Co je ransomware?
Přečtěte si další informace o ransomwaru, o tom, jak funguje a jak můžete chránit sebe i vaši firmu před tímto typem kybernetických útoků.
Definice ransomwaru
Ransomware je typ škodlivého softwaru neboli malwaru, který vyhrožuje obětem tím, že pokud nezaplatí výkupné, jejich klíčová data nebo systémy budou zničeny nebo přístup k nim bude zablokován. V minulosti většinou ransomware cílil na jednotlivce, ale v poslední době se větší a obtížněji odvratitelnou hrozbou stal ransomware řízený lidmi, který se zaměřuje na organizace. V případě ransomwaru řízeného lidmi využívá skupina útočníků svou kolektivní inteligenci, aby získala přístup do podnikové sítě organizace. Některé útoky tohoto druhu jsou tak sofistikované, že útočníci nastavují cenu výkupného na základě interních finančních dokumentů, které se jim podařilo získat.
Ransomwarové útoky ve zprávách
Zmínky o ransomwarových hrozbách ve zprávách jsou dnes bohužel běžné. Nedávné významné ransomwarové útoky postihly kritickou infrastrukturu, zdravotnictví a poskytovatele IT služeb. S rostoucím rozsahem těchto útoků se jejich účinky stávají nepředvídatelnějšími. Tady jsou některé ransomwarové útoky a jejich dopad na organizace:
- V březnu 2022 se řecký poštovní systém stal obětí ransomwaru. Útok dočasně narušil doručování pošty a ovlivnil zpracování finančních transakcí.
- V květnu 2022 došlo k ransomwarovému útoku na jednu z největších indických leteckých společností. Incident měl za následek zpoždění a rušení letů a stovky uvízlých cestujících.
- Velká personální společnost byla v prosinci 2021 zasažena ransomwarovým útokem, který poškodil její mzdový a volnočasový systém pro klienty, kteří využívají její cloudovou službu.
- V květnu 2021 americká palivová společnost pozastavila své služby, aby zabránila dalším únikům informací poté, co ransomwarový útok ohrozil osobní údaje tisíců jejích zaměstnanců. To způsobilo prudký nárůst cen benzínu na celém východním pobřeží.
- Německá společnost zabývající se distribucí chemikálií byla v dubnu 2021 napadena ransomwarem. Bylo odcizeno více než 6 000 dat narození, čísel sociálního pojištění a čísel řidičských průkazů a také údaje o zdravotním stavu.
- V květnu 2021 se stal terčem ransomwarového útoku největší dodavatel masa na světě. Po dočasné nedostupnosti svého webu a zastavení produkce nakonec společnost zaplatila výkupné ve výši 11 milionů dolarů v bitcoinech.
Jak funguje ransomware?
Ransomwarové útoky spočívají v převzetí kontroly nad daty nebo zařízeními jednotlivce nebo organizace a na základě toho pak zločinci požadují výkupné. V minulých letech převládaly útoky využívající sociální inženýrství, ale v poslední době se využívá ransomware řízený lidmi, protože přináší potenciálně vyšší zisky.
Ransomware využívající sociální inženýrství
Tyto útoky využívají phishing, což je forma podvodu, kdy se útočník vydává za legitimní společnost nebo web a přiměje oběť kliknout na odkaz nebo otevřít e-mailovou přílohu, která do jejího zařízení nainstaluje ransomware. Tyto útoky často obsahují poplašné zprávy, takže oběť jedná z pozice strachu. Kyberzločinec se může například vydávat za renomovanou banku a poslat příjemci varovný e-mail, že jeho účet byl kvůli podezřelé aktivitě zablokován, a zároveň ho požádat o kliknutí na odkaz v e-mailu kvůli vyřešení problému. Po kliknutí na odkaz se nainstaluje ransomware.
Ransomware ovládaný lidmi
Útok ransomwaru řízeného lidmi často začíná odcizením přihlašovacích údajů. Jakmile útočníci tímto způsobem získají přístup do sítě organizace, pomocí ukradeného účtu zjistí přihlašovací údaje účtů s širšími přístupovými oprávněními a vyhledají data a klíčové obchodní systémy, jejichž napadení jim může přinést vysoké výkupné. Pak do těchto citlivých dat nebo důležitých podnikových systémů nainstalují ransomware, například zašifrují citlivé soubory, aby k nim organizace neměla přístup, dokud zločincům nezaplatí. Kyberzločinci obvykle kvůli své anonymitě žádají platby v kryptoměně.
