Ransomware: zaplatit či nezaplatit výpalné a co dělat při napadení?
Průměrný týdenní počet ransomwarových útoků vzrostl za uplynulých 12 měsíců o 93 %. Každý týden se více než 1200 organizací na světě stane obětí vyděračského útoku, v ohrožení jsou všechny organizace, bez výjimky.
Z dat společnosti Cybersecurity Ventures plyne, že škody způsobené
ransomwarem dosáhnou letos částky přibližně 20 miliard dolarů, což je 57násobný
nárůst oproti roku 2015. Do roku 2031 by náklady na ransomwarové incidenty mohly
dokonce překonat těžko uvěřitelnou částku 265 miliard dolarů.
Počet ransomwarových útoků roste z prostého důvodu, hackerům se vyplácí.
Ochota zaplatit vytváří nebezpečnou smyčku a zvyšuje motivaci útočníků. Navíc
je stále běžnější pojištění kybernetických rizik, takže společnosti neváhají
splnit požadavky kyberzločinců, což problém dále prohlubuje.
Nárůst útoků souvisí i s dostupností hrozeb. Řada hackerských skupin nabízí
ransomware jako službu, takže kdokoli si tento typ hrozby může pronajmout,
včetně infrastruktury, vyjednávání s oběťmi nebo vyděračských webových stránek,
kde je možné zveřejňovat ukradené informace. Výkupné se potom mezi „partnery“
dělí.
Ransomwarový útok mnohdy nezačíná ransomwarem. Na začátku bývá „obyčejný“ phishingový
e-mail. Hackerské skupiny navíc spolupracují. Při útocích ransomwaru Ryuk byl k
proniknutí do sítě používán malware Emotet, následně byla síť infikována Trickbotem
a až nakonec došlo k zašifrování dat ransomwarem.
Jste napadeni?
Jak vůbec poznáte, že jste obětí ransomwarového útoku a jak byste měli
reagovat? Pokud útok nezachytíte včas, pak to zjistíte poměrně jednoduše,
zobrazí se vám totiž zpráva se žádostí o výkupné a nedostanete se ke svým
datům.
Kyberzločinci své techniky neustále zdokonalují, aby ještě zvýšili tlak na
zaplacení. Původně ransomware „jen“ zašifroval data a za jejich odemčení
požadoval výkupné. Útočníci brzy přidali druhou fázi, a ještě před zašifrováním
ukradli cenné informace, přičemž hrozili jejich zveřejněním, pokud nedojde k
zaplacení výkupného. Asi 40 % nových ransomwarových rodin využívá kromě
šifrování i krádež dat. V poslední době sleduje společnost Check Point Research
navíc třetí fázi, kdy jsou kontaktováni i partneři obětí, zákazníci nebo
novináři.
Pokud už k ransomwarovému útoku dojde, měli byste se držet
následujících kroků:
1) Zachovejte chladnou hlavu
Pokud se stanete obětí ransomwarového útoku, v první řadě je důležité
nepanikařit. Okamžitě kontaktujte bezpečnostní tým a udělejte si foto
vyděračské zprávy, bude se vám hodit pro policejní orgány i další vyšetřování.
2) Izolujte napadené systémy
Okamžitě odpojte infikované systémy od zbytku sítě, aby se zabránilo dalším
škodám. Zároveň identifikujte zdroj infekce. Jak už bylo zmíněno, ransomwarový
útok obvykle začíná jinou hrozbou a hackeři se v systému mohli pohybovat
dlouhodobě a postupně maskovat stopy, takže odhalení „pacienta nula“ nemusí
většina společností zvládnout bez externí pomoci.
3) Pozor na zálohy
Útočníci dobře ví, že organizace se budou snažit obnovit svá data ze záloh,
aby se tak vyhnuly placení výkupného. Proto jednou z fází útoků bývá i
snaha vyhledat a zašifrovat nebo smazat zálohy. K infikovaným zařízením
také nikdy nepřipojujte externí zařízení! Při obnově zašifrovaných dat může
dojít k jejich poškození, například vinou chybného klíče. Proto může být
užitečné vytvořit kopie zašifrovaných dat. Postupně také vznikají dešifrovací
nástroje, které mohou pomoci rozluštit i dříve neznámý kód. Pokud jste vytvořili
zálohy, které nebyly zašifrovány, zkontrolujte před úplnou obnovou integritu
dat.
