Ransomware a jeho dopad na vaši firmu

Typy ransomwaru

Existuje několik typů ransomwaru – některé cílí na malé a střední firmy, jiné na velké korporace a další na státní zdravotnická zařízení. Také velikost výkupného se může lišit. Někdy útočníci požadují stovky dolarů, jindy miliony.

Ransomware Cryptolocker

Cryptolocker útočí od roku 2013 a je považován za první exemplář ransomwaru, který se objevil po prvním útoku v roce 1989. Když se po roce 2010 objevily kryptoměny, umožnilo to kybernetickým zločincům žádat platbu výkupného nevystopovatelným způsobem platby. Cryptolocker byl prvním útokem ransomwaru, který používal pokročilé šifrování a obsahoval žádost o výkupné s pokyny k platbě v bitcoinech.

Tento malware útočil od září do následujícího května, infikoval 250 000 zařízení a vydělal kybernetickým zločincům nejméně 3 miliony dolarů. Lze ho rozpoznat podle žádosti o výkupné, která se objeví na obrazovce.

Ransomware Ryuk

Ransomware Ryuk se objevil v roce 2018 a vycházel z existujícího trojského koně Hermes, jehož první použití bylo zaznamenáno v roce 2017. Přestože byl použit při útoku skupiny kybernetických zločinců, za níž stála Severní Korea, panuje široká shoda na tom, že byl vyvinut v Rusku.

V roce 2021 byla odhalena nová varianta ransomwaru Ryuk, která funguje jako červ a dokáže se automaticky přesouvat mezi zařízeními tak, že tento program šíří kopie jedinečných verzí sebe sama.

Ransomware WannaCry

Poznat, že vám zařízení infikoval ransomware WannaCry je snadné – uvidíte řádek „Oops, your important files are encrypted“ (Jejda, vaše důležité soubory jsou zašifrované). Jeho útok se poprvé objevil v roce 2017 a během jednoho dne infikoval víc než 230 000 počítačů.

Při každém útoku požadovali kybernetičtí zločinci za dešifrování souborů výkupné ve výši 300 dolarů v bitcoinech. Když oběť nezaplatila včas, výkupné se zdvojnásobilo. WannaCry je malware, který se také šíří jako červ a dokáže se tak automaticky pohybovat v sítích.

Ransomware Sodinokibi

Sodinokibi je rodina ransomwaru, která cílí na zařízení s Windows. Když jste infikováni ransomwarem Sodinokibi, známým též jako REvil, uvidíte žádost o výkupné v bitcoinech výměnou za dešifrování všech vašich souborů. Cílí na vše v zařízení kromě položek, které jsou uvedeny v jeho konfiguračním souboru. Tento malware byl poprvé použit v roce 2019.

Ransomware Dharma a Phobos

Ransomware Dharma (nebo také CrySiS) je známý svými útoky na malé a střední firmy a požadováním menších výkupných, aby měl vyšší šanci, že oběti zaplatí.

Obvykle útočí přes protokol RDP (Remote Desktop Protocol) a poprvé byl odhalen v roce 2016. Posloužil jako základ ransomwaru Phobos, který funguje podobně.

Ransomware Petya

Ransomware Petya potřebuje zašifrovat soubory, aby mohl fungovat. Zatímco jiný malware může zašifrovat konkrétní důležitá data, Petya dokáže zašifrovat celý pevný disk a znemožnit tak jeho zapnutí. Poprvé byl použit v roce 2016, ale jméno si udělal v roce 2017 díky nové variantě s názvem GoldenEye.

Ransomware Cerber

Cerber je příkladem ransomwaru jako služby (RaaS), který vychází z modelu softwaru jako služby (SaaS). Tvůrci licencují Cerber dalším kybernetickým zločincům a na oplátku za to dostanou podíl na platbách výkupného. Jakmile Cerber infikuje zařízení, objeví se na obrazovce žádost o výkupné. Dokáže zašifrovat soubory také na nenamapovaných sdílených složkách v síti.

Ransomware Locky

Ransomware Locky byl poprvé odhalen v roce 2016 a šíří se přes e-maily. Je o něm známo, že zaútočil na nemocnici v Los Angeles a požadoval výkupné 17 000 dolarů. Následně napadl množství dalších zdravotnických organizací. Po opadnutí první vlny útoků už ale na žádný další významný cíl nezaútočil.

Případové studie ransomwaru

Ransomware způsobil digitálnímu světu rozsáhlé problémy a v průběhu let vytáhl ze svých obětí miliardy dolarů. Pojďme se podívat na nejvýznamnější příklady útoků ransomwaru, které napáchaly nejvíc finančních a jiných škod:

