Ransomware: Jak funguje a co dělat, abyste mu předešli

Ransomware uživateli šifruje data nebo mu blokuje přístup do zařízení a za jeho odstranění vyžaduje výkupné – obvykle v kryptoměně. Tento typ útoku získal název spojením slov ransom (anglicky výkupné) a malware. Nejčastěji jsou jím napadány OS Windows, a to ve více než 90 % případů.

První ransomware, známý jako AIDS Trojan nebo PC Cyborg, byl zaznamenán v roce 1989 a šířil se prostřednictvím disket. Obětem zašifroval soubory na pevném disku a za zaslání klíče k jejich odemčení požadoval 189 dolarů. Jelikož ale šifroval zejména názvy souborů a ne soubory samotné, nepředstavoval zásadní hrozbu.

V roce 2022 byl ransomware (společně s DDoS útoky) nejfrekventovanějším druhem útoků v Česku i Evropě. Identifikaci jeho zdroje komplikuje model Ransomware As a Service (RaaS), kdy kyberzločinci poskytují svůj ransomware program dalším stranám výměnou za podíl na výkupném. Další informace o kybernetických útocích v minulém roce najdete v našem lednovém článku.

Cíl ransomware: jednotlivci i velké firmy

V počátcích ransomware napadal hlavně jednotlivce a menší firmy, jejichž zabezpečení IT systémů nebylo dostatečné. Útočníci si ale uvědomili potenciál těchto útoků a jejich cíl se postupně přenesl na velké společnosti, které jsou schopny zaplatit vyšší výkupné. Velká část těchto firem si je ale v současnosti vědoma rizika kybernetických hrozeb a disponuje propracovanými bezpečnostními opatřeními. Proto útočníci čím dál častěji míří na střední a menší podniky, které jsou z hlediska kybernetické bezpečnosti zranitelnější.

Druhy ransomware

Uživatelé jsou ohrožení několika druhy ransomware. Těmi základními jsou cryptory a lockery. Běžnější cryptory data zašifrují a za klíč k jejich odemčení požadují výkupné. Do základních funkcí počítače ale nezasahují. Lockery naopak uzamykají přístup k zařízení oběti, obvykle zablokováním operačního systému.

Cryptory a lockery dále můžeme rozdělit do podkategorií:

• Leakwary odcizují a v některých případech také šifrují citlivá data obětí. Hrozí, že v případě nezaplacení výkupného tyto citlivé informace zveřejní.
• Scarewary se zobrazují v podobě vyskakujícího okna na obrazovce počítače. Tvrdí, že počítač je infikovaný malwarem a za jeho odstranění požadují zaplatit.
• Mobilní ransomware napadají telefonní zařízení – nejčastěji skrz škodlivé aplikace nebo stažením infikovaných souborů např. na sociálních sítích.
• Zvláštním druhem jsou tzv. wipery. V jejich případě útočník hrozí, že pokud nedostane výkupné, tak zašifrovaná data smaže. Ve skutečnosti ale s navrácením přístupu k datům nepočítá a ničí je. Tento typ útoku je často spojován s hacktivisty, jejichž motivem není finanční obohacení, ale upozornění na své aktivistické cíle.

Nové metody vydírání

Při tradičním ransomware útočníci požadují za poskytnutí dešifrovacího klíče výkupné. Pokud ale napadený subjekt pravidelně zálohuje data, může se placení vyhnout. Proto se v posledních letech koncept útoků změnil a vyvinuly se metody dvojitého a trojitého vydírání (double-extortion a triple-extortion).

U dvojitého vydírání pachatelé zvyšují tlak na své oběti tím, že kromě požadavků na výkupné hrozí zveřejněním odcizených informací. Při trojitém vydírání se navíc přidávají výhružky týkající se narušení provozu služeb, např. cíleným DDoS útokem a kontaktování třetích stran o možném úniku dat (obchodní partneři, zaměstnanci nebo klienti společnosti).

Jak ransomware funguje

Průběh ransomware závisí na různých faktorech – konkrétní variantě útoku, bezpečnostních opatřeních oběti nebo motivaci útočníků. U většiny z nich se ale setkáme s následujícími fázemi:

• Průnik do zařízení: Útočníci nejdříve musí získat přístup k síti, nebo do zařízení oběti. Může to být prostřednictvím phishingu, malware, odcizení přihlašovacích údajů nebo zneužitím zranitelnosti v software. Pachatelé často využívají bezpečnostních mezer v RDP (Remote Desktop Protocol) nebo SMB (Server Message Block) protokolu.
• Objevování prostředí: V této fázi se pachatelé snaží v napadeném prostoru zorientovat a chtějí rozšířit svůj přístup k dalším systémům a aplikacím v zařízení.
• Sběr a odcizení dat: Útočníci identifikují a odcizují data oběti. Zajímají je hlavně citlivé údaje (např. přihlašovací údaje, informace o bankovních účtech nebo důležitá firemní data), které mohou využít k dvojímu vydírání.
• Šifrování souborů: Crypto ransomware šifruje soubory, v některých případech i zálohy souborů. Lockery zamykají obrazovku zařízení a zabraňují oběti v používání zařízení. K zašifrování dat nemusí dojít hned po vniknutí útočníka do zařízení, ale může se tak stát až po několika měsících nebo letech.
• Požadavky na výkupné: Po zašifrování souborů nebo zablokování zařízení útočníci zašlou oběti upozornění (většinou pomocí vyskakovacího okna nebo textového souboru) s požadavkem o výkupné a instrukcemi k jeho zaplacení.

