Ransomware je v roce 2024 ještě zákeřnější než kdy dřív. Co o něm dnes musíte vědět?

Petra Javornická
18. 07. 2024

Ransomware je v roce 2024 ještě zákeřnější než kdy dřív. Co o něm dnes musíte vědět?

Ransomware je postrach každé firmy. Stažení jedné infikované přílohy z e-mailu může vyústit v kompletní paralýzu IT systémů. A zatímco v minulosti tlačili útočníci na zaplacení výkupného možností získání šifrovacího klíče k napadeným datům, nyní útočníci vyhrožují nejen blokováním přístupů, ale také zveřejňováním citlivých dat na internetu. Odborníci se navíc shodují, že útoky jsou čím dál násilnější.

Ransomware je typ škodlivého softwaru, jehož cílem je zašifrovat, znemožnit nebo výrazně omezit přístup k datům, zařízením, nebo dokonce celým IT systémům oběti. Podle nedávné zprávy bezpečnostní firmy Mandiant byl rok 2023 rekordním rokem pro ransomware. Podle zprávy zaplatily oběti gangům více než miliardu dolarů – a to jsou navíc jen platby, o kterých víme (řada firem útoky tají). A průměrná výše výkupného za dešifrování dat po ransomwarovém útoku se podle výroční studie společnosti Sophos o stavu ransomwaru v minulém roce vyšplhala na 2 miliony dolarů – to je dokonce pětinásobek částky, zjištěné o rok dříve.

Zmiňme pro představu o zákeřnosti ransomwaru jeden z dosud největších útoků, a to ten z roku 2021 na Colonial Pipeline, největšího provozovatele sítě potrubí pro přepravu ropných produktů v USA. Potrubí Colonial Pipeline zajišťuje 45 % dodávek pohonných hmot na východním pobřeží a přepravuje 2,5 milionu barelů ropy denně. Tuto firmu tehdy vyřadila z provozu na několik dní zločinecká hackerská organizace DarkSide – a spolu s tím i kritickou energetickou infrastrukturu. Důvod? Stejný jako vždy – získat vysoké výkupné.

Ransomware se navíc neustále vyvíjí. Zatímco dříve šlo zejména o plošné útoky, dnes jde často o cílené akce. A jestli v minulosti hackeři oběti pouze vyzývali, aby výkupné zaplatily pro získání šifrovacího klíče k napadeným datům nebo zařízením, nyní útočníci vyhrožují při nezaplacení nejen blokováním přístupů, ale také zveřejňováním citlivých dat na internetu.

Ransomware útoky v Česku

Riziko pro firmy má několik úrovní – od nemožnosti provozovat chod organizace přes narušení důvěry zákazníků až po sankce ze strany regulačních úřadů. Ransomware proto představuje jeden z nejzákeřnějších způsobů, jak narušit provoz firem i dalších organizací.

Své o tom ví například česká pobočka společnosti Bizerba. Tu v roce 2022 napadl ransomware útok LockBit. Bizerba se rozhodla výkupné nezaplatit a obrátila se na policii, což vedlo k dlouhému a náročnému procesu obnovy.

Poněkud drahý teambuilding. Jak firma přežila útok ransomwarem LockBit

Zobrazit článek

Zaměstnanci například v prvních týdnech museli improvizovat a používat tužku a papír, když nefungovaly IT systémy. Někteří z nich dokonce přinesli z domova inkoustové tiskárny, aby mohli vytisknout potřebné dokumenty. Společnost byla ochromená na několik měsíců a útok způsobil finanční ztráty v milionech korun.

Vedle zdravotnických zařízení, která stále patří mezi časté cíle tohoto typu útoku, se ransomware rozhodně nevyhýbá ani dalším odvětvím. Podle celosvětového průzkumu společnosti Sophos, která v roce 2023 provedla průzkum kybernetické bezpečnosti mezi třemi tisíci IT profesionály, se přibližně dvě ze tří organizací během loňského roku s ransomwarem setkaly. Nejvíce zasažený byl v této studii sektor vzdělávání, kde se útoky dotkly přibližně čtyř z pěti organizací. Realita je ale taková, že ohrožení čelí téměř všichni.

Jak obvykle probíhá ransomware útok?

