Ransomware je v současnosti jednou z největších hrozeb pro firmy, a protože se nové útoky objevují každý den, riziko útoků se zdá být vysoké. Co je ale vlastně ransomware a jak se proti němu mohou firmy chránit? V tomto seriálu se podrobně podíváme na ransomware, upozorníme na konkrétní metody útoků, jako je zneužití e-mailu, zranitelnosti a protokol vzdálené plochy (RDP), pronikneme do problematiky útoků na dodavatelský řetězec a poradíme, jak mohou podniky rizika útoků zmírnit.
Přečtěte si další články z této série:
Ransomware: 2. díl – Nebezpečí protokolu vzdálené plochy
Ransomware: 3. díl – Jak zajistit spolehlivou vrstvu ochrany pro váš firemní e-mail?
Ransomware: 4. díl – Chraňte nejslabší článek – váš dodavatelský řetězec
Ransomware: 5. díl – Hra na kočku a myš
Ransomware: 6. díl – Jak ochránit vaši firmu před útoky
Co je to ransomware?
Ransomware je typ škodlivého kódu využívaný ke kybernetickým útokům, jejichž cílem je zašifrovat, zakázat nebo výrazně omezit přístup k datům, zařízením nebo celým systémům oběti, dokud nebude zaplaceno požadované výkupné a data uživatele nebudou obnovena. Způsobené škody mohou být závažné a rozsáhlé. Dosud největší ransomwarový útok - WannaCry - postihl v roce 2017 více než 230 000 počítačů ve 150 zemích. Dodnes je navíc detekován.
Ransomware je dnes velmi rozšířený a jeho výskyt ještě zhoršil trend hybridní práce. V období od ledna 2020 do června 2021 došlo na celém světě k neuvěřitelným 71 miliardám útoků ransomwaru. Ačkoli nikdo není v bezpečí, malé a střední podniky se stávají stále atraktivnějším cílem útoků. Je to proto, že ačkoli uchovávají spoustu cenných zákaznických a finančních dat, často jim chybí komplexní bezpečnostní opatření, která používají velké korporace. Situaci zhoršuje i fakt, že se nepovažují za potenciální cíle, a je tedy méně pravděpodobné, že budou svá data zálohovat.
Ačkoli jsme se od vzniku ransomwaru v roce 1989 setkali s mnoha variantami, obecně je lze rozdělit do čtyř hlavních typů:
- Ransomware uzamykající obrazovku tzv. screen locker, který blokuje přístup k zařízení prostřednictvím zámku obrazovky.
- Ransomware uzamykající zařízení pomocí tzv. PIN lockeru, který změní PIN kód vašeho zařízení, čímž znepřístupní jeho obsah a funkce.
- Ransomware šifrující hlavní spouštěcí záznam pevného disku (MBR – Master Boot Record) a/nebo kritické struktury souborového systému, čímž vám znemožní přístup k operačnímu systému.
- Kryptografický ransomware, který zašifruje soubory na vašem disku.
Jak to funguje po technické stránce?
Vzhledem k tomu, že zaměstnanci začali pracovat z domova a přistupovat k interním podnikovým systémům a službám prostřednictvím protokolu RDP (Remote Desktop Protocol) a že se stále častěji objevuje trend, kdy si zaměstnanci nosí do práce vlastní zařízení (BYOD), využívají toho kyberzločinci jako vektoru pro šíření ransomwaru a dalších škodlivých hrozeb. Nejedná se však o jediný používaný vektor. Populární zůstávají také malspamové a phishingové kampaně využívající pochybné dokumenty, škodlivá makra, škodlivé hypertextové odkazy a binární soubory botnetů.
Dále existují kyberzločinci, kteří provozují schémata ransomwaru jako služby (RaaS), aby získali přístup k počítači prostřednictvím známých zranitelností, a poté se pohybovali po síti, než se rozhodnou, kde budou šifrovat. Jiní provádějí útoky v dodavatelském řetězci, aby získali přístup k celým IT ekosystémům. Ovládnutím oblíbených platforem poskytovatelů spravovaných služeb (MSP) a nástrojů pro zvýšení produktivity mohou agenti hrozeb vypustit ransomware ve velkém napříč několika sítěmi.
Jak to funguje z psychologického hlediska?
Ransomware funguje tak, že na své cíle vyvíjí nátlak. Pohrůžkou se může stát poškození pověsti, výpadek provozu nebo dokonce právní a finanční postihy. Účinnost těchto pohrůžek vedla k tomu, že v globálním měřítku na účtech kyberzločinců skončily v přepočtu desítky miliard českých korun. Nedávné výkupné, například v přepočtu více než 1,6 miliard korun požadovaných při útoku na společnost Kaseya nebo téměř miliarda českých korun zaplacená společností CNA, ukazuje rozsah problému v roce 2021.
To bohužel vedlo k začarovanému kruhu. Do pokladen ransomwarových gangů proudí velké částky, což jim umožňuje dále rozvíjet obchodní model RaaS a přijímat další spolupracovníky.
Nezařaďte se do statistiky
Ransomware mění nešťastný incident se škodlivým softwarem v psychologickou válku, jejímž cílem je donutit oběti jednat proti jejich vlastní vůli a zájmům. Zjištění, že jste se stali obětí, obvykle netrvá dlouho. Ransomware vás o své přítomnosti obvykle informuje brzy po napadení vašich zařízení zobrazením oznámení s požadavkem na výkupné na obrazovce, přidáním textového souboru do napadených složek nebo změnou přípony zašifrovaných souborů. Útočníci zůstávají málokdy dlouho schovaní ve stínu.
Ujistěte se, že se nezařadíte do statistiky obětí ransomwaru. Stejně jako u mnoha jiných věcí v životě platí, že prevence je lepší než léčba. Chcete-li minimalizovat riziko ransomwaru, ujistěte se, že nešetříte a používáte komplexní bezpečnostní řešení.