Domů » Články » Zaplatit, nebo nezaplatit výkupné v případě ransomware útoku? Poradíme, co dělat, pokud jste obětí

Zaplatit, nebo nezaplatit výkupné v případě ransomware útoku? Poradíme, co dělat, pokud jste obětí

Unsplash.com (CC0)
Ilustrační obrázek

Ransomware je poměrně nebezpečný typ vyděračského softwaru, který na napadaném zařízení (počítač, smartphone, NAS…) dokáže zašifrovat data. Abyste k nim získali zpět přístup, požadují útočníci často poměrně tučné výkupné. Tento typ nebezpečného softwaru byl zpočátku populární především v Rusku, ale v roce 2012 se poměrně agresivně začal šířit po celém světě.

Společnost Check Point Software varuje, že průměrný týdenní počet ransomwarových útoků vzrostl za uplynulých 12 měsíců o 93 %. Každý týden se více než 1200 organizací na světě stane obětí vyděračského útoku, v ohrožení jsou všechny organizace, bez výjimky.

Jak vyplývá z dat společnosti Cybersecurity Ventures, škody způsobené ransomwarem dosáhnou letos částky přibližně 20 miliard dolarů, což je 57násobný nárůst oproti roku 2015. Do roku 2031 by náklady na ransomwarové incidenty mohly dokonce překonat těžko uvěřitelnou částku 265 miliard dolarů.

Pro hackery je ransomware zlatým dolem

Počet ransomwarových útoků roste z prostého důvodu, hackerům se vyplácí. Ochota zaplatit vytváří nebezpečnou smyčku a zvyšuje motivaci útočníků. Navíc je stále běžnější pojištění kybernetických rizik, takže společnosti neváhají plnit požadavky kyberzločinců, což problém dále prohlubuje.

Nárůst útoků souvisí i s dostupností hrozeb. Řada hackerských skupin nabízí ransomware jako službu, takže kdokoli si tento typ hrozby může pronajmout, včetně infrastruktury, vyjednávání s oběťmi nebo vyděračských webových stránek, kde je možné zveřejňovat ukradené informace. Výkupné se potom mezi „partnery“ dělí.

Problém začíná už u phishingových e-mailů

Ransomwarový útok přitom mnohdy nezačíná ransomwarem. Často je na začátku „obyčejný“ phishingový e-mail. Hackerské skupiny navíc spolupracují. Při útocích ransomwaru Ryuk byl k proniknutí do sítě používán malware Emotet, následně byla síť infikována Trickbotem a až nakonec došlo k zašifrování dat ransomwarem.

hacker uvodka

Jak vůbec poznáte, že jste obětí ransomwarového útoku, a jak byste měli reagovat? Pokud útok nezachytíte včas, pak to zjistíte poměrně jednoduše, zobrazí se vám totiž zpráva se žádostí o výkupné a nedostanete se ke svým datům.

Kyberzločinci navíc svoje techniky neustále zdokonalují, aby ještě zvýšili tlak na zaplacení. Původně ransomware „jen“ zašifroval data a za jejich odemčení požadoval výkupné. Útočníci brzy přidali druhou fázi a ještě před zašifrováním ukradli cenné informace, přičemž hrozili jejich zveřejněním, pokud nedojde k zaplacení výkupného. Přibližně 40 % všech nových ransomwarových rodin využívá nějakým způsobem kromě šifrování právě i krádež dat. V poslední době sledujeme navíc třetí fázi, kdy jsou kontaktováni i partneři obětí, zákazníci nebo novináři.

Co dělat, pokud jste se stali obětí ransomware útoku?

1) Zachovejte chladnou hlavu

Pokud se stanete obětí ransomwarového útoku, v první řadě je důležité nepanikařit. Okamžitě kontaktujte bezpečnostní tým a udělejte si foto vyděračské zprávy, bude se vám hodit pro policejní orgány i další vyšetřování.

2) Izolujte napadené systémy

Okamžitě odpojte infikované systémy od zbytku sítě, aby se zabránilo dalším škodám. Zároveň identifikujte zdroj infekce. Jak už bylo zmíněno, ransomwarový útok obvykle začíná jinou hrozbou a hackeři se v systému mohli pohybovat dlouhodobě a postupně maskovat stopy, takže odhalení „pacienta nula“ nemusí většina společností zvládnout bez externí pomoci.

3) Pozor na zálohy

Útočníci dobře vědí, že organizace se budou snažit obnovit svá data ze záloh, aby se tak vyhnuli placení výkupného. Proto jednou z fází útoků bývá i snaha vyhledat a zašifrovat nebo smazat zálohy. K infikovaným zařízením také nikdy nepřipojujte externí zařízení. Při obnově zašifrovaných dat může dojít k jejich poškození, například vinou chybného klíče. Proto může být užitečné vytvořit kopie zašifrovaných dat. Postupně také vznikají dešifrovací nástroje, které mohou pomoci rozluštit i dříve neznámý kód. Pokud jste vytvořili zálohy, které nebyly zašifrovány, zkontrolujte před úplnou obnovou integritu dat.