Získání přístupu

Nejčastěji s využitím phishingu nebo jiného druhu sociálního inženýrství. Zvláštní hrozbou jsou tzv. zranitelnosti nultého dne neboli zranitelnosti, které bezpečnostní komunita zatím nezná nebo které už byly identifikovány, ale dosud nedošlo k jejich zabezpečení.

Post-exploitace v závislosti na počátečním vektoru přístupu může další fáze útoku zahrnovat práci s nástrojem pro vzdálený přístup (RAT). Jedná se o software, který umožňuje uživateli vzdáleně ovládat a spravovat počítač nebo síť.

Rozšíření útoku

V této fázi útoku se útočníci zaměřují na pochopení místního systému a domény, ke kterým mají aktuálně přístup. Útočníci také pracují na získání přístupu do dalších systémů a domén (tzv. laterální pohyb).

Sběr a exfiltrace dat

Zde se šiřitelé ransomwaru zaměří na identifikaci cenných dat a jejich exfiltraci (krádež), obvykle stažením nebo exportem kopie pro sebe. Útočníci sice můžou exfiltrovat veškerá data, ke kterým mají přístup, ale obvykle je zajímají obzvláště cenná data – přihlašovací údaje, osobní údaje zákazníků, duševní vlastnictví. Zkrátka cokoliv, co lze použít k vydírání.

Nasazení a odeslání vzkazu

Kryptografický ransomware začne identifikovat a šifrovat soubory. Někdy také deaktivuje funkci obnovy systému nebo odstraní či zašifruje zálohy v počítači nebo síti oběti, aby zvýšil tlak na zaplacení dešifrovacího klíče. Nešifrující ransomware zase zamyká obrazovku zařízení, zaplavuje zařízení vyskakovacími okny nebo jinak brání oběti v používání zařízení.

Oznámení a požadavek na výkupné

Jakmile jsou soubory zašifrované nebo zařízení deaktivované, ransomware oběť upozorní na infekci, často prostřednictvím vyskakovacího okna nebo souboru .txt uloženého na ploše počítače. Oznámení o výkupném obsahuje pokyny, jak zaplatit výkupné, obvykle v kryptoměně nebo podobně nevystopovatelným způsobem. Platba je výměnou za dešifrovací klíč nebo obnovení standardních operací.

Trendy posledních let: AI a větší brutalita

Přestože konec roku 2022 naznačoval klidnější časy, v roce 2023 útoky ransomwaru zaznamenaly prudký nárůst. Odborníci oslovení magazínem Wired popisují, že útoky jsou v roce 2024 stále častější a násilnější. Podle zdrojů Světového ekonomického fóra se hackeři v uplynulých dvou letech začali víc zaměřovat na IT a fyzické dodavatelské řetězce.

K nárůstu počtu útoků přispívají i pokroky v AI. Hackeři totiž používají k psaní kódu jazykové modely s umělou inteligencí, jako je ChatGPT. Generativní umělá inteligence může méně zdatným podvodníkům pomoci vytvářet nové kmeny a varianty stávajícího ransomwaru, což může zvýšit počet útoků, které je možné provést.

Distributoři ransomwaru také můžou prodávat ransomware na digitálních tržištích nebo přímo nabírat partnery prostřednictvím online fór či podobných platforem. Velké skupiny ransomwaru, jako DarkSide, Ryuk, Maze nebo LockBit, investují do získávání dalších partnerů značné částky.

Klíčovým faktorem vyšší četnosti útoků je také takzvaný Ransomware-as-a-Service (RaaS). RaaS je model, který funguje na podobném principu jako běžné softwarové služby. Poskytovatelé získávají podíl ze zisku, v tomto případě vytvořeného úspěšnými útoky. Tím se umožňuje prakticky komukoli s minimálními technickými znalostmi provádět ransomware útoky. Tyto sady, jejichž ceny začínají už na 40 dolarech (tedy asi 900 korunách), poskytují útočníkům potřebné nástroje a infrastrukturu k infikování počítačových systémů škodlivým softwarem.

Gangy také provádějí útoky rychleji. Průměrný počet dní potřebných k provedení jednoho útoku klesl z přibližně šedesáti dnů v roce 2019 na čtyři v současnosti. Většina útoků ransomwaru nyní zahrnuje krádež osobních nebo citlivých obchodních údajů za účelem vydírání, což zvyšuje náklady a složitost incidentů a přináší rovněž větší potenciál k poškození pověsti organizace.

