Ransomware: Odolnost vůči útokům jako klíč k přežití firmy

„Každý má plán, dokud nedostane ránu do zubů.“ Pořekadlo se slovní hříčkou, jejímž autorem je Mike Tyson, platí až příliš pravdivě pro firmy, které se vzpamatovávají z ransomwarového útoku. V posledních letech se ukazuje, že ransomware je schopný přivést i prosperující organizaci na kolena během několika hodin. S jistotou tak lze říct, že bude i nadále zasazovat rány firmám všech velikostí, testovat jejich kybernetickou odolnost a krizové plány takovými způsoby, které jen málo jiných hrozeb dokáže napodobit.

Jak potvrzuje i Jakub Souček z ESETu, ransomware bude pro firmy hrozbou také v letošním roce. Loni se jako vedoucí skupina na ransomwarovém trhu etabloval gang útočníků RansomHub a nahradil rozbitý gang LockBit. Lze tak očekávat, že RansomHub si tuto pozici udrží. Prostředí RaaS (Ransomware-as-a-Service) je však velmi konkurenční a gangy zde často přicházejí s inovacemi a změnami svých partnerských programů. Snaží se přilákat více partnerů a zvýšit tak ziskovost. Pokud se ukáže, že někteří z konkurentů jsou ziskovější, zkušení partneři mohou velmi dobře upravit svá spojenectví. Alarmujícím trendem roku 2024 byl dle něj i celosvětový rapidní růst útoků na sektor zdravotnictví.

Běžnou součástí ransomwarových útoků se staly škodlivé kódy, které se snaží vypnout bezpečnostní řešení. Ransomwarové gangy budou tyto nástroje stále zdokonalovat, aby byly lépe skryté, a tudíž hůře odhalitelné. Tento trend ukazuje, že bezpečnostní řešení, jako je EDR, jsou kyberzločincům trnem v oku a budou se je usilovně snažit odstranit.

Pokud se to zdá být znepokojivé, je to proto, že je. Sázky na budoucí útoky jsou vysoké také proto, že ransomware může být součástí útoků na dodavatelský řetězec, jak tomu bylo v případě incidentu Kaseya v roce 2021, ve kterém útočníci využili zranitelnost v nástroji pro správu IT. Vedlo to k výraznému rozšíření dosahu ransomwaru mezi nespočet organizací po celém světě.

Odolnost vůči ransomwaru jako prevence traumatu 

Když se objeví zprávy o útoku ransomwarem, titulky často zdůrazňují dramatické požadavky na výkupné a etické a právní dilema ohledně platby. Co však často nezachytí, je trauma firem a lidí, kteří jsou oběťmi útoku. Vše se navíc násobí, když je součástí incidentu také exfiltrace dat a hrozba jejich zveřejněním.

Když systémy zhasnou, firmy se jednoduše nezastaví. Krvácí peníze, zatímco sledují, jak nové obchodní příležitosti mizí a pověst značky trpí. Rány se exponenciálně prohlubují, když se zoufalé snahy o obnovu protahují z hodin na dny, týdny a možná i měsíce. Brutálně jednoduchý princip ransomwaru – zašifrovat kritická obchodní data a požadovat platbu za jejich opětovné zpřístupnění – ve skutečnosti skrývá složitou kaskádu provozních, finančních a reputačních škod, které se rozvíjejí po útoku. Opět máme k dispozici dostatek dat, která ukazují, že úspěšný incident v podobě útoku ransomwarem stojí oběti draho.

„Ve druhé polovině loňského roku došlo k zásadnímu zvýšení průměrné hodnoty výkupného, které útočníci po svých obětech požadují za zpřístupnění zašifrovaných dat: z 300 000 dolarů na 1,5 milionu dolarů. V loňském roce útočníci dokonce poprvé požadovali za zpřístupnění dat rekordní částku 100 milionů dolarů,“ říká Jakub Souček z ESETu.

Záchrana v podobě zálohování dat?

Organizace zasažené ransomwarem obvykle spoléhají na tři únikové cesty: obnovení ze záloh, získání dešifrovacího nástroje od bezpečnostních expertů (například těch zapojených do iniciativy No More Ransom, jako je například ESET) nebo zaplacení výkupného. Ale co když se ukáže, že žádná z těchto možností není proveditelná?

Za prvé, hackeři často utahují šrouby tím, že cílí také na zálohovací systémy svých obětí a snaží se je zkorumpovat nebo zašifrovat ještě před nasazením ransomwaru. Za druhé, dešifrovací nástroje od bezpečnostních expertů je lepší považovat až za poslední možnost, protože často nemohou reagovat na to, jak naléhavá je pro firmu potřeba obnovy jejího chodu.

A co se vzdát a zaplatit výkupné? Nehledě na možné právní a regulační úskalí, platba nezaručuje vůbec nic, spíš často jen prohlubuje újmu. Společnost Colonial Pipeline se to naučila tvrdým způsobem, když dešifrovací nástroje poskytnuté výměnou za výkupné ve výši 4,4 milionu dolarů byly tak nekvalitní, že jedinou fungující možností bylo nakonec pouze obnovení systémů (Ministerstvo spravedlnosti USA později získalo zpět většinu zaplaceného výkupného).

Ransomware je plnohodnotnou hrozbou, která může závratnou rychlostí rozbít chod firmy na malé kousíčky. Organizace schopné prevence a obnovy ze záloh nejen, že tváří v tvář ransomwaru a dalším kybernetickým hrozbám přežijí, ale získají díky schopnosti vyhnout se takovému úderu i konkurenční výhodou.

V neustále se měnícím digitálním prostředí je změna jedinou konstantou a odolnost závisí na předvídání neočekávaného. Připravte se tak i na neznámé okolnosti, jako by na tom závisela vaše firma – protože závisí.