Tito útočníci se zaměřují na velké organizace, které můžou zaplatit vyšší výkupné než běžný jednotlivec, a někdy požadují miliony dolarů. Vzhledem k tomu, že narušení podnikové sítě takového rozsahu představuje velké ohrožení, se mnoho organizací rozhodne raději zaplatit výkupné, než aby nechaly uniknout citlivá data nebo riskovaly další útoky kyberzločinců, i když tím nemají zaručeno, že se těmto problémům vyhnou.
S rostoucím počtem ransomwarových útoků řízeného lidmi se zločinci, kteří za útoky stojí, stávají lépe organizovanými. Mnoho ransomwarových útoků dnes používá model Ransomware as a Service (ransomeware jako služba), což znamená, že skupina zločineckých vývojářů vytvoří samotný ransomware a pak najme další kyberzločince, aby se nabourali do sítě organizace a ransomware do ní nainstalovali. Zisky si pak obě skupiny po dohodě rozdělí.
Různé typy ransomwarových útoků
Vyskytují se především dva druhy ransomwaru: kryptografický ransomware a blokovací (locker) ransomware.
Kryptografický ransomware
Když se jednotlivec nebo organizace stanou obětí útoku kryptografického ransomwaru, útočník zašifruje citlivá data nebo soubory oběti tak, že k nim nemá přístup, dokud nezaplatí požadované výkupné. Teoreticky platí, že jakmile oběť zaplatí, obdrží šifrovací klíč pro získání přístupu k souborům nebo datům. I když však výkupné zaplatí, nemá žádnou záruku, že kyberzločinec šifrovací klíč opravdu pošle nebo se vzdá kontroly nad daty. Doxware je forma kryptografického ransomwaru, která šifruje data a obvykle vyhrožuje, že zveřejní takové osobní údaje oběti, které ji poníží nebo zesměšní. Cílem je zaplacení výkupného.
Blokovací ransomware
Pokud dojde k útoku pomocí blokovacího ransomwaru, oběť se nedostane do svého zařízení a nemůže se do něj přihlásit. Oběti se na obrazovce zobrazí vysvětlení, že zařízení bylo uzamčeno, a také požadavek na výkupné spolu s pokyny, jak ho zaplatit a získat znovu přístup. Tato forma ransomwaru obvykle nezahrnuje šifrování, takže jakmile oběť znovu získá přístup do svého zařízení, dostane se ke všem citlivým souborům a datům.
Reakce na ransomwarový útok
Pokud zjistíte, že jste se stali obětí ransomwarového útoku, máte k dispozici několik možností pro nápravu a řešení.
K platbě výkupného přistupujte obezřetně
I když může být lákavé zaplatit výkupné v naději, že se tím problém odstraní, nemáte žádnou záruku, že kyberzločinci dodrží své slovo a umožní vám přístup k vašim datům. Bezpečnostní experti a orgány činné v trestním řízení doporučují, aby oběti ransomwarových útoků požadované výkupné neplatily, protože by tím mohly být vystaveny budoucím hrozbám a aktivně by podporovaly zločinecké skupiny. Pokud jste už zaplatili, neprodleně kontaktujte svou banku – pokud jste platili kartou, možná dokáže platbu zablokovat.
Izolujte nakažená data
Jakmile budete moct, izolujte ohrožená data, abyste zabránili šíření ransomwaru do jiných oblastí vaší sítě.
Použijte antimalwarový program
Mnoho ransomwarových útoků je možné vyřešit instalací antimalwarového programu, který ransomware odebere. Jakmile vyberete spolehlivé antimalwarové řešení, jako je Microsoft Defender, nezapomeňte provádět pravidelné aktualizace a mějte ho vždy spuštěné, abyste byli chráněni před nejnovějšími útoky.
Útok nahlaste
Pokud chcete útok nahlásit, obraťte se na příslušné místní nebo státní orgány. Ve Spojených státech kontaktujte místní pobočku FBI, úřad IC3, nebo tajnou službu. I když tento krok pravděpodobně nevyřeší vaše aktuální problémy, je důležitý, protože tyto orgány aktivně sledují a monitorují různé útoky. Když se podělíte o své zkušenosti, můžete jim poskytnout užitečné informace a přispět k vypátrání a trestnímu stíhání kyberzločinců nebo jejich skupiny.
