Co je to Ransomware?
Definice ransomware je jednoduchá. Jak již z jeho názvu vyplývá, kliknete – stáhnete – zaplatíte. Ransomware je typ malware, který po napadení systému zašifruje důležité soubory, extrahuje data, blokuje přístup ke složkám či zařízení a někdy dokonce vypne celý IT systém. Tento druh malwaru využívá sofistikované šifrovací techniky, které zaručují, že oběť útoku nemůže obnovit svá data bez dešifrovacího klíče, ten mají pouze útočníci a poskytnou ho jedině za zaplacení výkupného.
Malware se do zařízení může dostat několika způsoby, kliknutím na přílohu e-mailu nebo mezerou v zabezpečení, nicméně o tom se podrobně dočtete v dalších odstavcích.
Hackery nejčastěji zajímají cenná data – přihlašovací údaje, údaje klientů a zákazníků, know-how a duševní vlastnictví. V roce 2023 bylo nejvíce útoků zaznamenáno ve státních organizacích a maloobchodu, útoky se nevyhnuly ani nemocnicím a vzdělávacím institucím. Ransomware útokem jsou tedy ohroženy firmy všech velikostí z různých odvětví. Čím citlivější data firma má, tím se zvyšuje riziko útoku.
WannaCry
Jedním z nejznámějších ransomware útoků byl WannaCry, který v roce 2017 infikoval více než 200 000 počítačů ve více než 150 zemích. Hackerská skupina známá jako The Shadow Brokers odhalila zranitelnost ve Windows, která byla nazvána Eternal Blue. Tento útok způsobil obrovské škody v hodnotě zhruba 4 miliard dolarů, zejména ve zdravotnických zařízeních.
Brenntag a Colonial Pipeline
V roce 2021 se pod ransomware útokem ocitla německá společnost zajištující distribuci chemikálií, především paliva, Brenntag. Stejná společnost pod názvem Colonial Pipeline provozuje největší ropovodní systém v USA. Za útokem stála skupina DarkSide, při tomto útoku hackeři ukradli více než 150GB osobních informací a vyhrožovali jejich zveřejněním. Jako důkazy o krádeži dat zveřejnili screenshoty některých ukradených souborů. Společnost nakonec za data zaplatila okolo 4.4 milionů dolarů.
Útok na Colonial Pipeline byl jedním z nejvýznamnějších kybernetických incidentů posledních let. Útok způsobil dočasné uzavření potrubí v USA, paralyzoval na několik dní významnou část americké infrastruktury a vyvolal obavy o energetickou bezpečnost.
ELTA – Hellenic Post
V roce 2022 vyřadil ransomware útok z provozu řeckou poštu, která musela v důsledku útoku odpojit a izolovat všechna datová centra. Pošta nebyla schopna přijímat a odesílat zásilky a provádět finanční transakce.
Mezery v zabezpečení a e-mail smrti
Ransomware se šíří různými způsoby, jeden z nich se dle výzkumu firmy Sophos za rok 2023 vyjímá na poli četnosti, tím jsou zranitelnosti v aplikacích, které tvoří 32 % ze všech způsobů napadení.
Druhým nejčastějším způsobem, jak hackeři přebírají kontrolu nad zařízeními, je krádež přihlašovacích údajů.
Nejjednodušší metoda šíření ransomware je prostřednictvím nebezpečných e-mailů a phishingových útoků. E-mail se tváří jako legitimní komunikace od institucí nebo známých osob, obsahuje však podezřelou přílohu nebo odkaz, po jeho otevření je do zařízení stáhnut nakažený software, který po instalaci začne prohledávat nejen veškeré lokální soubory ale také celou okolní síť.
O prevenci phishingu jsme psali v tomto článku.
Druhy ransomware
- Leakware: data mohou být zašifrována nebo ukradena s výhružkou zveřejnění při nezaplacení. Útočníci si data zároveň ukládají.
- Scareware: na obrazovce se objeví oznámení o infikaci malwarem a jeho odstranění je možné pouze za zaplacení výkupného.
- Wiper: data budou zašifrována a v případě nezaplacení trvale odstraněna. Hackeři si data neukládají!
V momentě, kdy se malware dostal do zařízení, útočníci nebo program začne zkoumat infikovaný systém a hledat data a soubory ke krádeži. V některých případech hackeři napřímo ovládají systém nebo síť na dálku. Po prohledání systému a nalezení citlivých dat, přejde šifrovací malware k zamykání souborů, ve vážnějších případech také smaže veškeré zálohy.
Po dokončení procesu šifrování nebo mazání dat, systém informuje o ransomware útoku prostřednictvím vyskakovacích oken nebo textovým souborem, který se objeví na ploše. Útočníci tímto způsobem sdělí výši výkupného a instrukce pro jeho zaplacení.
Zaplatit či nezaplatit, to je oč tu běží
Samotný princip nápravy škod po ransomware útoku je celkem jednoduchý. Když je zaplaceno výkupné, data jsou vrácena. Není zaplaceno výkupné, nápravy škod budou stát možná daleko víc. Avšak záruka, že po zaplacení výkupného budou data opravdu obnovena neexistuje.