4) Žádné restarty ani údržba systému
Vypněte automatické aktualizace a jiné úlohy související s údržbou
infikovaných systémů. Pokud by došlo ke smazání dočasných souborů nebo jiným
změnám, mohlo by to zbytečně zkomplikovat vyšetřování a nápravu škod. Zároveň systémy
nerestartujte, některé hrozby pak mohou začít mazat soubory.
5) Spolupracujte
V boji s kyberzločinem, a ransomwarem obzvlášť, je spolupráce
klíčová. Kontaktujte proto policejní orgány a národní kybernetické úřady a
neváhejte se obrátit na specializovaný tým reakce na incidenty (Incident
Response Team) některé renomované kyberbezpečnostní společnosti. Informujte o
incidentu i zaměstnance, včetně pokynů, jak v případě jakéhokoli
podezřelého chování postupovat.
6) Určete typ ransomwaru
Pokud přímo ve zprávě od útočníků není uvedeno, o jaký typ ransomwaru se
jedná, pak můžete využít některý z bezplatných nástrojů a zároveň
navštivte stránky projektu „No More Ransom“, možná tam najdete dešifrovací nástroj právě pro váš
ransomware.
7) A nakonec: zaplatit či ne?
Pokud je ransomwarový útok úspěšný, stojí organizace před volbou, jestli
zaplatit výkupné nebo ne. Společnosti se každopádně musí vždy vrátit na úplný
začátek a zjistit, proč k danému incidentu došlo. Jestli selhal lidský faktor
nebo technologie, znovu projít všechny procesy a přehodnotit celou strategii,
aby se podobný incident už nikdy neopakoval. Projít tímto kolečkem je nutné bez
ohledu na zaplacení/nezaplacení. Nikdy se nelze uklidnit tím, že došlo nějakým
způsobem k obnově dat a považovat incident za vyřešený.
A zaplatit tedy nebo ne? Odpověď není tak jednoduchá, jak se na první
pohled zdá. I když se někdy částky pohybují ve stovkách tisíc nebo milionech
dolarů, výpadky kritických systémů mohou tyto částky hravě překonat. Je nutné
si ale uvědomit, že i když výkupné zaplatíte, neznamená to, že skutečně dojde k
dešifrování dat nebo alespoň jejich části. Jsou známy i případy, kdy útočníci
dokonce mají chyby v kódech, takže data nemohou obnovit, ani kdyby chtěli.
S rozhodnutím nespěchejte a pečlivě zvažte všechny možnosti. Platba
výkupného by měla být až opravdu tou úplně poslední možností.
Jak můžete minimalizovat
rizika, že budete další obětí ransomwaru?
1.
O víkendech a
svátcích buďte obzvláště ostražití. Většina ransomwarových útoků za poslední
rok probíhala o víkendech nebo svátcích, kdy je větší pravděpodobnost, že
organizace na hrozbu zareagují pomaleji.
2.
Pravidelně
instalujte aktualizace a záplaty. WannaCry v květnu 2017 zasáhl tvrdě
organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů.
Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou
zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a
automaticky.
3.
Nainstalujte
si anti-ransomware. Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým
neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů.
Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě
reagovat a zabránit masivním škodám.
4.
Vzdělávání je
nezbytnou součástí ochrany. Mnoho kyberútoků začíná cíleným e-mailem, který
neobsahuje malware, ale pomocí sociálního inženýrství se snaží nalákat
uživatele, aby klikl na nebezpečný odkaz. Vzdělávání uživatelů je proto jednou
z nejdůležitějších součástí ochrany.
5.
Ransomwarové
útoky nezačínají ransomwarem, proto pozor i na jiné škodlivé kódy, jako jsou
například Trickbot nebo Dridex, které proniknou do organizací a připraví půdu
pro následný ransomwarový útok.
6.
Zálohování a
archivace dat je základ. Pokud se něco pokazí, vaše data by mělo být možné
snadno a rychle obnovit. Je nutné důsledně zálohovat, včetně automatického
zálohování i na zařízeních zaměstnanců a nespoléhat se, že si sami vzpomenou na
zapnutí zálohy.
7.
Omezte
přístup jen na nutné informace a segmentujte. Chcete-li minimalizovat dopad
případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli
přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci.
Segmentace minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč
celou sítí. Řešit následky ransomwarového útoku na jednom systému může být
složité, ale napravovat škody po útoku na celou síť je podstatně náročnější.
Zveřejněno: 30. 06. 2021