Ochrana před ransomwarem
Vzhledem k tomu, že počet ransomwarových útoků stále roste a velká část osobních údajů je uložena v digitální podobě, jsou potenciální následky útoku hrozivé. Naštěstí existuje mnoho způsobů, jak si uchovat digitální život v bezpečí, aby byl jen váš a nikdo do něj nezasahoval. Tady se dozvíte, jak získat klid díky proaktivní ochraně před ransomwarem.
Nainstalujte si antimalwarový program
Nejlepší formou ochrany je prevence. Řadu ransomwarových útoků lze odhalit a zablokovat pomocí důvěryhodné antimalwarové služby, jako je například Microsoft Defender for Endpoint, Microsoft Defender XDR nebo Microsoft Defender for Cloud. Když použijete antimalwarový program, vaše zařízení nejprve zkontroluje všechny soubory nebo odkazy, které se chystáte otevřít, aby se ověřila jejich bezpečnost. Pokud je soubor nebo web škodlivý, antimalwarový program vás upozorní a navrhne, abyste ho neotevírali. Tyto programy můžou také odebrat ransomware ze zařízení, které už je nakažené.
Pořádejte pravidelná školení
Prostřednictvím pravidelných školení informujte zaměstnance, aby uměli rozpoznat phishingové a další ransomwarové útoky. Seznámí se nejen s bezpečnějšími pracovními postupy, ale také s tím, jak bezpečněji používat svá osobní zařízení.
Přejděte na cloud
Když data přesunete do nějaké cloudové služby, jako je cloudová zálohovací služba Azure nebo služba Azure Block Blob Storage Backup, budete je moct snadno zálohovat a bezpečněji uchovávat. Pokud by někdy došlo k ohrožení vašich dat ransomwarem, pomůžou tyto služby zajistit okamžité a zároveň i komplexní obnovení.
Implementujte model nulové důvěry (Zero Trust)
Model nulové důvěry (Zero Trust) posoudí každé zařízení a každého uživatele z hlediska rizik, a teprve pak jim povolí přístup k aplikacím, souborům, databázím a dalším zařízením. Snižuje se tak pravděpodobnost, že by k prostředkům mohla získat přístup škodlivá identita nebo zařízení a nainstalovat ransomware. Příkladem je implementace vícefaktorového ověřování, což je jedna ze součástí modelu nulové důvěry (Zero Trust) – to snižuje efektivitu útoků na identitu o více než 99 procent. Pokud chcete vyhodnotit úroveň vyspělosti své organizace z hlediska této strategie, absolvujte posouzení připravenosti na model nulové důvěry (Zero Trust)od Microsoftu.
Připojte se ke skupině pro sdílení informací
Skupiny pro sdílení informací, které se často organizují podle odvětví nebo geografické polohy, motivují podobně strukturované organizace ke spolupráci na řešeních kybernetického zabezpečení. Rovněž organizacím nabízejí různé výhody, jako jsou služby pro reakci na incidenty a digitální forenzní služby, novinky o nejnovějších hrozbách a monitorování rozsahů a domén veřejných IP adres.
Udržujte offline zálohy
Cílem ransomwaru může být i vyhledání a odstranění všech vašich online záloh, a proto je vhodné udržovat aktualizované offline zálohy citlivých dat, které budete pravidelně testovat, abyste měli jistotu, že je bude možné použít k obnovení po ransomwarovém útoku. Pokud se stanete obětí kryptografického ransomwaru, offline záloha bohužel problém nevyřeší, ale může fungovat jako efektivní nástroj při útoku blokovacím ransomwarem.
Udržujte software v aktualizovaném stavu
Kromě aktualizace všech antimalwarových řešení (zvažte automatický režim) si nezapomeňte stahovat a instalovat všechny další aktualizace systému a opravy softwaru, jakmile budou k dispozici. Přispějete tím k minimalizaci slabých míst v zabezpečení, která by kyberzločinec mohl zneužít k získání přístupu k vaší síti nebo zařízením.
Vytvořte plán reakce na incidenty
Podobně jako evakuační plány v budovách pro případ požáru zvyšují bezpečí a připravenost, umožní vám i plán reakce na incidenty s předepsanými postupy při ransomwarových útocích rychle a správně zareagovat při různých scénářích napadení, abyste se mohli co nejdříve vrátit k normálnímu a bezpečnému provozu.
Pomozte zajistit celkovou ochranu prostřednictvím zabezpečení od Microsoftu
Microsoft Sentinel
Získejte úplný přehled o celém podniku díky cloudovému řešení pro správu akcí a informací o zabezpečení (SIEM).
