Co dělat, když jste obětí ransomwarového útoku

Check Point Research,  výzkumný tým společnosti Check Point, varuje, že průměrný týdenní počet ransomwarových útoků vzrostl za uplynulých 12 měsíců o 93 %. Každý týden se více než 1200 organizací na světě stane obětí vyděračského útoku, v ohrožení jsou všechny organizace, bez výjimky.

Jak vyplývá z dat společnosti Cybersecurity Ventures, škody způsobené ransomwarem dosáhnout letos částky přibližně 20 miliard dolarů, což je 57násobný nárůst oproti roku 2015. Do roku 2031 by náklady na ransomwarové incidenty mohly dokonce překonat těžko uvěřitelnou částku 265 miliard dolarů.

Počet ransomwarových útoků roste z prostého důvodu, hackerům se vyplácí. Ochota zaplatit vytváří nebezpečnou smyčku a zvyšuje motivaci útočníků. Navíc je stále běžnější pojištění kybernetických rizik, takže společnosti neváhají splnit požadavky kyberzločinců, což problém dále prohlubuje.

Nárůst útoků souvisí i s dostupností hrozeb. Řada hackerských skupin nabízí ransomware jako službu, takže kdokoli si tento typ hrozby může pronajmout, včetně infrastruktury, vyjednávání s oběťmi nebo vyděračských webových stránek, kde je možné zveřejňovat ukradené informace. Výkupné se potom mezi 'partnery' dělí.

Ransomwarový útok přitom mnohdy nezačíná ransomwarem. Často je na začátku „obyčejný“ phishingový e-mail. Hackerské skupiny navíc spolupracují. Při útocích ransomwaru Ryuk byl k proniknutí do sítě používán malware Emotet, následně byla síť infikována Trickbotem a až nakonec došlo k zašifrování dat ransomwarem.

Jak vůbec poznáte, že jste obětí ransomwarového útoku a jak byste měli reagovat? Pokud útok nezachytíte včas, pak to zjistíte poměrně jednoduše, zobrazí se vám totiž zpráva se žádostí o výkupné a nedostanete se ke svým datům.

Kyberzločinci navíc svoje techniky neustále zdokonalují, aby ještě zvýšili tlak na zaplacení. Původně ransomware „jen“ zašifroval data a za jejich odemčení požadoval výkupné. Útočníci brzy přidali druhou fázi a ještě před zašifrováním ukradli cenné informace, přičemž hrozili jejich zveřejněním, pokud nedojde k zaplacení výkupného. Přibližně 40 % všech nových ransomwarových rodin využívá nějakým způsobem kromě šifrování právě i krádež dat. V poslední době sledujeme navíc třetí fázi, kdy jsou kontaktováni i partneři obětí, zákazníci nebo novináři.

Pokud už k ransomwarovému útoku dojde, měli byste se držet následujících kroků:

1) Zachovejte chladnou hlavu

Pokud se stanete obětí ransomwarového útoku, v první řadě je důležité nepanikařit. Okamžitě kontaktujte bezpečnostní tým a udělejte si foto vyděračské zprávy, bude se vám hodit pro policejní orgány i další vyšetřování.

2) Izolujte napadené systémy

Okamžitě odpojte infikované systémy od zbytku sítě, aby se zabránilo dalším škodám. Zároveň identifikujte zdroj infekce. Jak už bylo zmíněno, ransomwarový útok obvykle začíná jinou hrozbou a hackeři se v systému mohli pohybovat dlouhodobě a postupně maskovat stopy, takže odhalení „pacienta nula“ nemusí většina společností zvládnout bez externí pomoci.

3) Pozor na zálohy

Útočníci dobře ví, že organizace se budou snažit obnovit svá data ze záloh, aby se tak vyhnuli placení výkupného. Proto jednou z fází útoků bývá i snaha vyhledat a zašifrovat nebo smazat zálohy. K infikovaným zařízením také nikdy nepřipojujte externí zařízení. Při obnově zašifrovaných dat může dojít k jejich poškození, například vinou chybného klíče. Proto může být užitečné vytvořit kopie zašifrovaných dat. Postupně také vznikají dešifrovací nástroje, které mohou pomoci rozluštit i dříve neznámý kód. Pokud jste vytvořili zálohy, které nebyly zašifrovány, zkontrolujte před úplnou obnovou integritu dat.