Co dělat při napadení

Každá příručka o kybernetické bezpečnosti radí totéž. Pokud jste obětí ransomware útoku, neplaťte výkupné. Neexistuje totiž záruka, že útočníci skutečně přístup k datům obnoví a můžete nakonec skončit bez svých dat i finančních prostředků. Zaplacení výkupného navíc útočníkům dává signál, že jsou jejich metody účinné a motivuje je k dalším kybernetickým útokům. Pokud pravidelně zálohujete, pokuste se obnovit svá data ze záloh a obraťte se na orgány činné v trestním řízení.

NÚKIB (Národní úřad pro kybernetickou bezpečnost) doporučuje neprodleně po zjištění ransomware útoku provést následující kroky:

• Odpojit zálohovací server od sítě a maximálně omezit síťovou komunikaci mezi zařízeními.
• Izolovat jednotlivé systémy a komunikovat mimo infikovanou síť.
• Zařízení se doporučuje nechat zapnuté, ale odpojit ho na síťové úrovni. Pokud to není možné, je lepší ho vypnout.
• Odpojit komunikaci do veřejné sítě, zjistit rozsah napadení a infikované systémy izolovat. Zjištění průběžně dokumentovat.
• Pozastavit virtuální stroje. V případě, že to nelze, pořídit snapshotSnapshotSnapshot zachycuje aktuální stav systému v určitém okamžiku.více a vypnout je.
• Pořídit bitovou kopii infikovaných systémů a shromáždit relevantní logy, podezřelé IP adresy a další indikátory kompromitace. Rovněž uchovávat dočasné důkazy např. data v systémové paměti nebo informace v protokolu zabezpečení Windows.
• Kontaktovat manažera kybernetické bezpečnosti, vedení společnosti a Policii ČR.
• Požádat o logy sondy/firewallu od poskytovatele internetu.

Další instrukce týkající se postupu při obnově dat a sítě naleznete v podpůrných materiálech na webových stránkách NÚKIBu.

Ochrana proti ransomware

U ransomware útoků platí totéž, co u všech kybernetických hrozeb: nejúčinnější obrana je prevence. Připomeňme si osvědčené postupy, které mohou ochránit důležitá data a zmírnit dopad škod:

1. Pravidelné zálohování citlivých dat, ideálně na pevné disky nebo jiná zařízení, která lze odpojit od sítě. Obecně se doporučuje držet se pravidla 3-2-1: pořizovat nejméně 3 kopie na 2 různých zařízeních, přičemž 1 uchovávat mimo organizaci.
   U velkých infrastruktur může přenos dat ze záloh trvat několik dnů i týdnů. V MasterDC máme s tímto případem zkušenosti. Zákazníkovi, kterému ransomware zašifroval kompletní data, jsme pomohli přenést zálohy z AWS zprovozněním přímé linky Direct Connect. Data se tak dostala zpět ke klientovi násobně rychleji.
2. Aktualizace operačních systémů a dalších aplikací. Ransomware často využívá zranitelnosti v zastaralém software, proto je zásadní používat nejnovější verze systémů. Kromě pravidelných aktualizací se vyplatí posilovat bezpečnost serveru tzv. hardeningem neboli odstraňování zranitelností a bezpečnostních mezer. Praktický návod jak s hardeningem začít najdete v našem článku Security hardening: základní principy pro zvýšení bezpečnosti (nejen) serveru.
3. Segmentace sítě, která při správném nakonfigurování může pomoci zastavit šíření ransomware. Izolace různých částí infrastruktury navíc zvyšuje ochranu kritických systémů a dat.
4. Zavedení zásad řízení přístupů a ověření totožnosti uživatele. Použití silné autentizace může útočníkovi ztížit použití uhodnutého nebo odcizeného hesla.
5. Vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti zaměřené na zvýšení povědomí o phishingu a dalších metodách sociálního inženýrství, které mohou vést k napadení ransomware. O tom, jak phishing funguje jsme psali v článku Co je phishing? Naučte se ho rozpoznat a ochránit svá data.
6. Používat antivirový a antimalwarový software, firewall a další nástroje pro ochranu sítě. Rovněž si dávejte pozor na jejich aktualizace.

Zálohujte a připravte plán disaster recovery

S rostoucím výskytem ransomware se organizace zlepšily v prevenci a řešení následků útoků. Podle výzkumu společnosti Sophos, dokázaly téměř všechny zasažené organizace (99 %) získat zpět část svých dat, přičemž 73 % používá k obnově data ze zálohování. Ruku v ruce s touto statistikou klesá počet obětí, které při útoku platí výkupné. V roce 2022 zaplatilo výkupné 41 % zasažených uživatelů, v roce 2021 50 % a o rok dříve 70 % obětí.

Jedním z klíčových faktorů, který k tomuto trendu přispívá jsou vyšší investice do zabezpečení firemních systémů a do technologií, které jsou schopny kybernetické útoky detekovat. K zajištění rychlé a koordinované reakce na ransomware (a další kybernetické nebo živelné hrozby) je zásadní mít zpracovaný plán disaster recovery. S plánem na obnovu infrastruktury se můžete obrátit na administrátory z MasterDC, kteří vaše firemní IT zanalyzují a nastaví strategii přímo pro váš byznys.