mówiący, że atakujący nie interesują się sprzedawcami detalicznymi, utrzymuje się w całej branży w Europie, a wielu dyrektorów błędnie uważa, że nie są kuszącym celem. Ten sposób myślenia może być kształtowany przez stosunek organizacji do jej własnych operacji i funkcji.

Na przykład, jeśli organizacja nie komunikuje się z krytyczną infrastrukturą lub nie zajmuje się tajemnicami handlowymi lub wrażliwymi umowami, może założyć, że jej dane nie są cenne w porównaniu z innymi podmiotami. Może uważać, że nie jest głównym celem cyberataków. Ta koncepcja jest szczególnie rozpowszechniona wśród mniejszych sprzedawców detalicznych, którzy często uważają, że są zbyt małą rybą, aby cyberprzestępcy mogli ich atakować.

Rzeczywistość jest zupełnie inna niż ta retoryka, a najnowsze dane pokazują, że grupy zajmujące się oprogramowaniem ransomware coraz częściej atakują brytyjskich sprzedawców detalicznych różnej wielkości.

Coraz więcej ataków ransomware na europejskich sprzedawców detalicznych

Organizacje detaliczne, w tym duże sklepy, sieci regionalne oraz małe, specjalistyczne punkty sprzedaży, są coraz częściej atakowane. W pierwszym kwartale 2025 r., zgodnie z naszą analizą, odnotowano 85% wzrost ataków ransomware na sprzedawców detalicznych w Wielkiej Brytanii w porównaniu z tym samym okresem w zeszłym roku. W pierwszym kwartale 2025 r. odnotowano również wyższą liczbę ofiar w porównaniu z poprzednimi kwartałami w 2024 r. Podobne trendy występują również na całym świecie. Ataki ransomware na organizacje detaliczne w ciągu pierwszych czterech miesięcy 2025 r. wzrosły o 70% w porównaniu z tym samym okresem w 2024 r.

Grupy ransomware, które zaatakowały brytyjskich sprzedawców detalicznych w pierwszym kwartale 2025 r., to m.in. Clop, Akira i DragonForce.

Żaden cel nie jest zbyt mały lub zbyt nieistotny, niezależnie od rozmiaru, zakresu lub segmentu rynku. W szczególności sprzedawcy detaliczni są narażeni na większe ryzyko, ponieważ często brakuje im dojrzałych programów bezpieczeństwa informacji, zarządzanych z poziomem pilności i ostrożności typowym dla sektorów technologii i finansów.

Szkody finansowe i reputacyjne wynikające z udanego ataku, czy to z powodu ujawnienia danych, czy zakłócenia usług, mogą być długotrwałe, nawet jeśli nie zostanie zapłacony okup. Podmioty zagrażające często nadal wymieniają się danymi i informacjami wywiadowczymi na temat organizacji będących ofiarami, tworząc scenariusze, które mogą doprowadzić do dalszych szkód dla tych organizacji w przyszłości.

Ewoluujący krajobraz zagrożeń

Wydajność operacyjna modelu Ransomware as a Service (RaaS), a co za tym idzie, zapotrzebowanie na grupy afiliacyjne i ich integracja, sprzyjają rozwojowi zagrożeń i przeprowadzaniu większej liczby ataków na sprzedawców detalicznych.

Podczas gdy wiele obszarów w ekosystemie dark webu jest zamkniętych, za pomocą portfela Bitcoin, anonimowego e-maila i polecenia od osoby z wewnątrz, cyberprzestępca może kupić złośliwy kod, dostosować go i uruchomić ataki ransomware na dużą skalę. Alternatywnie, aktor zagrożenia może wykorzystać własny zaawansowany kod i pożyczyć infrastrukturę do przeprowadzania ataków.

Programy szyfrujące to tylko jedno z narzędzi dostępnych dla cyberprzestępców do użycia przeciwko organizacji, ponieważ blokują dostęp do własnych systemów i danych ofiary. Coraz częściej aktorzy zagrożeń realizują swoje cele i minimalizują szanse na wykrycie, wykorzystując taktykę Living off the Land (LOTL). Techniki LOTL pozwalają aktorowi zagrożeń wykorzystywać zaufane narzędzia w środowisku ofiary, dzięki czemu może on łatwiej poruszać się po sieci, unikać wykrycia i osiągać cele, takie jak eksfiltracja danych i zakłócenie usług.

Zrozumienie strategii ataku cyberprzestępcy

Żądania okupu to tylko jedna ze zmiennych, która wpływa na cel i strategię ataku sprawcy zagrożenia. Zakłócenie regionalnej sieci transportowej lub kradzież listy klientów międzynarodowego banku może uzasadniać znacznie wyższy okup niż atak na sieć detaliczną. Istnieją jednak dodatkowe względy.

Duże organizacje inwestują znaczne zasoby w utwardzanie swoich cyberobron i zmniejszanie powierzchni ataku. Dla porównania, sprzedawcy detaliczni są czasami bardziej kuszącym celem dla aktorów zagrożeń, prawdopodobnie ze względu na postrzegane słabości w ich strategii cyberbezpieczeństwa i egzekwowaniu ich programu bezpieczeństwa w ogóle.

Sprzedawcy detaliczni często mają mniejsze i przeciążone zespoły ds. cyberbezpieczeństwa. Ponadto powierzchnia ataku detalicznego znacznie wykracza poza ich środowisko ze względu na połączone łańcuchy dostaw, portale samoobsługowe dla klientów i zależność od dostawców usług w zakresie dostaw, marketingu i innych funkcji biznesowych.

Skuteczna strategia skoncentrowana wokół obrony w głębi

W obliczu rosnącej liczby ataków ransomware na brytyjskich sprzedawców detalicznych, w jaki sposób sprzedawcy detaliczni mogą ograniczyć ryzyko udanego ataku? Kluczowym podejściem jest wdrożenie wielowarstwowej architektury bezpieczeństwa o dogłębnej obronie. To sprawdzone podejście wzmacnia obronę na wszystkich etapach ataku, od zapobiegania i ochrony po wykrywanie i reagowanie.

Zapobiegaj

Jednym z najskuteczniejszych sposobów zatrzymania ataku ransomware jest wdrożenie podejścia, które kładzie nacisk nie tylko na reaktywne bezpieczeństwo, ale także na proaktywne bezpieczeństwo. Obejmuje to wykorzystanie możliwości, które identyfikują systemy wymagające łatania i wdrażania aktualizacji lub poprawek w celu ich naprawy, zanim atakujący będą mogli je wykorzystać.

Ponadto, zaleca się korzystanie z nowoczesnych rozwiązań antywirusowych, aby zmniejszyć powierzchnię ataku. Wiele organizacji polega na rozwiązaniach, które są statyczne w swej naturze, charakteryzujących się statycznymi regułami i egzekwowaniem polityki. W rezultacie organizacje te mogą przegapić oznaki działań grup zagrożenia, które nie są dobrze znane lub jeszcze nie zostały zgłoszone.

Jednak organizacja, która jest wyposażona w zdolność mapowania i rozumienia ekosystemu swojej organizacji oraz ryzyka specyficznego dla każdej pary użytkownik-aktywa, ma więcej do zyskania w walce z cyberprzestępcami. Takie podejście zmniejsza również liczbę ścieżek aktorów zagrożeń do Twojego środowiska. Sprzedawcy detaliczni powinni najpierw ocenić swoje środowisko IT, aby zrozumieć, gdzie są wdrażane aktywa i w jaki sposób są wykorzystywane do obsługi operacji biznesowych. Gdzie znajdują się Twoje systemy punktów sprzedaży? Kto ma do nich dostęp? Co by się stało, gdyby się zepsuły? Jakie inne aktywa są równie krytyczne dla sprzedaży, doświadczenia klienta i lojalności? Współpracuj z interesariuszami, aby zrozumieć ryzyko związane z tymi aktywami i opracować plan działania w celu ustalenia priorytetów kroków w celu zwiększenia bezpieczeństwa organizacji.

Chroń swoje zasoby

Poprawa podstawowej higieny cyberbezpieczeństwa, aby zablokować zagrożenia w punkcie wejścia, to kolejny skuteczny sposób dla sprzedawców detalicznych na zatrzymanie ataków ransomware. Urządzenia, aplikacje, magazyny danych, platformy oprogramowania jako usługi (SaaS) i inne punkty końcowe powinny zostać wzmocnione.

Oto dwa podstawowe środki bezpieczeństwa, które wchodzą w zakres kategorii ochrony, a które czasami są zaniedbywane:

• Wdrażanie MFA (uwierzytelniania wieloskładnikowego) w celu bezpiecznego uwierzytelniania.
• Wymuszanie segmentacji sieci w celu odizolowania cennych systemów wewnętrznych od tych, które mogą oddziaływać z usługami publicznymi lub podatnymi na ataki lub przestarzałymi komponentami.

Podczas gdy powierzchnie ataku wykraczające poza środowisko podstawowe mogą sprawiać, że zadanie to wydaje się przytłaczające, sprzedawcy detaliczni nie muszą zaczynać od zera. Organizacje takie jak Narodowy Instytut Norm i Technologii (NIST) i Międzynarodowa Organizacja Normalizacyjna (ISO) zapewniają ramy cyberbezpieczeństwa, takie jak NIST CSF 2.0 i ISO 27001. Przestrzeganie tych ram pozwala organizacjom strategicznie projektować i wdrażać skuteczne kontrole bezpieczeństwa. Ponadto egzekwowanie strategii cyberbezpieczeństwa Zero Trust może pomóc organizacjom zabezpieczyć aktywa, chroniąc systemy przed nieautoryzowanym dostępem i uwierzytelnianiem.

Wykorzystaj zaawansowane informacje o zagrożeniach

Wywiad dotyczący zagrożeń jest istotną częścią bezpieczeństwa, która usprawnia procesy reagowania na incydenty i dochodzeń. Rozwiązania wywiadu dotyczącego zagrożeń, takie jak IntelliZone, wyposażają organizacje w środki umożliwiające konsolidację całej wiedzy, jaką Bitdefender zebrał na temat cyberzagrożeń i powiązanych aktorów zagrożeń, w jednym widoku dla analityków ds. bezpieczeństwa. Funkcjonalności rozwiązania obsługują również kompleksowe raporty i działania analityczne.

Wykrywaj i reaguj

Naruszenie może nastąpić w dowolnym momencie, nawet przy podejmowaniu wysiłków w celu połączenia strategii zapobiegania i ochrony w celu zabezpieczenia systemów. Grupy ransomware często uzyskują dostęp do systemów detalicznych, oszukując użytkowników, aby weszli z nimi w interakcję lub pobrali podejrzany plik. Błąd ludzki to nie aspekt, który można usunąć z profilu ryzyka organizacji.

Dla europejskich sprzedawców detalicznych niezwykle ważne jest szybkie wykrywanie ataków i podejmowanie odpowiednich środków zaradczych w celu wyeliminowania zagrożenia, zanim zostaną wyrządzone dodatkowe szkody. Sprzedawcy detaliczni mogą ustanowić możliwość wykrywania za pośrednictwem rozwiązania Bitdefender Endpoint Detection and Response (EDR), platformy Bitdefender Extended Detection and Response (XDR) lub usługi Managed Detection and Response (MDR). Narzędzie, które jest najbardziej odpowiednie dla organizacji, różni się w zależności od jej potrzeb, zasobów wewnętrznych i tolerancji ryzyka.

Tego typu narzędzia wykrywania i reagowania mogą zminimalizować czas, jaki atakujący spędzają niezauważeni w systemach sprzedawców detalicznych, i są ważne w walce z partnerami RaaS stosującymi podobne taktyki.

Możliwości, które wspierają szybką reakcję, istotną część zarządzania incydentami, pomagają również organizacjom w szybkim i skutecznym minimalizowaniu wpływu ataków, oferując jednocześnie sposoby na przeprowadzenie działań naprawczych i poszukiwanie dodatkowego wsparcia. Poprzez identyfikację i zatrzymanie atakujących, zanim będą mogli przeprowadzić ostateczny atak, te rozwiązania mogą znacznie zmniejszyć ryzyko zakłócającego i kosztownego ataku ransomware.

Handel detaliczny: prawdziwy cel dla grup ransomware

Ransomware nie jest problemem tylko dla organizacji z branż wysokiego ryzyka. Cyberprzestępcy coraz częściej atakują europejskie firmy, a w pierwszych kilku miesiącach 2025 r. odnotowano 85% wzrost ataków ransomware na organizacje detaliczne w samej tylko Wielkiej Brytanii. Teraz nadszedł czas, aby organizacje przyjrzały się uważnie swojej postawie w zakresie cyberbezpieczeństwa, zidentyfikowały istniejące zagrożenia bezpieczeństwa i pracowały nad ich priorytetyzacją i wyeliminowaniem.