Microsoft Defender XDR
Zabezpečte své koncové body, identity, e-maily a aplikace pomocí řešení rozšířené detekce a reakce (XDR).
Microsoft Defender for Cloud
Chraňte svá multicloudová a hybridní prostředí od vývoje až po provoz.
Analýza hrozeb v programu Microsoft Defender
Seznamte se s aktéry hrozeb a jejich nástroji pomocí kompletní a nepřetržitě aktualizované mapy internetu.
Boj s hrozbami ransomwaru
Získejte náskok před hrozbami pomocí automatického přerušování útoků a reagování na útoky pomocí Zabezpečení od Microsoftu.
Studie Microsoft Digital Defense Report
Seznamte se s aktuálním prostředím hrozeb a s tím, jak můžete vytvořit digitální obranu.
Vytvoření programu ochrany proti ransomwaru
Prozkoumejte, jak Microsoft vytvořil stav optimální odolnosti proti ransomwaru, aby eliminoval ransomware.
Blokování ransomwaru pomocí playbooku
Popište a znázorněte, jaká je role každého v procesu blokování ransomwaru.
Časté otázky
-
Obětí ransomwarového útoku se bohužel může stát téměř každý, kdo se pohybuje na internetu. Častými cíli kyberzločinců jsou osobní zařízení i podnikové sítě.
Investice do proaktivních řešení, jako jsou služby pro ochranu před hrozbami, je realizovatelné řešení, jak zlepšit prevenci napadení vaší sítě nebo vašich zařízení ransomwarem. Nejnižší pravděpodobnost, že se stanou oběťmi ransomwarového útoku, vykazují totiž osoby a organizace s antimalwarovými programy a dalšími protokoly zabezpečení, jako je model nulové důvěry (Zero Trust).
-
K tradičním ransomwarovým útokům dochází, když útočník svou oběť oklame škodlivým obsahem, například ji přiměje otevřít infikovaný e-mail nebo navštívit škodlivý web, který nainstaluje do jejího zařízení ransomware.
V případě ransomwarového útoku řízeného lidmi skupina útočníků cílí na citlivá data organizace a prolomí jejich zabezpečení, obvykle pomocí odcizených přihlašovacích údajů.
Pro ransomware využívající sociální inženýrství i řízený lidmi platí, že oběti nebo organizaci se zobrazí požadavek na výkupné s informacemi o ukradených datech a částce, kterou bude stát jejich vrácení. Zaplacení výkupného ale nezaručuje, že data budou opravdu vrácena ani že znovu nedojde k narušení zabezpečení.
-
Ransomwarové útoky můžou mít zničující důsledky. Oběti z řad jednotlivců i organizací by se mohly cítit nuceny platit vysoké výkupné bez záruky, že svá data získají zpět a že se útoky nebudou opakovat. Pokud kyberzločinec zveřejní citlivé informace organizace, může to zničit její pověst a může být považována za nedůvěryhodnou. A v závislosti na typu zveřejněných informací a velikosti organizace může tisícům lidí hrozit, že se stanou oběťmi krádeže identity nebo jiného druhu počítačové kriminality.
-
Kyberzločinci, kteří infikují napadená zařízení ransomwarem, chtějí peníze. Aby zůstali v anonymitě a nebylo možné je vystopovat, často chtějí zaplatit výkupné v kryptoměnách. V případě útoku ransomwaru, který využívá sociální inženýrství a cílí na jednotlivce, může výkupné představovat stovky nebo tisíce dolarů. Při ransomwarových útocích řízených lidmi a zaměřených na organizace může výkupné dosahovat milionů dolarů. Při těchto sofistikovanějších útocích vedených proti organizacím můžou kyberzločinci stanovit výši výkupného na základě důvěrných finančních údajů, které našli při narušení sítě, protože na jejich základě odhadnou, jako částku si organizace může dovolit.
-
Oběti ransomwarových útoků by měly věc ohlásit příslušným místním nebo státním orgánům. Ve Spojených státech kontaktujte místní pobočku FBI, úřad IC3, nebo tajnou službu. Odborníci na zabezpečení a právníci doporučují, aby oběti výkupné neplatily. Pokud jste už zaplatili, okamžitě kontaktujte svou banku a místní úřady. Pokud jste úhradu provedli kartou, vaší bance se může podařit platbu zablokovat.
Sledujte zabezpečení od Microsoftu