Co je to ransomware?

Ransomware, často nazývaný také CryptoLocker, CryptoDefense nebo CryptoWall, je skupina malware, která omezuje uživatelům přístup k počítačům. Obvykle uzamkne obrazovku počítače nebo zašifruje soubory. Současné typy ransomware, nazývané také crypto-ransomware, vydírají uživatele, aby zaplatili určitou finanční částku k získání dešifrovacího klíče.

Ransomware je historicky dělen na různé varianty, přes Locker až po varianty pro šifrování souborů, které dnes převažují. Každá jednotlivá kategorie malware má společný cíl, a to vymáhat peníze od obětí pomocí social engineering a vydírání. Ransomware je každým dnem rozšířenější, a to skrze všechna odvětví, hackeři stále vylepšují taktiky šifrování a krádeže dat i vymáhání výkupného.

Ransomware se nevyhýbá ani společnostem ve veřejném sektoru, do kterého spadají školská zařízení, zdravotnické instituce i místní úřady.

Klíčové body ransomware:

  • Většina ransomware útoků je rychlá. V době, kdy si všimnete zašifrovaných souborů, je ransomware útok již dokončen.
  • Když ransomware dokončí šifrování souborů, smaže se a zanechá pouze zašifrované soubory a pokyny k zaplacení výkupného.
  • Většina ransomware útoků je definována jako tzv. trojské koně, nikoli viry. To znamená, že se nebudou šířit po celé síti, ale budou pouze na konkrétním počítači, který se používá k šifrování souborů ve vaší síti.
  • Zašifrované soubory a pokyny k zaplacení výkupného nejsou nijak škodlivé a většina antivirových produktů tyto soubory nezjistí ani nevyčistí.
  • Naprostou většinu souborů zašifrovaných moderním ransomware nelze dešifrovat a bude potřeba obnovit data ze zálohy.

Nejlepším a nejspolehlivějším řešením, jak se vyhnout ransomware útoku je prevence.

Jak probíhá ransomware útok?

Ve většině případů odstartuje ransomware útok 3 způsoby:

  • Škodlivým e-mailem

Spamový e-mail se škodlivou přílohou je nejpoužívanější metodou, jak se ransomware dostane do počítače. Spamové kampaně používané při těchto útocích jsou obvykle ve velmi velkých objemech a často využívají techniky social engineering k získání důvěry uživatele. To znamená, že e-mail vypadá přesně jako od doručovací společnosti, který posílá přílohu informující o zmeškaném doručení balíku.

Běžně používané přílohy končí: .doc, .docx, .docm, .xls, .xlsx, .xlsm, .ppt, .pptx, .pptm, .pdf, .js a .lnk. Tyto soubory jsou v archivním souboru, například .zip, .rar nebo .7z.

Po otevření proběhne stažení a následná instalace ransomware přímo do vašeho počítače.

  • Škodlivými webovými stránkami

Dalším rozšířeným způsobem, jak může začít ransomware útok je, když uživatel navštíví legitimní web, který byl infikován exploit kitem. Nezabezpečená webová stránka tak může nevědomky být hostitelem ransomware útoků.

  • RDP útoky

Útoky přes rozhraní RDP (Remote Desktop Protocol) , kde jsou servery RDP chráněny pouze uživatelským jménem a heslem a mnoho z těchto hesel jsou jednoduše napadnutelné. Pokud používáte RDP server, zvažte uzavření standardního portu 3389 zvenčí.

Poté, co je ransomware stažen do systému, proběhnou následující akce:

  • Útočníkův server Command & Control je kontaktován za účelem zaslání informací o infikovaném počítači a stažení individuálního veřejného klíče.
  • Konkrétní typy souborů (které se liší podle typu ransomware), jako jsou dokumenty Office, databázové soubory, PDF, CAD dokumenty, HTML, XML atd., zašifrují lokální počítač, vyměnitelná zařízení a všechny dostupné síťové jednotky.
  • Automatické zálohy operačního systému Windows (stínové kopie) jsou odstraněny, aby se zabránilo obnově dat.
  • Na ploše se zobrazí časově omezená zpráva s návodem, jak lze výkupné zaplatit (obvykle v bitcoinech).
Ransomware ochrana

5 hlavních důvodů, proč je pro společnosti zásadní ochrana proti ransomware útoku

Moderní podnikové infrastruktury jsou složité, se spoustou vzájemně propojených částí a koncových bodů. Obnova systémů a dat prostřednictvím záloh nebo dešifrování po úspěšném útoku ransomware je náročný a velmi nákladný krok, což je hlavním důvodem, proč se investice do řešení ochrany proti ransomware vyplatí. Jaké jsou další důvody?

  • Náklady na nápravu po útoku

V současnosti jsou průměrné náklady na obnovu po útoku ransomware asi 84 000 dolarů (zhruba 2 miliony Kč), včetně nového hardware, prostojů, ztráty produktivity a v některých případech i platby výkupného. Odborníci na kybernetickou bezpečnost nedoporučují platit výkupné, ale některé organizace to i přesto zaplatí v naději, že získají svá data zpět. Přestože průměrná výše platby výkupného v 1. čtvrtletí 2020 byla 111 605 dolarů (zhruba 2,6 milionů Kč), neexistuje žádná záruka, že ransomware útočník dodrží svůj slib a dostanete data zpět, takže můžete přijít o peníze za výkupné i o finanční náklady na obnovu.

  • Ztráta důvěry zákazníků

Pokud zákazníci nemají jistotu, že jejich data uchováváte v bezpečí, nenakoupí u vás. Nedávná studie zjistila, že 93 % respondentů zjišťuje důvěryhodnost organizace ještě před nákupem. Stejná studie zjistila, že více než polovina (59 %) respondentů také uvedlo, že by nespolupracovali s organizací, která se v posledním roce stala obětí kybernetického útoku.

  • Ztráta dat

Jaká je cena za ztracená data? Jakmile o data přijdete – ať už v důsledku krádeže, technického selhání nebo obyčejné lidské chyby a nemáte plán zálohování a obnovy po havárii, vaše společnost se nemusí už nikdy vzpamatovat. Implementace dobře formulované a rozsáhle testované strategie obnovy po havárii, která zahrnuje časté vzdálené zálohování v cloudu, je zásadní.

  • Zveřejnění dat

Ransomware útoky v poslední době nabraly míru škodlivosti. Někteří útočníci nejen zašifrují vaše firemní data, ale také je zveřejní na internetu. Odhalení osobních údajů může vaši společnost dostat do pěkného průšvihu.

  • Ztráta produktivity a tržeb

Když zaměstnanci nemohou pracovat a vaše společnost nemůže prodávat své produkty a služby, přicházíte tím o peníze. Zavedení správného typu ochrany proti ransomware může pomoci předejít všem typům ztrát.

(Zdroj: https://www.arcserve.com/insights/5-reasons-ransomware-protection-is-mission-critical-at-the-enterprise-level)

Jak se efektivně chránit před útoky?

  • Předpokládejte, že budete zasaženi

Ransomware je velmi rozšířený malware. Žádný sektor, země, ani velikost společnosti není vůči riziku imunní.

  • Zálohujte

Díky zálohám získáte svá data po útoku zpět. Když zaplatíte výkupné, jen zřídka dostanete všechna svá data zpět.

  • Nasaďte vícevrstvou ochranu

Tváří v tvář značnému nárůstu útoků založených na vydírání je důležitější než kdy jindy držet protivníky mimo vaše IT prostředí. Je tedy klíčové zabezpečit co největší počet bodů vaší infrastruktury.

  • Spojte expertní lidské zdroje s nejmodernějšími anti-ransomware technologiemi

Klíčem k zastavení ransomware útoku je hloubková obrana, která kombinuje specializovanou anti-ransomware technologii a lidsky řízené vyhledávání hrozeb. Technologie vám poskytuje rozsah a automatizaci, kterou potřebujete, zatímco lidští experti jsou nejlépe schopni odhalit prozrazující taktiky, techniky a postupy, které naznačují, že se do vašeho prostředí pokouší dostat zkušený útočník. Pokud nemáte vlastní dovednosti, podívejte se na získání podpory od specializované společnosti zabývající se kybernetickou bezpečností.

  • Neplaťte výkupné

Zaplacení výkupného je neefektivní způsob, jak získat svá data zpět. Pokud se rozhodnete výkupné zaplatit, nezapomeňte, že útočníci obnoví v průměru pouze dvě třetiny vašich souborů.

  • Mějte malware recovery plan

Nejlepší způsob, jak zabránit úplnému zničení po kyberútoku je příprava plánu. Organizace, které se staly obětí útoku vědí, že s plánem (incident response) se mohli se vyhnout spoustě nákladů a prostojů.

(Zdroj: https://assets.sophos.com/X24WTUEQ/at/k4qjqs73jk9256hffhqsmf/sophos-state-of-ransomware-2021-wp.pdf)

Chraňte se před útoky

Zabezpečte svou síť a koncové body proti útoku ransomware

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.