Ransomware je jednou z nejčastějších kybernetických hrozeb pro malé a střední podniky (SMB). Útoky proti databázím, webovým serverům a chytrým telefonům jsou podle našich dat na vzestupu. Přestože se snažíte firemní data adekvátně zabezpečit, útočníci neustále hledají jakékoli slabosti vaší obrany.
V roce 2019 se jedna z pěti SMB firem stala obětí ransomware a v průběhu koronavirové krize se objevily nové typy útoků. Podle zprávy Cybersecurity Ventures o globálních nákladech na řešení ransomware cílil v roce 2020 nějaký ransomware na firmy každých 11 vteřin.
I když se vám podaří chránit před těmito útoky zařízení, stále můžete prohrát boj s jinými vektory, například neopravenými zranitelnostmi. Špatně zabezpečený protokol RDP (Remote Desktop Protocol), příliš mnoho současně otevřených online služeb, neaktualizované operační systémy nebo zastaralé verze bezpečnostních řešení - to vše jsou rizikové faktory, které je třeba vzít v úvahu. Krom toho začali útočníci krást data a vyhrožovat jejich zveřejněním, což je asi největší trumf, který mají v rukávu.
Firmy často používají zastaralá bezpečnostní řešení, ve kterých mohou chybět některé zásadní ochranné vrstvy nezbytné k odražení ransomwaru.
Postupy útočníků se rychle mění, proto je na místě zvolit takové řešení, které nabídne vícero ochranných vrstev. Efektivní IT bezpečnostní řešení vyžaduje investice. Stále je ale levnější a efektivnější investovat do preventivních kroků, než řešit následky útoku.
Jedním z nejnebezpečnějších metod útočníků je doxing. Náš bezpečnostní expert Václav Zubr popsal jak funguje:
Náklady spojené s ransowmarem rostou
Ve zprávách vidíme příklady útoků velmi často. Posledním příkladem může být útok na americkou společnost Colonial Pipeline, výsledkem bylo vypnutí významného amerického ropovodu a omezení dodávek benzínu a nafty po východním pobřeží USA na několik dní. Výše výkupného byla astronomická, společnost za obnovení dat zaplatila 5 milionů dolarů.
Loni útočníci průměrně požadovali za dešifrovací klíče v průměru 170 tisíc dolarů (v roce 2019 šlo “pouze” o 80 tisíc dolarů), v případě ambiciózních skupin jako Maze nebo RagnarLocker se jednalo až o 1-2 miliony dolarů.
Evropská agentura pro kybernetickou bezpečnost (ENISA) uvádí, že v roce 2019 bylo na výkupném zaplaceno přes 10 miliard eur.
V posledních letech se náklady na škody způsobené ransomwarem dramaticky zvyšují.
Častými oběťmi jsou místní samosprávy, univerzity, letiště či hotely, protože běžně využívají neaktualizované nebo špatně konfigurované systémy. V roce 2019 napadli útočníci správu města Baltimore (USA), město muselo za obnovu dat nakonec uhradit 10 milionů dolarů a dalších 8 milionů za ušlý zisk (navzdory tomu, že nezaplatili ani dolar na výkupném). Mimochodem výkupné bylo tehdy stanoveno „jen“ na necelých 80 tisíc dolarů.
I v tomto odvětví existuje šedá zóna, kam se řadí firmy, které útok nenahlásí, a snaží se zabránit hrozícím pokutám ze strany úřadů a možnému poškození reputace. Často také nejsou ochotné připustit, že jejich zabezpečení obsahovalo kritické chyby.
Ransomwarové gangy zveřejňují jména svých obětí i uniklá data na darkwebu. Útočníci takto nutí firmy vyjednávat, protože útok prostě není možné utajit. Platí, že prevence je tou nejlepší obranou a také jedním z hlavních požadavků úřadů.
Útočníci jsou čím dál agresivnější
Než se ransomware začal zaměřovat na organizace, používali hackeři jako hlavní distribuční kanál spam. Když se podařilo kompromitovat zařízení obětí, požadovali útočníci výkupné v řádu několika stovek dolarů. Tento „obchodní model“ ale moc nevynášel.
Dnes se nejedná o izolované útočníky, ale velmi dobře organizované skupiny. Zaměřují se většinou na nesprávně nakonfigurované služby a slabě zabezpečený vzdálený přístup jejich obětí. Jednání o výkupné probíhá také jinak – ceny se obvykle určují až po infiltraci podle cennosti zašifrovaných a ukradených dat, každá společnost platí jinou cenu. K distribuci ransomwaru se dnes už běžně používají botnety.
Za ransomwarem stojí dobře organizované skupiny, které o výkupném vyjednávají.
Změnil se i způsob, jakým útočníci žádají výkupné. Namísto komplexního vzkazu se všemi informacemi včetně výše výkupného, dostane oběť jenom jednoduchý textový soubor, který ji přesměruje na vstupní stránku nebo e-mailovou adresu, kde musíte vyjednat cenu za dešifrování a smazání ukradených dat. Zkušenější ransowmare skupiny mají někdy k dispozici i vlastní technickou podporu, která pomůže firmám s nákupem a převodem bitcoinů.
Další velký trend se objevil v listopadu 2019, skupina Maze prvně použila doxing (někdy se také označuje jako dvojité vydírání). Jde o techniku, kdy útočníci odcizí citlivé informace a vyhrožují jejich zveřejněním.
Útočníci tak mají páku na neplatící firmy, protože pokuty za porušení GDRP mohou být enormní, nemluvě o publikování odcizených citlivých informací, interní komunikace nebo i patentů společnosti. Doxing se ukázal jako velmi efektivní a převzali jej další skupiny.
Ztráty způsobené ransomwarem mohou firmy i zničit
Cena ransomwaru nekončí zaplacením výkupného. Dodatečné náklady se projeví, pokud dojde ke snížení produktivity nebo výpadku ve výrobě. Je nutné uvážit také náklady na případné pokuty od Úřadu na ochranu osobních údajů.
Jakmile ransomware udeří, může být velmi obtížné obnovit IT systémy a dobré jméno společnosti. Můžete strávit dlouhé hodiny nápravnými pracemi, aniž by se firma z incidentu zcela zotavila.
Novým trendem, který ještě více zvyšuje riziko, je kombinace šifrování dat s exfiltrací dat. Útočníci nejen šifrují, a tím odepírají přístup k prototypům nebo patentům či výzkumu, ale mohou také tyto informace exfiltrovat a prodávat na darkwebu.
Vývojáři ransomwaru Sodinokibi v rozhovoru pro ruský technologický blog OSINT tvrdili, že za rok 2020 vydělali přes 100 milionů dolarů. Podle odhadů FBI získali operátoři Ryuku mezi lety 2013 a 2019 bitcoiny v hodnotě kolem 150 milionů dolarů.