4) Žádné restarty ani údržba systému

Vypněte automatické aktualizace a jiné úlohy související s údržbou infikovaných systémů. Pokud by došlo ke smazání dočasných souborů nebo jiným změnám, mohlo by to zbytečně zkomplikovat vyšetřování a nápravu škod. Zároveň systémy nerestartujte, některé hrozby pak mohou začít mazat soubory.

5) Spolupracujte

V boji s kyberzločinem, a ransomwarem obzvlášť, je spolupráce klíčová. Kontaktujte proto policejní orgány a národní kybernetické úřady a neváhejte se obrátit na specializovaný tým reakce na incidenty (Incident Response Team) některé renomované kyberbezpečnostní společnosti. Informujte o incidentu i zaměstnance, včetně pokynů, jak v případě jakéhokoli podezřelého chování postupovat.

6) Určete typ ransomwaru

Pokud přímo ve zprávě od útočníků není uvedeno, o jaký typ ransomwaru se jedná, pak můžete využít některý z bezplatných nástrojů a zároveň navštivte stránky projektu „No More Ransom“, možná tam najdete dešifrovací nástroj právě pro váš ransomware.

7) Zaplatit nebo ne?

Pokud je ransomwarový útok úspěšný, stojí organizace před volbou, jestli zaplatit výkupné nebo ne. Společnosti se každopádně musí vždy vrátit na úplný začátek a zjistit, proč k danému incidentu došlo. Jestli selhal lidský faktor nebo technologie, znovu projít všechny procesy a přehodnotit celou strategii, aby se podobný incident už nikdy neopakoval. Projít tímto kolečkem je nutné bez ohledu na zaplacení/nezaplacení. Nikdy se nelze uklidnit tím, že došlo nějakým způsobem k obnově dat a považovat incident za vyřešený.

A zaplatit tedy nebo ne? Odpověď není tak jednoduchá, jak se na první pohled zdá. I když se někdy částky pohybují ve stovkách tisíc nebo milionech dolarů, výpadky kritických systémů mohou tyto částky hravě překonat. Je nutné si ale uvědomit, že i když výkupné zaplatíte, neznamená to, že skutečně dojde k dešifrování dat nebo alespoň jejich části. Jsou známy i případy, kdy útočníci dokonce mají chyby v kódech, takže data nemohou obnovit, ani kdyby chtěli.

S rozhodnutím nespěchejte a pečlivě zvažte všechny možnosti. Platba výkupného by měla být až opravdu tou úplně poslední možností.

Jak můžete minimalizovat rizika, že budete další obětí ransomwaru?

1. O víkendech a svátcích buďte obzvláště ostražití. Většina ransomwarových útoků za poslední rok probíhala o víkendech nebo svátcích, kdy je větší pravděpodobnost, že organizace na hrozbu zareagují pomaleji.
2. Pravidelně instalujte aktualizace a záplaty. WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky.
3. Nainstalujte si anti-ransomware. Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám.
4. Vzdělávání je nezbytnou součástí ochrany. Mnoho kyberútoků začíná cíleným e-mailem, který neobsahuje malware, ale pomocí sociálního inženýrství se snaží nalákat uživatele, aby klikl na nebezpečný odkaz. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany.
5. Ransomwarové útoky nezačínají ransomwarem, proto pozor i na jiné škodlivé kódy, jako jsou například Trickbot nebo Dridex, které proniknou do organizací a připraví půdu pro následný ransomwarový útok.
6. Zálohování a archivace dat je základ. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců a nespoléhat se, že si sami vzpomenou na zapnutí zálohy.
7. Omezte přístup jen na nutné informace a segmentujte. Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou sítí. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější."