Co je ransomware?

Ransomware je typ malwaru, který kybernetičtí zločinci používají k infikování zařízení nebo sítě škodlivým softwarem, který následně zašifruje soubory a udělá z cenných dat nečitelný kód. Kybernetičtí zločinci pak za dešifrování těchto dat požadují platbu výkupného.

Spousta lidí se ptá, jestli lze ransomware považovat za virus. Odpověď zní ne. Ransomware a viry jsou formami malwaru, ale každý z nich útočí jinak. Zatímco virus infikuje soubory, ransomware je zašifruje.

Organizace se mohou stát obětí ransomwarových útoků prostřednictvím phishingových e-mailů, jejichž cílem je nalákat oběť, nebo prostřednictvím stahování, kdy uživatel navštíví infikovaný web a nevědomky stáhne malware.

Co je podnikový ransomware?

Podnikový ransomware je definován jako útok ransomwaru na firmu nebo organizaci. Většina útoků ransomwaru cílí na velké podniky a korporace, protože na nich kybernetičtí zločinci mohou nejvíc vydělat, ale specifika se liší útok od útoku.

To, že kybernetičtí zločinci útočí spíše na firmy než na jednotlivce, má svůj důvod – souvisí to hlavně s tím, jak se ransomware šíří, a s potenciální hodnotou zločinu. A jak se tedy šíří? Malware se stáhne do zařízení, když někdo otevře e-mail nebo klikne na pochybný odkaz. Obecně řečeno, velké organizace s větším počtem zaměstnanců nabízejí ransomwaru víc příležitostí, jak se uchytit (na jeho triky může naletět víc lidí). Velké korporace si ale uvědomují, že jsou více ohroženy, a protože často mají větší rozpočet, mohou používat účinnější bezpečnostní opatření.

U větších firem také existuje větší riziko ransomwarového útoku, protože jejich data jsou hodnotnější. S větší pravděpodobností uchovávají velké množství citlivějších dat, takže jakékoli narušení znamená vyšší provozní náklady. Proto je pravděpodobnější, že tyto korporace zaplatí výkupné a vyhoví požadavkům na vyšší částku. Například útok ransomwaru na nemocnici by kybernetickému zloději vynesl na výkupném víc než útok na místní květinářství.

Historie ransomwaru

Panuje většinový názor, že historie ransomwaru začala v roce 1989 virem známým jako AIDS Trojan. Při útoku zosnovaném biologem Josephem Poppem bylo na konferenci Světové zdravotnické organizace o AIDS rozdáno 20 000 disků obsahujících trojského koně. Jakmile byl počítač napaden, objevila se na obrazovce žádost o zaslání výkupného ve výši 189 dolarů na adresu poštovní přihrádky v Panamě.

Od 80. let ale technologie pokročily a kybernetičtí zločinci se už při vybírání výkupného obejdou bez poštovních přihrádek. V současnosti se výkupné požaduje v bitcoinech a malware je adaptován tak, aby byl nebezpečnější a ničivější – získal například funkce červů a jeho techniky infikování byly inovovány. Ochrana před ransomwarem se ale také adaptuje, aby dokázala bránit sítě před těmito stále důmyslnějšími útoky.

Typy ransomwaru

Existuje několik typů ransomwaru – některé cílí na malé a střední firmy, jiné na velké korporace a další na státní zdravotnická zařízení. Také velikost výkupného se může lišit. Někdy útočníci požadují stovky dolarů, jindy miliony.

Ransomware Cryptolocker

Cryptolocker útočí od roku 2013 a je považován za první exemplář ransomwaru, který se objevil po prvním útoku v roce 1989. Když se po roce 2010 objevily kryptoměny, umožnilo to kybernetickým zločincům žádat platbu výkupného nevystopovatelným způsobem platby. Cryptolocker byl prvním útokem ransomwaru, který používal pokročilé šifrování a obsahoval žádost o výkupné s pokyny k platbě v bitcoinech.

Tento malware útočil od září do následujícího května, infikoval 250 000 zařízení a vydělal kybernetickým zločincům nejméně 3 miliony dolarů. Lze ho rozpoznat podle žádosti o výkupné, která se objeví na obrazovce.

Ransomware Ryuk

Ransomware Ryuk se objevil v roce 2018 a vycházel z existujícího trojského koně Hermes, jehož první použití bylo zaznamenáno v roce 2017. Přestože byl použit při útoku skupiny kybernetických zločinců, za níž stála Severní Korea, panuje široká shoda na tom, že byl vyvinut v Rusku.

V roce 2021 byla odhalena nová varianta ransomwaru Ryuk, která funguje jako červ a dokáže se automaticky přesouvat mezi zařízeními tak, že tento program šíří kopie jedinečných verzí sebe sama.

Ransomware WannaCry

Poznat, že vám zařízení infikoval ransomware WannaCry je snadné – uvidíte řádek „Oops, your important files are encrypted“ (Jejda, vaše důležité soubory jsou zašifrované). Jeho útok se poprvé objevil v roce 2017 a během jednoho dne infikoval víc než 230 000 počítačů.

Při každém útoku požadovali kybernetičtí zločinci za dešifrování souborů výkupné ve výši 300 dolarů v bitcoinech. Když oběť nezaplatila včas, výkupné se zdvojnásobilo. WannaCry je malware, který se také šíří jako červ a dokáže se tak automaticky pohybovat v sítích.

Ransomware Sodinokibi

Sodinokibi je rodina ransomwaru, která cílí na zařízení s Windows. Když jste infikováni ransomwarem Sodinokibi, známým též jako REvil, uvidíte žádost o výkupné v bitcoinech výměnou za dešifrování všech vašich souborů. Cílí na vše v zařízení kromě položek, které jsou uvedeny v jeho konfiguračním souboru. Tento malware byl poprvé použit v roce 2019.

Ransomware Dharma a Phobos

Ransomware Dharma (nebo také CrySiS) je známý svými útoky na malé a střední firmy a požadováním menších výkupných, aby měl vyšší šanci, že oběti zaplatí.

Obvykle útočí přes protokol RDP (Remote Desktop Protocol) a poprvé byl odhalen v roce 2016. Posloužil jako základ ransomwaru Phobos, který funguje podobně.

Ransomware Petya

Ransomware Petya potřebuje zašifrovat soubory, aby mohl fungovat. Zatímco jiný malware může zašifrovat konkrétní důležitá data, Petya dokáže zašifrovat celý pevný disk a znemožnit tak jeho zapnutí. Poprvé byl použit v roce 2016, ale jméno si udělal v roce 2017 díky nové variantě s názvem GoldenEye.

Ransomware Cerber

Cerber je příkladem ransomwaru jako služby (RaaS), který vychází z modelu softwaru jako služby (SaaS). Tvůrci licencují Cerber dalším kybernetickým zločincům a na oplátku za to dostanou podíl na platbách výkupného. Jakmile Cerber infikuje zařízení, objeví se na obrazovce žádost o výkupné. Dokáže zašifrovat soubory také na nenamapovaných sdílených složkách v síti.

Ransomware Locky

Ransomware Locky byl poprvé odhalen v roce 2016 a šíří se přes e-maily. Je o něm známo, že zaútočil na nemocnici v Los Angeles a požadoval výkupné 17 000 dolarů. Následně napadl množství dalších zdravotnických organizací. Po opadnutí první vlny útoků už ale na žádný další významný cíl nezaútočil.

Případové studie ransomwaru

Ransomware způsobil digitálnímu světu rozsáhlé problémy a v průběhu let vytáhl ze svých obětí miliardy dolarů. Pojďme se podívat na nejvýznamnější příklady útoků ransomwaru, které napáchaly nejvíc finančních a jiných škod:

• Září 2013, Cryptolocker: Cryptolocker byl po viru AIDS Trojan v roce 1989 prvním malwarem, který byl nazván ransomwarem. Na jeho zastavení se podílely FBI a Interpol.
• Květen 2017, NHS: Při globálním útoku ransomwaru WannaCry se britská organizace National Health Service (NHS) stala obětí jednoho z nejškodlivějších útoků ransomwaru v zemi. Kvůli nefunkčním systémům bylo nutné rušit návštěvy u doktorů a zdravotničtí pracovníci se museli spoléhat na papír a tužku. Útok WannaCry infikoval celkem 200 000 počítačů ve 150 zemích a celkové škody činily 4 miliardy, z čehož 92 milionů liber (120 milionů dolarů) připadá na NHS.
• Březen 2018, město Atlanta: Správa hlavního města Georgie byla v roce 2018 napadena ransomwarem SamSam. Správu města vyšla náprava tohoto útoku na víc peněz (2,6 milionu dolarů), než bylo požadované výkupné (50 000 dolarů).
• Květen 2019, město Baltimore: Hackeři v roce 2019 zaútočili na Baltimore pomocí ransomwaru RobbinHood, který napadl většinu počítačů správy města. Požadovali výkupné 13 bitcoinů (76 280 dolarů) s tím, že cena se zvýší, pokud nebude zaplacena do čtyř dnů, nebo budou všechna data po 10 dnech trvale smazána. Městu se nakonec povedlo systémy zprovoznit, aniž by muselo zaplatit výkupné.
• Červen 2020, Kalifornská univerzita v San Francisku: Vysoká škola po měsíci boje s ransomwarem Netwalker zaplatila výkupné 1,14 milionu dolarů. Původní výkupné činilo 4 miliony dolarů, ale škole se povedlo vyjednat jeho snížení.
• Září 2020, DUC: Útok ransomwaru Ryuk na univerzitní kliniku v německém Düsseldorfu vedl k úmrtí pacienta, který se nedočkal potřebné zdravotní péče.
• Duben 2021, Quanta: Nedávný útok ransomwaru Sodinokobi na firmu Quanta vyrábějící Macbooky požadoval výkupné 50 milionů dolarů. Firma odmítla výkupné zaplatit a kybernetičtí zločinci tak zveřejnili informace o Macboocích.

Náklady na útok ransomwaru

Stát se obětí útoku ransomwaru je špatnou zprávou pro firemní finance – nejen kvůli samotnému výkupnému, ale také kvůli možným pokutám od úřadů na ochranu osobních údajů nebo ztrátě zakázek v důsledku ztráty důvěry zákazníků.

V roce 2021 podle Cybersecurity Ventures vyšplhaly škody způsobené ransomwarovými útoky odhadem na 20 miliard dolarů a předpokládá se, že každých 11 sekund je nějaká firma napadena malwarem. Firmy v Evropě mohou navíc za nedostatečné zabezpečení čelit pokutám stanoveným legislativou GDPR. Firma British Airways v roce 2020 dostala od úřadů pokutu 20 milionů liber (26 milionů dolarů). Původní pokuta však činila 183 milionů liber (239 milionů dolarů).

Pokud by finanční ztráta nestačila, spousta firem (zejména těch menších) čelí problémům s obnovením provozu. Kolem 60 % malých firem, které se staly obětí napadení dat, ukončilo svou činnost. V roce 2020 například skončila telemarketingová firma The Heritage Company se sídlem v Arkansasu, kterou ransomware napadl v roce 2019. Ať už jde o náklady na zablokování útoku, obnovení provozu nebo ztrátu zákazníků, zotavení z útoku ransomwaru si může vybrat svou daň.

Jak se ransomware dostane do firmy?

Když firma nepoužívá účinná bezpečnostní opatření, je zranitelná vůči kybernetickým útokům.

Klíčovou slabinou firem je nedostatečné školení personálu. Pokud zaměstnanci nevědí, jak poznat podezřelý e-mail, odhalit ransomware  nahlásit problém, mohou svým počínáním infikovat zařízení a celou síť. Personál nemusí vědět, že jsou jejich zařízení zranitelná vůči útokům, nebo netuší o rizicích ransomwaru pro Macy či Linux. I když je známo, že tyto operační systémy mají účinnější integrované zabezpečení než Windows, jsou přesto ohrožovány kybernetickými hrozbami.

K průniku do sítě mohou kybernetickým zločincům posloužit také aplikace třetích stran. Proniknout do aplikace pro ně může být snazší než proniknout do systému a touto mezerou vám mohou infikovat zařízení malwarem.

Jelikož personál může představovat bezpečnostní riziko, zabezpečená firma by měla používat účinný antivirus, který ji dokáže ochránit před případným nechtěně staženým škodlivým softwarem. Pravidelnou aktualizací (nebo instalací oprav) softwaru je třeba eliminovat chyby a zranitelnosti – software bez oprav může vést k nedostatkům v ochraně.

Jak předejít útoku ransomwaru

Existuje mnoho účinných způsobů, jak chránit firmu před útokem ransomwaru a jak se takovým útokům vyhnout. Stejně jako v případě mnoha jiných kybernetických útoků získávají zločinci přístup do sítě kvůli nesprávným postupům zabezpečení IT. Patří mezi ně:

• Nedostatečné školení personálu
• Slabé přihlašovací údaje
• Udělování příliš mnoha přístupových oprávnění aplikacím třetích stran
• Absence účinných firewallů
• Nepoužívání antiviru
• Chybějící aktualizace či opravy softwaru

Proto se neobejdete bez zabezpečení provozu. Stejně tak důležité je školení personálu a silné přihlašovací údaje. Pracovníky je třeba vyškolit tak, aby správně používali síť, zvláště když pracují na dálku, a věděli, jak rozpoznat phishingové e-maily, hlásit podezřelou aktivitu a vytvářet silná hesla. To vše by mělo být uvedeno v plánu provozní kontinuity. A přestože je prevence lepší než léčba, plány pro zotavení po havárii IT a provozní kontinuitu se vám budou hodit také. Mezi další klíčová opatření na ochranu před útoky ransomwaru patří:

Znamení, že vaše firma byla napadena ransomwarem

Napadení počítače ransomwarem poznáte podle množství znamení – nejnápadnější je žádost o zaplacení výkupného. Mezi další běžná znamení patří:

• Chodí vám spear-phishingové nebo podvodné e-maily, což značí, že na vás cílí kybernetičtí zločinci
  • Když se stanete obětí zkušebního kybernetického útoku malého rozsahu, který se nezdá být závažný, možná kybernetičtí zločinci hledají zranitelnosti ve vašem systému, aby následně zahájili útok ve velkém měřítku.
• Antivirus vás upozorňuje na podezřelou aktivitu
• Dostáváte upozornění na podezřelé pokusy o přihlášení, které nepoznáváte
• Zjistili jste, že máte v síti nový software
  • Kybernetičtí zločinci často používají programy na odstraňování softwaru, jako jsou GMER, PC Hunter nebo Process Hacker, například k odstranění ochrany před ransomwarem ve Windows 10.
  • Ke krádežím přihlašovacích údajů mohou být používány aplikace, jako jsou Microsoft Process Explorer nebo MimiKatz.

Co dělat, když jste napadeni

Pokud vás napadl ransomware, měli byste učinit následující důležité kroky:

1. Oznamte útok. Zajistěte, aby personál věděl, jak rozpoznat kybernetický útok a jak ho oznámit příslušnému týmu.
2. Seznamte se s aktuální situací a odhalte malware. Pokuste se odhalit malware, který vám infikoval systém, abyste si mohli zjistit, jak se ochránit nebo jak ho odstranit.
3. Vypněte zdroj infekce. Zjistěte, přes které zařízení k vám útok pronikl, a dané zařízení odpojte od sítě, abyste omezili riziko šíření malwaru.
4. Izolujte útok. Odpojte od sítě všechna ostatní zařízení, která by mohla být zranitelná, a zabraňte tak dalšímu šíření ransomwaru.
5. Pokuste se dešifrovat data a odstranit ransomware. O něco takového by se měl pokusit bezpečnostní tým, který ví, co dělá, jinak by se situace mohla zhoršit.
6. Využijte externí služby. Externí specialista může obnovit vaše soubory, abyste za ně nemuseli platit výkupné.