Hlavní strana -> Časopis IT Systems -> Rok 2021 -> IT Systems 9/2021 -> Zaplatit nebo nezaplatit výkupné?
IT SYSTEMS 9/2021 , IT Security

Zaplatit nebo nezaplatit výkupné?

Co dělat, když jste obětí ransomwarového útoku?

Podle společnosti Check Point, která vyvíjí kyberbezpečnostní řešení, se každý týden více než 1200 organizací na světě stane obětí vyděračského útoku s využitím ransomwaru. Průměrný týdenní počet ransomwarových útoků za uplynulých 12 měsíců vzrostl o 93 %. V ohrožení jsou všechny organizace, bez výjimky.


Obr. 1: Týdenní počet organizací postižených ransomwarem (2020 - 2021), zdroj: Check Point
Obr. 1: Týdenní počet organizací postižených ransomwarem (2020 - 2021), zdroj: Check Point

Počet ransomwarových útoků roste z prostého důvodu, hackerům se vyplácí. Podle společnosti Cybersecurity Ventures dosáhnout letos škody způsobené ransomwarem částky přibližně 20 miliard dolarů, které většinou skončí ve formě bitcoinů v krypto-peněženkách hackerů a pouze zlomek z nich se podaří vypátrat. Ochota napadených firem zaplatit vytváří nebezpečnou smyčku a zvyšuje motivaci útočníků. Navíc je stále běžnější pojištění kybernetických rizik, takže společnosti neváhají splnit požadavky kyberzločinců, což ale problém jen dále prohlubuje.

Nárůst útoků souvisí i s dostupností hrozeb. Řada hackerských skupin nabízí ransomware jako službu, takže kdokoli si tento typ hrozby může pronajmout, včetně infrastruktury, vyjednávání s oběmi nebo vyděračských webových stránek, kde je možné zveřejňovat ukradené informace. Výkupné se potom mezi 'partnery' dělí.

Obr. 2: Průměrný počet útoků ransomwaru na organizaci za týden podle odvětví - duben 2021
Obr. 2: Průměrný počet útoků ransomwaru na organizaci za týden podle odvětví - duben 2021

Kombinované hrozby

Ransomwarový útok přitom mnohdy nezačíná ransomwarem. Často je na začátku „obyčejný“ phishingový e-mail. Hackerské skupiny navíc spolupracují. Při útocích ransomwaru Ryuk byl k proniknutí do sítě používán malware Emotet, následně byla sí infikována Trickbotem a až nakonec došlo k zašifrování dat ransomwarem.

Kyberzločinci navíc svoje techniky neustále zdokonalují, aby ještě zvýšili tlak na zaplacení. Původně ransomware „jen“ zašifroval data a za jejich odemčení požadoval výkupné. Útočníci brzy přidali druhou fázi a ještě před zašifrováním ukradli cenné informace, přičemž hrozili jejich zveřejněním, pokud nedojde k zaplacení výkupného. Přibližně 40 % všech nových ransomwarových rodin využívá nějakým způsobem kromě šifrování právě i krádež dat. V poslední době sledujeme navíc třetí fázi, kdy jsou kontaktováni i partneři obětí, zákazníci nebo novináři.

Jak minimalizovat rizika, že budete další obětí ransomwaru?

  • O víkendech a svátcích buďte obzvláště ostražití. Většina ransomwarových útoků za poslední rok probíhala o víkendech nebo svátcích, kdy je větší pravděpodobnost, že organizace na hrozbu zareagují pomaleji.
  • Pravidelně instalujte aktualizace a záplaty. WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky.
  • Nainstalujte si anti-ransomware. Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám.
  • Vzdělávání je nezbytnou součástí ochrany. Mnoho kyberútoků začíná cíleným e-mailem, který neobsahuje malware, ale pomocí sociálního inženýrství se snaží nalákat uživatele, aby klikl na nebezpečný odkaz. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany.
  • Ransomwarové útoky nezačínají ransomwarem, proto pozor i na jiné škodlivé kódy, jako jsou například Trickbot nebo Dridex, které proniknou do organizací a připraví půdu pro následný ransomwarový útok.
  • Zálohování a archivace dat je základ. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců a nespoléhat se, že si sami vzpomenou na zapnutí zálohy.
  • Omezte přístup jen na nutné informace a segmentujte. Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou sítí. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou sí je podstatně náročnější.

