Ransomware tu byl vždy a neustále se vyvíjí. Nicméně plošné útoky ransomwaru se objevují méně často než v předchozích letech, protože útočníci přecházejí na cílené útoky.
V minulosti končily masivní kampaně jako WannaCry v poštovních schránkách lidí. Nyní se takové útoky objevují jen výjimečně. Telemetrie společnosti ESET ukazuje, že počet masově rozšířených e-mailových kampaní, které distribuují ransomware, klesá.
Role státních institucí v boji proti ransomwaru
Pozitivní zprávou také je, že stále více útočníků ransomwarem je vypátráno a potrestáno. V roce 2021 útočná skupina Darkside zašifrovala data ropné společnosti Colonial Pipeline, což podnítilo administrativu Bílého domu a americké orgány činné v trestním řízení, aby se na tuto problematiku více zaměřily a posílily mezinárodní spolupráci v boji proti ransomwaru.
Mezinárodní orgány činné v trestním řízení našly způsoby, jak sledovat kyberzločince a jejich aktivity, proniknout do jejich infrastruktury a často ji rozbít, a v některých případech dokonce zavřít pobočky a zatknout hlavní členy ransomwarových gangů, a tím omezit počet útoků. V některých případech se úřadům podařilo získat šifrovací klíče, které obětem umožnily dešifrovat jejich data.
Stále více členů kybernetických zločineckých gangů je obviněno. Někdy dochází k úniku cenných informací o operacích těchto skupin, obvykle buď infiltrátory, nebo interními sabotéry, jako například v případech Conti a Yanluowang. To podporuje sílící názor, že organizovaný digitální zločin už není nedotknutelný. Uniklá data ukazují, že takové útočné skupiny fungují podobně jako běžné firmy, mají vrcholový a střední management, vývojová, testovací a podpůrná oddělení, a dokonce i personální oddělení.
Jak policie hackla hackery Na začátku roku 2023 Ministerstvo spravedlnosti Spojených států amerických rozkrylo ransomwarovou skupinu Hive. Několik měsíců policie analyzovala systémy a fungování skupiny a shromažďovala dešifrovací klíče, které byly později distribuovány přibližně 1300 obětem. Podle odhadů amerického ministerstva spravedlnosti se podařilo zabránit škodám v hodnotě přibližně 130 miliard dolarů - tolik skupina Hive požadovala po obětech. Přestože všem obětem nelze pomoci, počet potrestaných pachatelů a případů obnovy dat roste. |
Jak si útočníci vybírají své cíle?
Ransomware není radno podceňovat. Útočníci přešli spíše na cílené útoky. Vybírají si oběť, například malou firmu, podle předpokládaných hospodářských výsledků - vyšší zisk znamená, že by firma mohla s větší pravděpodobností zaplatit výkupné. Často si kyberzločinci vybírají zajímavé nebo kritické odvětví. V takových oblastech je v případě narušení provozu podniku klíčové co nejrychleji obnovit jeho činnost. V některých případech je nejrychlejším řešením zaplatit to, co útočník požaduje. Placení výkupného ale nelze doporučit, protože neexistuje žádná záruka, že získáte svá data zpět.
Kyberzločinci sledují nové zranitelnosti, které jsou veřejně oznámeny, a analyzují je. Následně na internetu vyhledávají zranitelné systémy a snaží se identifikovat společnosti, které je provozují. Z této skupiny si vybírají cíle na základě nejzajímavější kombinace pravděpodobných ekonomických zisků a přístupu k potenciálně cenným nebo pro podnikání kritickým datům. Obvykle následuje prolomení vybraných sítí spolu s krádeží dat, šifrováním dat a vydíráním.
Útoky na dodavatelský řetězec
Pokud ransomwarové gangy kompromitují malé podniky, které jsou součástí zajímavého dodavatelského řetězce, mohou toho využít k získání přístupu k dalším podnikům a systémům. Například napadením poskytovatele webových služeb se mohou kyberzločinci dostat ke klientům a jejich webovým stránkám. Častým cílem jsou také poskytovatelé řízených služeb (MSP). Ti mají široký přístup a oprávnění v systémech svých zákazníků. Pokud útočník kompromituje MSP, může pokračovat v kompromitaci desítek, ne-li stovek jeho zákazníků najednou. Špatnou zprávou je, že útoků na dodavatelský řetězec přibývá.
Jeden útok, 1500 zasažených společností V roce 2021 došlo k útoku na technologickou firmu Kaseya. Útok se zaměřoval na její software pro vzdálenou správu zařízení, který útočníci využili k šíření ransomwaru. Zasaženo bylo asi 60 zákazníků firmy a 1500 dalších podniků v navazujícím dodavatelském řetězci.
Zajímají vás další příklady útoků na dodavatelský řetězec? Seznamte se s 3CX, SolarWinds a NotPetya. |
Jaké jsou tedy klíčové poznatky pro vaši firmu? Mějte na paměti, že společnosti s atraktivními dodavatelskými řetězci, jako jsou MSP, jsou oblíbenými cíli útoků ransomwaru. Vzhledem k tomu, že se útoky staly cílenějšími, dbejte také na to, aby váš software a operační systémy byly vždy aktuální, používejte vícevrstvé bezpečnostní řešení, které dokáže útok odhalit a zablokovat, a školte své zaměstnance, aby dokázali rozpoznat sociální inženýrství. Nezapomeňte také zálohovat a mít zavedenou strategii obnovy dat.