4) Žádné restarty ani údržba systému

Vypněte automatické aktualizace a jiné úlohy související s údržbou infikovaných systémů. Pokud by došlo ke smazání dočasných souborů nebo jiným změnám, mohlo by to zbytečně zkomplikovat vyšetřování a nápravu škod. Zároveň systémy nerestartujte, některé hrozby pak mohou začít mazat soubory.

5) Spolupracujte

V boji s kyberzločinem, a ransomwarem obzvlášť, je spolupráce klíčová. Kontaktujte proto policejní orgány a národní kybernetické úřady a neváhejte se obrátit na specializovaný tým reakce na incidenty (Incident Response Team) některé renomované kyberbezpečnostní společnosti. Informujte o incidentu i zaměstnance, včetně pokynů, jak v případě jakéhokoli podezřelého chování postupovat.

6) Určete typ ransomwaru

Pokud přímo ve zprávě od útočníků není uvedeno, o jaký typ ransomwaru se jedná, pak můžete využít některý z bezplatných nástrojů a zároveň navštívit stránky projektu „No More Ransom“, možná tam najdete dešifrovací nástroj právě pro váš ransomware.

7) Zaplatit, nebo ne?

Pokud je ransomwarový útok úspěšný, stojí organizace před volbou, jestli zaplatit výkupné, nebo ne. Společnosti se každopádně musejí vždy vrátit na úplný začátek a zjistit, proč k danému incidentu došlo. Jestli selhal lidský faktor nebo technologie, znovu projít všechny procesy a přehodnotit celou strategii, aby se podobný incident už nikdy neopakoval. Projít tímto kolečkem je nutné bez ohledu na zaplacení/nezaplacení. Nikdy se nelze uklidnit tím, že došlo nějakým způsobem k obnově dat a považovat incident za vyřešený.

A zaplatit tedy, nebo ne? Odpověď není tak jednoduchá, jak se na první pohled zdá. I když se někdy částky pohybují ve stovkách tisíc nebo milionech dolarů, výpadky kritických systémů mohou tyto částky hravě překonat. Je nutné si ale uvědomit, že i když výkupné zaplatíte, neznamená to, že skutečně dojde k dešifrování dat nebo alespoň jejich části. Jsou známy i případy, kdy útočníci dokonce mají chyby v kódech, takže data nemohou obnovit, ani kdyby chtěli.

S rozhodnutím nespěchejte a pečlivě zvažte všechny možnosti. Platba výkupného by měla být až opravdu tou úplně poslední možností.

Jak můžete minimalizovat rizika, že budete další obětí ransomwaru?

  1. O víkendech a svátcích buďte obzvláště ostražití. Většina ransomwarových útoků za poslední rok probíhala o víkendech nebo svátcích, kdy je větší pravděpodobnost, že organizace na hrozbu zareagují pomaleji.
  2. Pravidelně instalujte aktualizace a záplaty. WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky.
  3. Nainstalujte si anti-ransomware. Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám.
  4. Vzdělávání je nezbytnou součástí ochrany. Mnoho kyberútoků začíná cíleným e-mailem, který neobsahuje malware, ale pomocí sociálního inženýrství se snaží nalákat uživatele, aby klikl na nebezpečný odkaz. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany.
  5. Ransomwarové útoky nezačínají ransomwarem, proto pozor i na jiné škodlivé kódy, jako jsou například Trickbot nebo Dridex, které proniknou do organizací a připraví půdu pro následný ransomwarový útok.
  6. Zálohování a archivace dat je základ. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců, a nespoléhat se, že si sami vzpomenou na zapnutí zálohy.
  7. Omezte přístup jen na nutné informace a segmentujte. Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou sítí. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější.

Stali jste se už někdy obětí ransomware útoku? Dejte nám o tom vědět do komentářů.

Roman Hálek

Technologie 21. století mě inspirují a neustále popohání vpřed. Rád o nich píši a ještě radši je všechny zkouším. A pokud zrovna nesedím u klávesnice, s nadšením běhám, nebo se proháním na kole, a s nepatrně menším nadšením dálkově studuji vysokou školu.

Diskuze k článku

  1. White Hat ت

    Tak na mobilech toto zablokování nehrozí , navíc úložiště funguje na principu flash disku který je přístupný přes jakýkoliv počítač.
    U PC stačí veškerá cenná data posílat hlavně bezdrátově na externí zařízení buď přes bluetooth nebo router .
    V případě zablokování počítače pak stačí formát HDD nebo SSD a opětovná instalace Windows .

Napište komentář

Redakce si vyhrazuje právo mazat komentáře, které nesouvisejí s tématem diskuze, nebo jsou útočného či urážlivého charakteru (pomluvy, vulgarity, rasismus či ponižování). V případě porušení těchto pravidel chování může redakce zakázat přístup do diskuze.

Odeslané komentáře jsou strojově kontrolovány (spam, nevhodné výrazy…).