Co je Ransomware?

DLP

Ransomware je forma škodlivého softwaru, který se zmocňuje kontroly nad daty nebo zařízením oběti a předkládá jim hrozivé ultimátum: buď zaplatí výkupné, nebo se postaví následkům. Ať už se jedná o prodloužené uzamčení nebo rozsáhlý únik dat, hrozba je téměř vždy dostatečně vysoká, aby přesvědčila oběti, aby zaplatily.

Jedno Index inteligence hrozeb IBM Security X-Force z roku 2023 odhaluje, že v loňském roce tvořily ransomwarové útoky téměř čtvrtinu všech kybernetických útoků. Popularita ransomwaru je výsledkem široce zasahujících globálních socioekonomických faktorů – z nichž každý dohromady vytváří všudypřítomnou hrozbu pro vaši organizaci.

Fáze ransomwarového útoku

Od hyper-komplexních útoků až po zneužívání jednoduchých nedopatření, téměř každý útok ransomwaru se odehrává ve čtyřech až pěti klíčových fázích.

Fáze 1: Využití zranitelnosti

Ať už jde o zranitelnost v části vašeho technologického zásobníku – nebo o jediné přehlédnutí zaměstnancem – primární fází každého ransomwarového útoku je určitý druh přístupového vektoru. Často mohou být slabým článkem vaši kolegové (nebo dokonce vy sami!). Phishing je jedním z nejběžnějších způsobů, jak lze proniknout do jinak bezpečných organizací; to umožnilo útočníkům rozpoutat ransomwarový útok na britské noviny The Guardian na začátku roku 2023.

Jiné pokusy o infiltraci využívají škodlivé webové stránky nebo přímo útočí na zranitelnost softwaru.

Fáze 2: Uvolněte RAT

Vzdálený přístup se nejčastěji vyskytuje v kontextu technické podpory – s touto povolenou je váš IT tým schopen pomáhat kolegům s jejich každodenními výpočetními úkoly. Vzdálená podpora umožňuje ostatním uživatelům převzít kompletní administrátorská oprávnění, což jim dává plnou kontrolu nad každým procesem na vašem PC. RAT toto deformuje tím, že je nainstalován do počítače bez vědomí uživatele.

Je běžné, že útočníci používají RAT jako způsob, jak obejít zavedená bezpečnostní opatření – zatímco antivirová řešení dokážou ransomware identifikovat pomocí jednoduché detekce podpisu souborů, trojský kůň se vzdáleným přístupem je obtížnější odhalit předimplantaci. RAT využívá legitimně vypadající soubory, jako jsou softwarové balíčky a videohry, a nabízí různé cesty jakémukoli intrikujícímu útočníkovi, čímž dláždí cestu do další fáze útoku.

Fáze 3: Průzkum

S oporou na systému oběti je pak možné, aby útočník začal slídit. Primární důraz je kladen na pochopení lokálních systémů spolu s doménou, ke které mají aktuálně přístup. Odtud se mohou volně pohybovat do stran. V tom spočívá hlavní slabina zabezpečení ve stylu perimetru; pokud se spoléhá pouze na jedinou obrannou linii, boční pohyb je mnohem snazší – a případný útok má širší dosah. V tuto chvíli však útočník aktivně rozšiřuje svou kontrolu nad systémem a kompromituje stále privilegovanější účty, přičemž zůstává tak nenápadný, jak je to jen možné.

Fáze 4: Exfiltrace

Útočník v této fázi zasáhl do co nejvíce oblastí organizace. Teprve nyní však dochází k nějaké akci, která přímo prospívá útočící skupině. Zaměření se přepne na identifikaci a exfiltraci dat – čím citlivější, tím lépe. Vzestup souvisejícího vydírání a útoků ransomwaru je způsoben kontextem dnešního prostředí správy hrozeb. Porušení dat je spojeno s vysokými pokutami a spoustou špatného PR; z pohledu útočníka mohou být tato data prodána i do jiných oblastí stroje na kybernetický zločin. V tuto chvíli si útočníci vyžádali další oběť. Bez ohledu na následnou konečnou fázi jsou pravděpodobně schopni vydělat peníze, o které jim jde.