Jak vůbec poznáte, že jste obětí ransomwarového útoku a jak byste měli reagovat? Pokud útok nezachytíte včas, pak to zjistíte poměrně jednoduše, zobrazí se vám totiž zpráva se žádostí o výkupné a nedostanete se ke svým datům. Pokud už k ransomwarovému útoku dojde, měli byste se držet následujících kroků:

1) Zachovejte chladnou hlavu

Pokud se stanete obětí ransomwarového útoku, v první řadě je důležité nepanikařit. Okamžitě kontaktujte bezpečnostní tým a udělejte si foto vyděračské zprávy, bude se vám hodit pro policejní orgány i další vyšetřování.

2) Izolujte napadené systémy

Okamžitě odpojte infikované systémy od zbytku sítě, aby se zabránilo dalším škodám. Zároveň identifikujte zdroj infekce. Jak už bylo zmíněno, ransomwarový útok obvykle začíná jinou hrozbou a hackeři se v systému mohli pohybovat dlouhodobě a postupně maskovat stopy, takže odhalení „pacienta nula“ nemusí většina společností zvládnout bez externí pomoci.

3) Pozor na zálohy

Útočníci dobře ví, že organizace se budou snažit obnovit svá data ze záloh, aby se tak vyhnuli placení výkupného. Proto jednou z fází útoků bývá i snaha vyhledat a zašifrovat nebo smazat zálohy. K infikovaným zařízením také nikdy nepřipojujte externí zařízení. Při obnově zašifrovaných dat může dojít k jejich poškození, například vinou chybného klíče. Proto může být užitečné vytvořit kopie zašifrovaných dat. Postupně také vznikají dešifrovací nástroje, které mohou pomoci rozluštit i dříve neznámý kód. Pokud jste vytvořili zálohy, které nebyly zašifrovány, zkontrolujte před úplnou obnovou integritu dat.

4) Žádné restarty ani údržba systému

Vypněte automatické aktualizace a jiné úlohy související s údržbou infikovaných systémů. Pokud by došlo ke smazání dočasných souborů nebo jiným změnám, mohlo by to zbytečně zkomplikovat vyšetřování a nápravu škod. Zároveň systémy nerestartujte, některé hrozby pak mohou začít mazat soubory.

5) Spolupracujte

V boji s kyberzločinem, a ransomwarem obzvl᚝, je spolupráce klíčová. Kontaktujte proto policejní orgány a národní kybernetické úřady a neváhejte se obrátit na specializovaný tým reakce na incidenty (Incident Response Team) některé renomované kyberbezpečnostní společnosti. Informujte o incidentu i zaměstnance, včetně pokynů, jak v případě jakéhokoli podezřelého chování postupovat.

6) Určete typ ransomwaru

Pokud přímo ve zprávě od útočníků není uvedeno, o jaký typ ransomwaru se jedná, pak můžete využít některý z bezplatných nástrojů a zároveň navštivte stránky projektu „No More Ransom“, možná tam najdete dešifrovací nástroj právě pro vᚠransomware.

7) Zaplatit nebo ne?

Pokud je ransomwarový útok úspěšný, stojí organizace před volbou, jestli zaplatit výkupné nebo ne. Společnosti se každopádně musí vždy vrátit na úplný začátek a zjistit, proč k danému incidentu došlo. Jestli selhal lidský faktor nebo technologie, znovu projít všechny procesy a přehodnotit celou strategii, aby se podobný incident už nikdy neopakoval. Projít tímto kolečkem je nutné bez ohledu na zaplacení/nezaplacení. Nikdy se nelze uklidnit tím, že došlo nějakým způsobem k obnově dat a považovat incident za vyřešený.

A zaplatit tedy nebo ne? Odpověď není tak jednoduchá, jak se na první pohled zdá. I když se někdy částky pohybují ve stovkách tisíc nebo milionech dolarů, výpadky kritických systémů mohou tyto částky hravě překonat. Je nutné si ale uvědomit, že i když výkupné zaplatíte, neznamená to, že skutečně dojde k dešifrování dat nebo alespoň jejich části. Jsou známy i případy, kdy útočníci dokonce mají chyby v kódech, takže data nemohou obnovit, ani kdyby chtěli. S rozhodnutím nespěchejte a pečlivě zvažte všechny možnosti. Platba výkupného by měla být až opravdu tou úplně poslední možností.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked

Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.