• Září 2013, Cryptolocker: Cryptolocker byl po viru AIDS Trojan v roce 1989 prvním malwarem, který byl nazván ransomwarem. Na jeho zastavení se podílely FBI a Interpol.
• Květen 2017, NHS: Při globálním útoku ransomwaru WannaCry se britská organizace National Health Service (NHS) stala obětí jednoho z nejškodlivějších útoků ransomwaru v zemi. Kvůli nefunkčním systémům bylo nutné rušit návštěvy u doktorů a zdravotničtí pracovníci se museli spoléhat na papír a tužku. Útok WannaCry infikoval celkem 200 000 počítačů ve 150 zemích a celkové škody činily 4 miliardy, z čehož 92 milionů liber (120 milionů dolarů) připadá na NHS.
• Březen 2018, město Atlanta: Správa hlavního města Georgie byla v roce 2018 napadena ransomwarem SamSam. Správu města vyšla náprava tohoto útoku na víc peněz (2,6 milionu dolarů), než bylo požadované výkupné (50 000 dolarů).
• Květen 2019, město Baltimore: Hackeři v roce 2019 zaútočili na Baltimore pomocí ransomwaru RobbinHood, který napadl většinu počítačů správy města. Požadovali výkupné 13 bitcoinů (76 280 dolarů) s tím, že cena se zvýší, pokud nebude zaplacena do čtyř dnů, nebo budou všechna data po 10 dnech trvale smazána. Městu se nakonec povedlo systémy zprovoznit, aniž by muselo zaplatit výkupné.
• Červen 2020, Kalifornská univerzita v San Francisku: Vysoká škola po měsíci boje s ransomwarem Netwalker zaplatila výkupné 1,14 milionu dolarů. Původní výkupné činilo 4 miliony dolarů, ale škole se povedlo vyjednat jeho snížení.
• Září 2020, DUC: Útok ransomwaru Ryuk na univerzitní kliniku v německém Düsseldorfu vedl k úmrtí pacienta, který se nedočkal potřebné zdravotní péče.
• Duben 2021, Quanta: Nedávný útok ransomwaru Sodinokobi na firmu Quanta vyrábějící Macbooky požadoval výkupné 50 milionů dolarů. Firma odmítla výkupné zaplatit a kybernetičtí zločinci tak zveřejnili informace o Macboocích.

Náklady na útok ransomwaru

Stát se obětí útoku ransomwaru je špatnou zprávou pro firemní finance – nejen kvůli samotnému výkupnému, ale také kvůli možným pokutám od úřadů na ochranu osobních údajů nebo ztrátě zakázek v důsledku ztráty důvěry zákazníků.

V roce 2021 podle Cybersecurity Ventures vyšplhaly škody způsobené ransomwarovými útoky odhadem na 20 miliard dolarů a předpokládá se, že každých 11 sekund je nějaká firma napadena malwarem. Firmy v Evropě mohou navíc za nedostatečné zabezpečení čelit pokutám stanoveným legislativou GDPR. Firma British Airways v roce 2020 dostala od úřadů pokutu 20 milionů liber (26 milionů dolarů). Původní pokuta však činila 183 milionů liber (239 milionů dolarů).

Pokud by finanční ztráta nestačila, spousta firem (zejména těch menších) čelí problémům s obnovením provozu. Kolem 60 % malých firem, které se staly obětí napadení dat, ukončilo svou činnost. V roce 2020 například skončila telemarketingová firma The Heritage Company se sídlem v Arkansasu, kterou ransomware napadl v roce 2019. Ať už jde o náklady na zablokování útoku, obnovení provozu nebo ztrátu zákazníků, zotavení z útoku ransomwaru si může vybrat svou daň.

Jak se ransomware dostane do firmy?

Když firma nepoužívá účinná bezpečnostní opatření, je zranitelná vůči kybernetickým útokům.

Klíčovou slabinou firem je nedostatečné školení personálu. Pokud zaměstnanci nevědí, jak poznat podezřelý e-mail, odhalit ransomware  nahlásit problém, mohou svým počínáním infikovat zařízení a celou síť. Personál nemusí vědět, že jsou jejich zařízení zranitelná vůči útokům, nebo netuší o rizicích ransomwaru pro Macy či Linux. I když je známo, že tyto operační systémy mají účinnější integrované zabezpečení než Windows, jsou přesto ohrožovány kybernetickými hrozbami.

K průniku do sítě mohou kybernetickým zločincům posloužit také aplikace třetích stran. Proniknout do aplikace pro ně může být snazší než proniknout do systému a touto mezerou vám mohou infikovat zařízení malwarem.

Jelikož personál může představovat bezpečnostní riziko, zabezpečená firma by měla používat účinný antivirus, který ji dokáže ochránit před případným nechtěně staženým škodlivým softwarem. Pravidelnou aktualizací (nebo instalací oprav) softwaru je třeba eliminovat chyby a zranitelnosti – software bez oprav může vést k nedostatkům v ochraně.

Jak předejít útoku ransomwaru

Existuje mnoho účinných způsobů, jak chránit firmu před útokem ransomwaru a jak se takovým útokům vyhnout. Stejně jako v případě mnoha jiných kybernetických útoků získávají zločinci přístup do sítě kvůli nesprávným postupům zabezpečení IT. Patří mezi ně:

• Nedostatečné školení personálu
• Slabé přihlašovací údaje
• Udělování příliš mnoha přístupových oprávnění aplikacím třetích stran
• Absence účinných firewallů
• Nepoužívání antiviru
• Chybějící aktualizace či opravy softwaru

Proto se neobejdete bez zabezpečení provozu. Stejně tak důležité je školení personálu a silné přihlašovací údaje. Pracovníky je třeba vyškolit tak, aby správně používali síť, zvláště když pracují na dálku, a věděli, jak rozpoznat phishingové e-maily, hlásit podezřelou aktivitu a vytvářet silná hesla. To vše by mělo být uvedeno v plánu provozní kontinuity. A přestože je prevence lepší než léčba, plány pro zotavení po havárii IT a provozní kontinuitu se vám budou hodit také. Mezi další klíčová opatření na ochranu před útoky ransomwaru patří: