Čo je to ransomware?
Získajte ďalšie informácie o ransomwari, o tom, ako funguje a ako môžete chrániť seba a svoju firmu pred týmto typom kybernetického útoku.
Definícia ransomwaru
Ransomware je typ škodlivého softvéru alebo malvéru, ktorý sa obeti vyhráža, že jej zničí alebo zablokuje prístup ku kritickým údajom alebo systémom, kým nezaplatí výkupné. V minulosti sa väčšina ransomwaru zameriavala na jednotlivcov, ale nedávno začal byť väčšou hrozbou ransomware ovládaný človekom, ktorý zacieľuje na organizácie a predstavuje hrozbu, ktorej je náročnejšie predchádzať a zvrátiť ju. V prípade ransomwaru ovládaného človekom sa skupina útočníkov snaží využiť svoju kolektívnu inteligenciu na získanie prístupu k podnikovej sieti organizácie. Niektoré útoky tohto typu sú také sofistikované, že útočníci na stanovenie sumy výkupného využívajú interné finančné dokumenty, ktoré sa im podarilo odhaliť.
Útoky ransomwaru v správach
Zmienky o ransomwarových hrozbách v správach sú dnes, žiaľ, bežné. Nedávne sledované útoky ransomwaru zasiahli kritickú infraštruktúru, zdravotníctvo a poskytovateľov IT služieb. Tieto útoky sú čoraz závažnejšie a ich účinky ešte nepredvídateľnejšie. Poďme sa pozrieť na niekoľko útokov ransomwaru a to, ako zasiahli organizácie:
- V marci 2022 sa stal obeťou ransomwaru grécky poštový systém. Útok dočasne narušil doručovanie pošty a ovplyvnil spracovanie finančných transakcií.
- Jedna z najväčších indických leteckých spoločností zaznamenala útok ransomwaru v máji 2022. Incident viedol k oneskoreniu a zrušeniu letov a stovky cestujúcich uviazlo mimo domova.
- Veľkú spoločnosť v oblasti personalistiky zasiahol útok ransomwaru v decembri 2021. Bol zacielený na systém výplatných listín a prideľovania voľna klientov, ktorí používajú cloudovú službu spoločnosti.
- V máji 2021 americká spoločnosť prevádzkujúca potrubný systém prerušila poskytovanie svojich služieb, aby predišla ďalším narušeniam zabezpečenia po tom, čo následkom útoku ransomwaru došlo k zneužitiu tisícov osobných informácií zamestnancov. Následky spôsobili prudký nárast cien plynu na celom východnom pobreží.
- Nemecká spoločnosť špecializovaná na distribúciu chemikálií zaznamenala útok ransomwaru v apríli 2021. Ukradnuté boli informácie o vyše 6 000 jednotlivcoch vrátane dátumov narodenia, čísel sociálneho poistenia, čísel vodičských preukazov, ako aj istých údajov o ich zdravotnom stave.
- Najväčší dodávateľ mäsa na svete sa stal obeťou útoku ransomwaru v máji 2021. Po dočasnom vypnutí webovej lokality a zastavení výroby spoločnosť nakoniec zaplatila výkupné 11 miliónov USD v Bitcoinoch.
Ako funguje ransomware?
Útoku ransomwaru spočívajú v získaní kontroly nad údajmi alebo zariadeniami jednotlivca alebo organizácie a jej následnom zneužití na požadovanie peňazí. V minulosti prevažovali útoky pomocou sociálneho inžinierstva, no v poslednom čase si zločinci obľúbili ransomware ovládaný človekom, a to pre jeho potenciál získať vysoké výkupné.
Ransomware využívajúci praktiky sociálneho inžinierstva
Tieto útoky sa zakladajú na neoprávnenom získavaní údajov (phishingu) – forme podvodu, pri ktorom útočník vystupuje ako legitímna spoločnosť alebo webová lokalita. Cieľom tu je nalákať obeť, aby klikla na prepojenie alebo otvorila prílohu e-mailu, ktorá do jej zariadenia nainštaluje ransomware. Dané útoky často obsahujú poplašné správy, ktoré obeť nútia, aby konala zo strachu. Počítačoví zločinci môžu napríklad predstierať, že sú známa banka, a poslať e-mail s upozornením, že konto daného človeka bolo zmrazené z dôvodu podozrivej aktivity, pričom naliehajú, aby príjemca klikol na prepojenie v e-maile na vyriešenie problému. No a po kliknutí na prepojenie sa nainštaluje ransomware.
Ransomware ovládaný ľuďmi
Útok ransomwaru ovládaným človekom sa často začína odcudzením prihlasovacích údajov konta. Keď útočníci týmto spôsobom získajú prístup do siete organizácie, prostredníctvom odcudzeného konta zistia prihlasovacie údaje kont s väčším rozsahom prístupu a vyhľadajú údaje a systémy kľúčové pre fungovanie podniku, pri ktorých je vysoký potenciál finančného zisku. Potom do týchto citlivých údajov alebo systémov kľúčových pre fungovanie podniku nainštalujú ransomware, napríklad zašifrujú citlivé súbory, aby sa k nim organizácia nemohla dostať, kým nezaplatí výkupné. Počítačoví zločinci zvyknú vyžadovať platbu v kryptomene, pretože zaisťuje anonymitu.