Fáze 5: Šifrování

A konečně, po tajném odčerpání TB firemních dat – napříč přihlašovacími údaji, osobními informacemi zákazníků a duševním vlastnictvím – jsou kyberzločinci schopni zasadit poslední ránu. Kryptografický ransomware se prodírá každým souborem, ke kterému má přístup prostřednictvím zasažených sítí, a průběžně šifruje. Pokročilé formy některých kmenů ransomwaru jdou ještě dále, deaktivují funkce, které by umožnily poslední obnovu systému, a odstraní všechny zálohy v infikované síti. Ne každý ransomware však šifruje: některé zamknou obrazovku zařízení nebo dokonce zaplaví uživatele nekonečným přívalem vyskakovacích oken.

A konečně, jakmile jsou zařízení a jeho přidružené soubory nepřístupné, oběť je informována o svém špatném osudu prostřednictvím výkupného. To se často zhmotní jako soubor .txt uložený na ploše počítače a obsahuje pokyny, jak zaplatit výkupné.

Kdo je cílem ransomwaru?

S každým úspěšným útokem je ransomwarový útočník odvážnější a zaměřuje se na odvětví způsoby, které způsobují co největší bolest. V posledních letech se jedna oblast stala terčem zvláštní bezohlednosti: kritická infrastruktura.

Útok na poskytovatele energie může mít za následek selhání sítě nebo nekonzistentní výstup energie do domácností, komerčních budov nebo jiných kritických poskytovatelů služeb. Elektrárny, zařízení na úpravu vody, dopravní systémy a komunikační sítě, to vše byly oblasti, na které se v posledních několika letech klade zvláštní důraz. To je z velké části důsledkem hlavních nedostatků skrytých hluboko v průmyslových řídicích systémech, které se používají k monitorování a řízení těchto kritických komponent infrastruktury.

Schneider Electric a Siemens jsou dvě řešení průmyslového řízení, která již útočníkům nabídla víceřetězcové cesty útoku. Jedním z nedávných příkladů je chyba ovlivňující elektroměry ION a PowerLogic společnosti Schneider Electric. Ty poskytují monitorování energie organizacím napříč výrobním, energetickým a vodohospodářským sektorem; označený jako CVE-2022-46680, tento exploit získal vážné CVSS skóre 8.8 z 10 a umožňuje aktérům hrozeb přístup k přihlašovacím údajům, které by jim pomohly změnit nastavení konfigurace a upravit firmware.

Proč se šíří ransomwarové útoky?

Počet ransomwarových útoků stále raketově stoupá – zčásti kvůli měnící se globální ekonomice. Vzhledem k tomu, že ransomware je útok, který je často silně finančně motivovaný, hrají hlavní roli v jeho popularitě socioekonomické problémy, jako je chudoba a majetková nerovnost. To se v posledních několika letech také zrychlilo – částečně proto, že ransomware je nyní nejdostupnější, jaký kdy byl. Aspirující kyberzločinci již nevyžadují hluboké znalosti o zabezpečení sítě. Namísto toho se někteří vývojáři ransomwaru rozhodnou sdílet svůj malwarový kód prostřednictvím ujednání typu ransomware-as-a-service (RaaS). V tomto nastavení se kyberzločinec chová jako přidružená společnost, využívá předem napsaný kód a sdílí část výkupného za oběť s původním vývojářem. Tento symbiotický vztah se ukazuje jako oboustranně výhodný: přidružené společnosti mohou těžit z výhod vydírání, aniž by museli vyvíjet vlastní malware, zatímco vývojáři mohou zvyšovat své zisky, aniž by se stavěli do předních linií.

Posledním důvodem nárůstu případů ransomwaru je geopolitické napětí. Je to hnací síla tak masivních kampaní proti infrastrukturním těžkým vahám. Myšlenka státem podporovaného hackera bývala izolovaná, aby útočila na aktéry, kteří byli přímo financovaní zlomyslnými státy. Nyní se časy změnily. S ruskou invazí na Ukrajinu – a zvyšující se dostupností ransomwaru – se do toho s vroucím nadšením zapojili nepřidružení aktéři hrozeb. Kritická infrastruktura, jako jsou železnice, byla hrdě zastavena – jako například útok Cyber Partyans na běloruské železnice, který byl organizován ve snaze zabránit pohybu ruských vojáků.

Historie ransomwarových útoků

Počínaje experimentální disketou trvalo ransomwaru dlouhou dobu, než se vyvinul do hyperagresivních útoků, kterým dnes organizace čelí.

1989: Low-Tech Beginnings. Úplně prvním zdokumentovaným ransomwarem byl AIDS Trojan. Zrození ransomwaru, distribuovaného prostřednictvím disket, má úžasně nízké technologické kořeny. Adresáře souborů v počítači oběti byly skryté, než vyskakovací okno ransomwaru požadovalo 189 dolarů za jejich odhalení. Protože však šifroval názvy souborů spíše než skutečné soubory, uživatelé byli nakonec schopni zvrátit poškození sami.

2005: Objevují se nové styly šifrování. Po relativně malém počtu útoků ransomwaru na počátku 2000. století začal prudký nárůst infekcí, soustředěných především v Rusku a východní Evropě. Objevily se první varianty, které využívaly asymetrické šifrování. Vzhledem k tomu, že novější ransomware nabízel efektivnější metody vymáhání peněz, stále více kyberzločinců začalo šířit ransomware po celém světě.

2009: Untraceable Payments Join the Fray. Nástup kryptoměny, zejména bitcoinu, poskytl kyberzločincům cestu k získání nevysledovatelných plateb výkupného, což vedlo k další vlně aktivity ransomwaru.

2013: CryptoLocker se osvědčil. Moderní éra ransomwaru začíná představením CryptoLocker, což znamená nástup skriptů ransomwaru založených na šifrování, které po nasazení vyžadují, aby oběť provedla platbu v kryptoměně.

2015: Zrodil se RaaS. Varianta ransomwaru Tox je průkopníkem modelu ransomware-as-a-service (RaaS), který umožňuje dalším kyberzločincům snadný přístup a nasazení ransomwaru pro jejich vlastní škodlivé účely.

2017: WannaCry zasáhne NHS. Vznik WannaCry znamená první široce využívané samoreprodukující se kryptočervy, které umožňují rychlé šíření ransomwaru napříč sítěmi a systémy.

2018: Ryuk se zaměřuje na Wall Street Journal a LA Times. Ryuk si získává na popularitě a zavádí koncept lovu velkých her v ransomwarových útocích, které se zaměřují na vysoce hodnotné organizace pro větší výplaty výkupného.

2019: Dvojité vydírání se stává normou. Dvojité ransomwarové útoky začínají přibývat. Většina incidentů ransomwaru, které řeší tým IBM Security Incident Response, nyní zahrnuje jak šifrování dat, tak hrozbu jejich odhalení, pokud výkupné zůstane nezaplaceno.

2023: Thread Hijacking je nyní populární. Únos vláken se objevuje jako prominentní vektor pro ransomware, kdy se kyberzločinci vkládají do online konverzací svých cílů, aby usnadnili šíření ransomwaru a zvýšili své šance na úspěšné vydírání.

Proč byste neměli platit výkupné

V roce 2019 většina obětí ransomwaru zaplatila svým útočníkům. V prvním čtvrtletí roku 2022 se to však snížilo. Částečně je to díky obrovskému množství důvodů naskládaných proti tomu, aby bylo vyplacení zásadního výkupného.

Nemusíte získat dešifrovací klíč

V roce 2021 organizace, které zaplatily výkupné, získaly v průměru pouze 61 % svých dat. Počet organizací, které zaplatily a následně obdržely všechna svá data, byl nepatrná 4 %. Jakmile hackeři obdrží výkupné, vaše data pro ně stále mají cenu – jejich prodej a únik jim nabízí ještě větší návratnost investic.

Může se stát, že budete opakovaně dostávat požadavky na výkupné

Naprostá většina obětí, které zaplatí, je zasažena dalšími útoky na výkupné. Přední zpráva z roku 2022 analyzovali, co se stane poté, co organizace jednoduše zaplatí svým útočníkům, a objevili příšerně vysokou míru recidivy. Ze všech obětí, které se přiznaly, že zaplatily výkupné, bylo 80 % z nich později zasaženo podruhé – 68 % z nich zažilo útoky ve stejný měsíc s vyšším požadavkem na výkupné. Jedním z důvodů je skutečnost, že ti, kdo se rozhodnou zaplatit, jsou považováni za zranitelné cíle. 9 % zaplaceno potřetí.

Brzy můžete porušovat zákon

Americké ministerstvo financí již vydalo varovné varování před budoucími právními problémy. Účast na platbách ransomwaru – ať už jako oběť, kybernetická pojišťovna nebo finanční instituce – by mohla potenciálně porušovat zákony týkající se mezinárodní bezpečnosti. Je to z velké části díky poslednímu bodu, který zdůrazňuje ekonomickou realitu ransomwaru.

Financujete trestnou činnost

S každou obětí, která zaplatí, jsou hackerské skupiny schopny vyvinout ještě pokročilejší metody použití malwaru k infiltraci zranitelnějších podniků. Zaplacením výkupného se nezhorší jen samotný ransomware – ale přímo se financují agresivní národní státy, které často financují takové veřejné a ničivé útoky.

Na druhou stranu, čím více překážek, kterým hackeři čelí při své trestné činnosti, snižuje se šance, že budou moci nadále ubližovat jiným společnostem.

Různé typy ransomwaru

Ransomware má často různé formy, a přestože je ransomware založený na šifrování jedním z nejběžnějších typů, šifrování citlivých dat není jediným způsobem, jak lze data organizací uchovávat na špičce nože.

Scareware

Scareware je low-tech bratranec ransomwaru. Tito lidé často uvidí, že škodlivý náklad spustí zprávu, která tvrdí, že pochází od donucovacích orgánů nebo dokonce z legitimní virové infekce. Uživatele to může nasměrovat na falešný antivirový software – přimět oběti platit za výsadu stáhnout si svůj vlastní ransomware.

Screenlockery

Tato forma ransomwaru blokuje přístup uživatele nikoli pomocí šifrování, ale tím, že uživateli jednoduše zabrání v interakci s jakýmkoliv z jejich souborů. Uzamčení celého zařízení oběti je obvykle dosaženo zablokováním přístupu k operačnímu systému. Místo obvyklého spouštění zařízení jednoduše zobrazí požadavek na výkupné.

Stěrače

Zatímco ransomware založený na šifrování často láká oběti k placení s příslibem, že se vše vrátí do normálu, stěrače volí agresivnější přístup. Výkupné bude hrozit zničením všech dat, pokud nebude zaplaceno. Dokonce i v případech, kdy se oběti zvednou, jsou data často bez ohledu na to vymazána. Naprostý destruktivní potenciál stěračů z nich dělá zvláště dobře využívaný nástroj pro aktéry národních států a hacktivisty.

Populární varianty ransomwaru

V blátivé, neustále se vyvíjející říši ransomwaru mohou být varianty v jednu chvíli tady a v další chvíli pryč. V posledním desetiletí vstoupili na scénu čtyři hlavní hráči, z nichž každý sehrál jedinečnou roli při prosazování nezákonného průmyslu do nového terénu.

WannaCry

WannaCry byl prvním prominentním příkladem kryptočerva – typu ransomwaru, který se dokáže rozšířit na další zařízení v síti. Zaměřila se na více než 200,000 150 počítačů ve XNUMX zemích a využila zranitelnost EternalBlue v systému Microsoft Windows, kterou se správcům nepodařilo opravit. Kromě šifrování cenných dat představoval ransomware WannaCry také hrozbu vymazání souborů, pokud platba nebyla přijata do sedmi dnů.

Útok WannaCry představuje jeden z největších dosud zaznamenaných ransomwarových incidentů s odhadovanými náklady dosahují až 4 miliard USD. Jeho rozsáhlý dopad a rychlé šíření zdůraznily významné důsledky, které mohou mít neopravená zranitelnost a nedbalost systémových administrátorů tváří v tvář takovým kybernetickým hrozbám.

Revil

REvil, označovaný také jako Sodin nebo Sodinokibi, sehrál významnou roli v popularizaci modelu Ransomware-as-a-Service (RaaS) pro distribuci ransomwaru. Tento přístup umožňuje dalším kyberzločincům přistupovat k ransomwaru REvil a využívat jej pro své vlastní škodlivé aktivity. REvil se proslavil svým zapojením do loveckých útoků ve velkých hrách a taktikou dvojitého vydírání.

V roce 2021 byl REvil zodpovědný za pozoruhodné útoky na JBS USA a Kaseya Limited. JBS, přední zpracovatelský závod hovězího masa ve Spojených státech, zažil narušení, které vedlo k zaplacení výkupného ve výši 11 milionů USD. Útok zasáhl operace JBS na zpracování hovězího masa v celých Spojených státech. Společnost Kaseya Limited, poskytovatel softwaru, zaznamenala více než tisíc postižených zákazníků díky výraznému výpadku způsobenému útokem.