Máte zálohovaná data? Útočníci jsou si moc dobře vědomi toho, že téměř všichni zálohují. Proto se snaží zálohy najít a rovněž zašifrovat a ve většině případů (57 % případů) se to povede. Zálohovaná data zaručí nejrychlejší zotavení po útoku a nejmenší náklady s tím spojené, přičemž ideální prevencí jsou offline zálohy, ke kterým se útočníci nedostanou.
Problematická situace nastává v případech, kdy útočník zálohy dohledá a nainstaluje tzv. Backdoor, neboli vzdálený přístup. Po obnovení této zálohy se proces opakuje a data se opět mění na nepoužitelná. V tomto případě se musí provést důkladná analýza a odstranit infikovaný soubor, takové trasování může trvat i několik týdnů.
Dle analýzy Sophos získala 35 % firem svá data zpět během týdne, třetině obnova dat a procesů trvala maximálně měsíc a 27 % firem uvedlo, že na plné zotavení po útoku potřebovali 1-3 měsíce.
Jak se chránit před ransomware
Zálohování dat
Pravidelná záloha data na externí úložiště nebo do cloudu minimalizuje dopady ransomware útoků. Zálohy by měly být uloženy tak, aby byly odpojené od sítě a malware se k nim nedostal.
Aktualizace systémů
Ransomware se rád šíří ve zranitelnostech zastaralých software. Pravidelná aktualizace operačních systémů a aplikací je vhodným preventivním opatřením.
Školení Zaměstnanců
Zaměstnance je vhodné pravidelně školit tak, aby byly schopni rozpoznat phishingové
e-maily a vědět, jak reagovat na podezřelé aktivity a zprávy.
Silná hesla a dvoufaktorové přihlašování
Jelikož krádež přihlašovacích údajů bývá druhou nejčastější příčinou šíření ransomware, je silné heslo a dvoufaktorové přihlašování základním předpokladem ochrany zařízení.
Co dělá heslo silným?
- délka: Čím delší heslo, tím obtížnější je pro hackery jeho prolomení
- doporučujeme používat hesla o minimální délce 13 znaků
- kombinace: Heslo by mělo obsahovat kombinaci velkých a malých písmen, čísel a speciálních znaků (@, #, $, _atd.). Vyhněte se používání běžných slov a frází, které hackeři snadno prolomí
- jedinečnost: Pro každý účet používejte jiné heslo. Neulehčujte hackerům práci a nikdy nepoužívejte stejné heslo pro více účtů
- používejte správce hesel: My doporučujeme KeePass, ale existují i jiné alternativy
- neukládejte si hesla do prohlížečů Chrome apod.
- jednou ročně hesla změňte
Antivirové nástroje
Silná základní bezpečnost je klíčová, včetně technologií pro ochranu koncových bodů,
e-mailů a firewallů. Použití kvalitních nástrojů může pomoci detekovat a blokovat ransomware před tím, než způsobí škody.
Správně nastavená segmentace a konfigurace interní sítě zamezí šíření ransomware v případě kdy ho aktivní ochrana nedetekuje.
Penetrační testy zranitelností
Nejlepší ransomware útok je ten, který se nestal, protože se útočníkům nepodařilo dostat skrz zabezpečení. Mít vhodně zabezpečené systémy je nejspolehlivějším a nejsilnějším způsobem obrany proti hackerským útokům. Pravidelné skeny zranitelností a důkladné penetrační testy odhalí možné mezery v kyberzabezpečení.
Pro tyto případy máme připravený speciální scénář testu interní sítě, kdy simulujeme útočníka, který ovládl uživatelskou stanici a zjišťujeme, co by se všechno mohlo při takovém útoku stát. Více o něm se dočtete zde.
Trendy v ransomware útocích
Ransomware jako služba (RaaS):
Stejně jako „software jako služba“ (SaaS), existuje model, kdy hackeři nabízejí svůj ransomware jako službu ostatním hackerům, což bohužel vede k většímu počtu útoků.
Dvojité vydírání:
Kromě šifrování dat útočníci často kopírují data a hrozí jejich zveřejněním, pokud oběť nezaplatí výkupné. Jejich cílem je zvýšení tlaku na oběť, protože zveřejnění dat může mít mimo ztráty dat také vážné reputační a finanční následky.
Cílené útoky:
Hackeři se stále více zaměřují na konkrétní organizace a jednotlivce, které mohou zaplatit vyšší výkupné. Před útokem si své potenciální oběti důkladně prověří a využijí prostředků sociálního inženýrství k získání přístupu do systémů.
Mobilní ransomware:
Telefon má dnes téměř každý, a proto se objevuje i mobilní ransomware, který cílí na smartphony a tablety. Napadány jsou převážně zařízení s operačním systémem Android.
Zmiňované statistické údaje pocházejí z mezinárodního průzkumu společnosti Sophos z roku 2023 https://www.sophos.com/en-us/content/state-of-ransomware