Títo útočníci sa zameriavajú na veľké organizácie, ktoré môžu zaplatiť vyššie výkupné než priemerný človek, a niekedy žiadajú celé milióny dolárov. Z dôvodu vysokého rizika súvisiaceho s narušením bezpečnosti takéhoto rozsahu sa mnohé organizácie rozhodnú zaplatiť výkupné namiesto úniku citlivých údajov alebo rizika ďalších útokov počítačových zločincov, aj keď platba nezaručuje ochranu pred tým, že sa to stane.
S nárastom útokov ransomwaru ovládaných človekom sú aj zločinci, ktorí za útokmi stoja, čoraz lepšie organizovaní. Mnohé operácie ransomwaru teraz používajú model Ransomware as a Service, čo znamená, že skupina podvodníkov sama vyvinie ransomware a potom najíma ďalších kybernetických spolupracovníkov na haknutie siete organizácie a na inštaláciu ransomwaru, pričom zisky si obidve skupiny rozdelia podľa dohody.
Rôzne typy útokov ransomwaru
Ransomware má dve hlavné podoby: krypto ransomware a locker ransomware (tzv. zamykací ransomware).
Krypto ransomware
Keď sa jednotlivec alebo organizácia stane obeťou útoku krypto ransomwaru, útočník zašifruje citlivé údaje alebo súbory obete, aby k nim nemala prístup, až kým nezaplatí požadované výkupné. Teoreticky by malo platiť, že po zaplatení obeť dostane šifrovací kľúč na získanie prístupu k súborom alebo údajom. No aj keď obeť výkupné zaplatí, neexistuje žiadna záruka, že počítačový zločinec šifrovací kľúč skutočne zašle alebo sa zriekne kontroly. Doxware je typ krypto ransomwaru, ktorý šifruje osobné údaje obete a vyhráža sa, že ich zverejní. Zvyčajne je jeho cieľom obeť ponížiť alebo zahanbiť, aby napokon zaplatila výkupné.
Locker ransomware
V prípade útoku locker ransomwaru je obeť vymknutá zo svojho zariadenia a nemôže sa doň prihlásiť. Obeti sa na obrazovke zobrazí oznam o výkupnom s vysvetlením, že došlo k vymknutiu zo zariadenia, a s pokynmi, ako zaplatiť výkupné na opätovné získanie prístupu. Tento druh ransomwaru zvyčajne nezahŕňa šifrovanie. Keď sa teda obeti podarí opätovne získať prístup k svojmu zariadeniu, sú v ňom zachované všetky citlivé súbory a údaje.
Reakcia na útok ransomwaru
Ak ste sa stali obeťou útoku ransomwaru, máte niekoľko možností, ako túto situáciu zvrátiť a ransomware odstrániť.
Zaplatenie výkupného dobre zvážte
Aj keď môžete mať nutkanie výkupné zaplatiť v nádeji, že sa tým problém jednoducho vyrieši, neexistuje žiadna záruka, že počítačoví zločinci dodržia svoj sľub a udelia vám prístup k vašim údajom. Odborníci na zabezpečenie a orgány činné v trestnom konaní odporúčajú, aby obete útoku ransomwaru neplatili požadované výkupné, pretože by sa tým mohli vystaviť hrozbám aj v budúcnosti a aktívne by podporili kriminalitu. Ak ste už výkupné zaplatili, okamžite kontaktujte svoju banku, ktorá možno bude môcť platbu zastaviť, ak ste ju uhradili kreditnou kartou.
Izolujte infikované údaje
Hneď ako to je možné, izolujte zneužité údaje, aby ste predišli tomu, že sa ransomware rozšíri do ďalších častí vašej siete.
Spustite antivírusový program
Mnohé útoky ransomwaru je možné vyriešiť inštaláciou antivírusového programu, pomocou ktorého sa ransomware odstráni. Keď si vyberiete dôveryhodné antivírusové riešenie, ako napríklad Microsoft Defender, uistite sa, že ho máte aktuálne a neustále spustené, aby ste tak boli chránení pred najnovšími hrozbami.
Nahláste útok
Obráťte sa na miestne alebo štátne orgány činné v trestnom konaní a útok nahláste. V Spojených štátoch kontaktujte miestnu pobočku FBI, úrad IC3 alebo tajnú službu. Hoci tento krok pravdepodobne žiaden z vašich okamžitých problémov nevyrieši, je dôležitý, pretože tieto orgány aktívne sledujú a monitorujú rozličné útoky. To, že im poskytnete podrobnosti o svojej skúsenosti, im môže pomôcť dotvoriť si celkový obraz a poslúžiť pri hľadaní a stíhaní počítačového zločinca alebo zločineckej skupiny.