Začátkem roku 2022 ruská Federální bezpečnostní služba uvedla, že demontovala REvil a začala obviňovat několik jejích členů za jejich minulé zločiny.

Ryuk

Ransomware Ryuk, který byl poprvé pozorován v roce 2018, stál v čele útoků „ransomwaru velkých her“, které se konkrétně zaměřují na vysoce hodnotné entity; jejich požadavky na výkupné pravidelně přesahovaly milion dolarů. Ryuk je vybaven tak, aby se mohl zaměřit na takové úspěšné organizace díky své agresivní schopnosti identifikovat a deaktivovat záložní soubory a funkce obnovení systému. V roce 2021 byl identifikován nový kmen Ryuk se schopnostmi kryptočerva, což dále posílilo jeho schopnost rychlé a rozsáhlé infekce.

Darkside

DarkSide je varianta ransomwaru, o které se předpokládá, že ji provozuje skupina podezřelá, že sídlí v Rusku. Dne 7. května 2021 provedla společnost DarkSide významný kybernetický útok na koloniální potrubí USA, který je dosud považován za nejzávažnější kybernetický útok na kritickou infrastrukturu ve Spojených státech. V důsledku útoku bylo dočasně odstaveno potrubí, které dodává přibližně 45 procent paliva na východní pobřeží USA.

Skupina DarkSide nejen provádí přímé útoky ransomwaru, ale také licencuje svůj ransomware dalším přidruženým kyberzločincům, což skupině umožňuje rozšířit její dosah a zisky.

Jak se chránit před ransomwarem

Je velmi důležité důkladně prozkoumat zdroj ransomwarového útoku a přijmout vhodná opatření k vyřešení problému. Pokud k útoku došlo tak, že zaměstnanec klikl na rizikový odkaz, je důležité posílit školení zaměstnanců identifikaci phishingových útoků a zdůrazňují důležitost udržování bezpečných, jedinečných hesel, jako jsou přístupové fráze. Implementace softwaru pro dvoufaktorovou autentizaci pro všechna zařízení a zaměstnance může poskytnout další vrstvu ochrany.

Pravidelná aktualizace softwaru a hardwaru je nezbytná pro zmírnění potenciálních zranitelností. Posílení vaší infrastruktury kybernetické bezpečnosti je nezbytné, abyste udrželi krok s neustále se vyvíjející taktikou útočníků. Pravidelná konfigurace sítě může pomoci zachytit škodlivý provoz a ztížit zločincům zaměřit se na vaši organizaci.

Je velmi důležité identifikovat všechny bezpečnostní mezery a rychle je řešit. Každý bezpečnostní incident by měl být vnímán jako příležitost k získání náhledu na slabá místa infrastruktury a ke zlepšení celkového stavu zabezpečení. Zabezpečení je neustálý proces, který vyžaduje neustálé testování a vylepšování, abychom si udrželi náskok před potenciálními hrozbami.

Jak LayerX chrání před ransomwarem

Jak taktika ransomwaru rostla od síly k síle, zranitelnosti, které dláždí cestu útočníkům, se posunuly. Prohlížeč se zároveň stal základní součástí moderního pracovního prostoru, stejně jako aplikace, které sahají od spravovaných až po zcela neschválené aplikace. Posezení mezi bezpečným prostředím chráněného koncového bodu a celosvětovou sítí je jedinečným průsečíkem těchto aplikací – a slabou stránkou mnoha organizací.

LayerX chrání aktiva, která jsou mimo kontrolu podnikového bezpečnostního týmu, zavedením hluboké granularity. To vyčleňuje veškeré aktivity, které mohou představovat riziko stahování ransomwaru nebo RAT. Zaměření na ochranu přímo na místě umožňuje nasazení LayerX s rozšířením prohlížeče pro rychlou instalaci na úrovni uživatelského profilu. Viditelnost na prvním místě na uživatele je kombinována se špičkovou analýzou v popředí hrozeb intel cloud společnosti LayerX. Po proaktivní identifikaci vysoce rizikových prvků jednají vynucovací prvky LayerX rozhodně – neutralizují jakoukoli hrozbu rozsáhlého šifrování bez hrozby narušení uživatele. S LayerX mohou organizace nasadit plnou ochranu všude, kde uživatelé přistupují k webu.

Zabezpečení používání umělé inteligence

Zabezpečení podnikového prohlížeče

Zpráva o zabezpečení LayerX Enterprise GenAI za rok 2025

Partneři

O nás