Zaplatit či nezaplatit – to je oč tu běží

Ransomware je už několik let v řadě nejčastější příčinou přerušení provozu firem a organizací a ztráty dat v souvislosti s kybernetickým útokem. A nic nenasvědčuje tomu, že by to letos mělo být jinak.

V průběhu času ransomwarových útoků nejen přibývá (například společnost Veeam, která se zabývá zálohováním a obnovou podnikových dat uvádí, že se s ransomwarovým útokem loni setkalo 69 % východoevropských firem a organizací), ale také se mění profil a strategie útočníků – v obou případech výrazně k horšímu. Především se výrazně snížila úroveň znalostí a zkušeností, kterou musí kyberzločinec disponovat, aby se mohl pokusit o vlastní vyděračský útok prostřednictvím ransomwaru. Z ransomwaru se totiž stala komodita, ne nepodobná dalším typům softwaru, které je možné koupit s trvalou licencí, nebo si je předplatit. Pro tuto příležitost máme i nový pojem – Ransomware as a Service (RaaS). Takže útočníkem se dnes může stát skoro každý – což má jistě svůj vliv na rostoucí počet útoků.

Trojí vydírání

Nepříjemným vývojem prošla i strategie kyberzločinců. Zatímco původně bylo cílem útočníků zašifrování důležitých dat oběti a vymáhání výkupného za jejich opětovné zpřístupnění (samozřejmě bez jakékoli záruky, že k němu po zaplacení dojde), dnes jsou ransomwarové útoky ještě zákeřnější. Kyberzločinci se totiž kromě zašifrování snaží důležitá data napadené organizace nejprve ukrást a získat tak další páku při vyjednávání o výkupném. Jejich nová nabídka zní: pokud nezaplatíte, vaše systémy zůstanou zablokované a citlivá data navíc zveřejníme. A pak je tu ještě třetí úroveň vydírání, kdy se útočníci s požadavkem na výkupné obracejí i na třetí stranu – typicky partnery nebo zákazníky napadené firmy – s výhružkou zveřejnění citlivých dat, která se jich týkají. Devastující vliv trojího vydírání na vztah mezi napadenou firmou a jejími zákazníky nebo obchodními partnery si asi umíme domyslet všichni.

Prevence je základ

Než se dostaneme k doporučením, co dělat při napadení ransomwarem, shrňme si hlavní preventivní kroky, které vám mohou pomoci vůbec se nedostat do situace, kdy byste museli s kyberzločinci jednat o výkupném za vaše data:

• Nepodceňujte hrozbu ransomwaru – je naprosto reálná, kriticky nebezpečná a vyžaduje, aby na ni byla vaše organizace připravena.
• Neexistuje nic jako „nepotřebná data“ – to, že v daném počítači nebo serveru nejsou citlivá data neznamená, že by jeho napadení nemělo vliv na chod vaší organizace. Zašifrování obsahu počítače totiž znamená, že bude zablokován a stane se nepoužitelným.
• Zaměstnanci jsou první linií obrany – Bez ohledu na to, jak kvalitní bezpečnostní řešení nasadíte, stále jsou to zaměstnanci, kdo se často s útokem setká jako první. Na jejich reakci pak záleží, jestli útočník pronikne do sítě, nebo bude hned v zárodku odražen. Proto je důležité zaměstnance průběžně vzdělávat, zvyšovat jejich povědomí o kybernetických útocích, trénovat jejich rozpoznávání a mít nastavená pravidla a postupy pro případ útoku.
• Nechte si poradit se zabezpečením – Existuje nespočetné množství bezpečnostních řešení, které pomohou (nejen) ransomwarový útok detekovat a zastavit. Celá problematika kyberbezpečnosti je ale natolik složitá, že se vyplatí konzultovat ji se speciality v oboru. Velmi vhodným řešením je také zabezpečení formou služby, jako je náš O2 Next Generation Firewall. Není pak třeba najímat bezpečnostní specialisty a investovat do nákladného bezpečnostního řešení.
• Šifrujte citlivá data – Vícenásobnému vydírání se lze bránit tak, že budete všechna citlivá data důsledně šifrovat. Útočníkovi se pak sice může podařit zablokovat ransomwarem vaši síť, ale pokud jde o odcizení dat, získá jen šifrované soubory, které jsou pro další vydírání nepoužitelné.
• Udržujte bezpečné zálohy dat – Zálohování dat musí být naprostou samozřejmostí. Ale pozor – ransomware může napadnout i zálohy, které se nacházejí v podnikové síti. Ochranu před zašifrováním zajistí jen záloha uložená mimo podnikovou síť – a ideálně i v odlišné lokalitě.

Je potřeba si uvědomit, že záloha dat je až poslední instancí – pokud ji potřebujete použít, znamená to, že útočník při napadení vaší organizace uspěl, protože selhaly všechny ostatní bezpečnostní mechanismy. A jak tedy postupovat v případě úspěšného útoku a žádosti o výkupné za vaše data?

Než se rozhodnete zaplatit…

Jestliže máte k dispozici zálohu, ze které lze systémy a data rychle obnovit, je načase ji použít. Bohužel vás to ale nijak neochrání před dalším vydíráním – pokud došlo o odcizení dat. Organizace bez použitelné zálohy často vidí svoji situaci jako bezvýchodnou a nezřídka se rozhodnou výkupné zaplatit.

Studie The State of Ransomware 2021 společnosti Sophos uvádí, že k zašifrování dat došlo při více než polovině (54 %) ransomwarových útoků. Třetina (32 %) obětí se rozhodla výkupné zaplatit, ale pozor – po zaplacení bylo průměrně obnoveno jen 65 % dat. To znamená, že i přes přistoupení na podmínky vyděračů byla více než třetina dat stejně ztracena. Všechna svá data získalo zpět jen 8 % obětí útoků. Nejčastěji jsou k zaplacení výkupného ochotné podniky z oblasti energetiky, zpracování a distribuce ropy a zemního plynu a veřejných služeb. Nelze si přitom nevzpomenout, na společnost Colonial Pipeline, která zaplatila výkupné ve výši 4,4 milionu dolarů.

Zaplacení výkupného se tedy neukazuje jako nejlepší možnost a rozhodně ji nemůžeme doporučit. Situace kolem ransomwaru navíc spěje k tomu, že zaplacené výkupné nebude možné uplatnit jako škodu při pojištění firmy na kybernetická rizika. Například pojišťovna AXA již ve Francii oznámila, že v rámci nových pojistných smluv na kybernetická rizika nebude pokrývat výkupné zaplacené kyberzločincům. Nizozemská vláda pak uvažuje o všeobecném zákazu proplácet z pojištění náklady na výkupné při ransomwarových útocích. Cílem takových opatření je samozřejmě omezení finančních zdrojů kyberzločinců.

Nemusí být vše ztraceno

Pokud se stanete obětí ransomwarového útoku, je nutné zachovat chladnou hlavu a zvážit všechny možnosti. Zaplacení výkupného by mělo být ze všech možností až tou poslední – už jen proto, že nijak nezaručuje, že budou vaše data opravdu obnovena. Rozhodně se vyplatí kontaktovat nejdříve specializované bezpečnostní firmy, které mohou pomoci se záchranou dat, například pomocí dešifrovacích nástrojů, dostupných pro některé známé typy ransomwaru.

Ale i pokud se vám podaří vypořádat se s útokem vlastními silami, a například obnovit data ze zálohy, je naprosto nezbytné provést forenzní analýzu, která může odhalit případné přetrvávání škodlivého softwaru ve vaší síti.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.