Jak se mohou firmy bránit?

Ransomware můžete považovat za lakmusový papírek vašeho IT zabezpečení. Tento typ útoku totiž jde provést mnoha cestami. To na společnosti klade ještě větší nároky na komplexní zabezpečení, které je schopné čelit phishingovým útokům a sociálnímu inženýrství. Mimo to je potřeba mít pod kontrolou vzdálené přístupy jako RDP (Remote Desktop Protocol). V neposlední řadě pak monitorovat jakékoliv zranitelnosti v operačních systémech. A protože jakmile se podaří ransomware nasadit na jednom zařízení, může se z něj rychle rozšířit do dalších zařízení v síti, musí i ochrana zahrnovat celou síť a všechna připojená zařízení, aby se v případě útoku zabránilo šíření infekce.

10 bodů, jak se firmy mohou bránit ransomware útokům
1. Pravidelné zálohování dat: Provádějte pravidelné zálohy dat a uchovávejte je na oddělených a zabezpečených místech, která nejsou přímo přístupná z hlavní sítě.
2. Aktualizace softwaru a systémů: Pravidelně aktualizujte operační systémy, aplikace a veškerý software, aby byly opravené známé zranitelnosti.
3. Silná hesla a dvoufaktorová autentizace: Používejte silná, komplexní hesla a implementujte dvoufaktorovou autentizaci pro všechny uživatele.
4. Firewall a antivirové programy: Nasazujte a udržujte aktualizované firewally a antivirové programy, které mohou detekovat a blokovat škodlivý software.
5. Bezpečnostní školení zaměstnanců: Pravidelně školte zaměstnance o bezpečnostních hrozbách, phishingových útocích a o tom, jak rozpoznat podezřelé e-maily a odkazy.
6. Omezení přístupu: Používejte princip minimálních práv a omezujte přístup k systémům a datům pouze na ty zaměstnance, kteří je skutečně potřebují ke své práci.
7. Monitorování sítě: Pravidelně monitorujte síťovou aktivitu pro detekci neobvyklých nebo podezřelých činností, které by mohly naznačovat pokus o útok.
8. Incident response plán: Mějte připravený a otestovaný plán reakce na incidenty, který zahrnuje postupy pro rychlé zotavení po ransomware útoku.
9. E-mailová bezpečnost: Implementujte pokročilé filtrační systémy na e-mailové servery, aby se minimalizovalo riziko doručení phishingových e-mailů a škodlivých příloh.
10. Bezpečnostní audity a penetrační testy: Provádějte pravidelné bezpečnostní audity a penetrační testy, abyste identifikovali a opravili potenciální zranitelnosti dříve, než je mohou útočníci zneužít.

Základní bezpečnostní strategie by měla vyžívat širokou škálu bezpečnostních technologií, včetně firewallů a antivirových programů, systémů IDPS pro detekci a prevenci pokusů o průnik, pokročilé ochrany a monitoringu koncových zařízení a šifrování dat. Měli byste zároveň mít připravený plán reakce na incidenty, který zahrnuje kroky pro rychlou izolaci infikovaných systémů, obnovení dat ze záloh a komunikaci se zainteresovanými stranami.

Co si z článku odnést?

Ransomware je typ škodlivého softwaru. Jeho cílem je zašifrovat, zakázat nebo výrazně omezit přístup k datům, zařízením, nebo dokonce celým IT systémům. Motivací útočníků je přitom získání výkupného.
Jde o převládající typ útoku, kterému dříve čelila hlavně zdravotnická zařízení, nyní ale cílí na různé organizace a instituce bez ohledu na odvětví.
Modely generativní umělé inteligence jako ChatGPT usnadňují tvorbu a rychlejší šíření ransomwaru.
Útočníci v současnosti používají metodu dvojího až trojího vydírání, kdy nejen ohrožují chod společnosti, její reputaci a důvěru klientů, ale také vyhrožují zveřejněním ukradených citlivých dat.
Pro snížení rizika útoku je třeba ve firmě snížit riziko phishingu, monitorovat a včas opravovat zranitelnosti v IT systému.