Ochrana pred útokom ransomwaru
Keďže je počet útokov ransomwaru vyšší než kedykoľvek predtým a množstvo osobných údajov o jednotlivcoch má digitálnu povahu, potenciálne následky útoku sú hrozivé. Našťastie však existuje mnoho spôsobov, ako si nechať svoj digitálny život výlučne pre seba. Uvádzame návod, ako nadobudnúť istotu vďaka proaktívnej ochrane pred útokom ransomwaru.
Nainštalujte si antivírusový program
Najlepšou formou ochrany je prevencia. Mnohé útoky ransomwaru je možné odhaliť a zablokovať pomocou dôveryhodnej antimalvérovej služby, ako je napríklad Microsoft Defender pre koncové body, Microsoft Defender XDR alebo Microsoft Defender for Cloud. Keď použijete antimalvérový program, vaše zariadenie najskôr oskenuje všetky súbory alebo prepojenia, ktoré sa pokúsite otvoriť, aby sa zaistilo, že sú bezpečné. Ak sú súbor alebo webová lokalita škodlivé, antimalvérový program vás upozorní a navrhne, aby ste ich neotvárali. Tieto programy okrem toho dokážu odstrániť ransomware zo zariadenia, ktoré už je infikované.
Usporadúvajte pravidelné školenia
Pomocou pravidelných školení informujte zamestnancov o tom, ako rozpoznať znaky neoprávneného získavania údajov (phishingu) a iných útokov ransomwaru. Naučíte ich nielen bezpečnejšie postupy pri práci, ale aj to, ako si udržiavať bezpečnosť pri používaní osobných zariadení.
Prejdite do cloudu
Keď presuniete svoje údaje do cloudovej služby, ako je napríklad služba zálohovania v cloude Azure Cloud alebo zálohovanie v službe Azure Block Blob Storage, budete môcť ľahko zálohovať údaje a uchovávať ich v bezpečí. Ak by vaše údaje niekedy boli zneužité ransomwarom, tieto služby vám pomôžu zabezpečiť okamžité a komplexné obnovenie.
Osvojte si model nulovej dôvery (Zero Trust)
Model nulovej dôvery vyhodnocuje všetky zariadenia a používateľov z hľadiska rizika predtým, ako im povolí prístupu k aplikáciám, súborom, databázam a iným zariadeniam, čím sa znižuje pravdepodobnosť, že škodlivá identita alebo zariadenie bude môcť získať prístup k zdrojom a nainštalovať ransomware. Ako príklad môže slúžiť implementácia viacfaktorového overovania, súčasti modelu nulovej dôvery, ktorá znižuje efektivitu útokov na identitu o viac ako 99 percent. Ak chcete vyhodnotiť stav vyspelosti modelu nulovej dôvery vo vašej organizácii, vykonajte hodnotenie vyspelosti nulovej dôveryod spoločnosti Microsoft.
Pridajte sa do skupiny na zdieľanie informácií
Skupiny na zdieľanie informácií, často organizované podľa odvetvia alebo geografickej polohy, podporujú podobne štruktúrované organizácie, aby spolupracovali na riešeniach zameraných na kybernetickú bezpečnosť. Tieto skupiny organizáciám okrem toho ponúkajú aj rôzne výhody, ako sú napríklad reakcie na incidenty a digitálne forenzné služby, správy o najnovších hrozbách a monitorovanie rozsahov verejných IP adries a domén.
Uchovávajte si offline zálohy
Keďže existuje ransomware, ktorý sa pokúša vyhľadať a odstrániť všetky vaše online zálohy, je vhodné udržiavať si aktualizovanú offline zálohu citlivých údajov a pravidelne ju testovať, aby ste sa uistili, že sa dá obnoviť, ak sa niekedy stanete terčom útoku ransomwaru. To, že budete mať súbory zálohované offline, vám, žiaľ, nepomôže, ak vás zasiahne útok krypto ransomwaru, no môže ísť o efektívny nástroj, ktorý sa dá využiť v prípade útoku locker ransomwaru.
Udržujte softvér v aktuálnom stave
Okrem aktualizácie antivírusových riešení (zvážte výber automatických aktualizácií) si nezabudnite stiahnuť a nainštalovať všetky ostatné aktualizácie systému a softvérové opravy hneď, ako budú k dispozícii. To pomôže minimalizovať všetky bezpečnostné riziká, ktoré môže počítačový zločinec zneužiť na získanie prístupu k vašej sieti alebo zariadeniam.
Vytvorte si plán reakcie na incident
Rovnako, ako keď máte núdzový plán s inštrukciami, ako sa dostať z domu v prípade požiaru, vďaka čomu ste viac v bezpečí a lepšie pripravení, aj pri vytvorení plánu reakcie na incidenty budete mať v prípade, že ste boli napadnutí ransomwarom, k dispozícii užitočné kroky, ktoré treba vykonať pri rôznych scenároch útoku, aby ste sa mohli čo najskôr vrátiť k normálnej a bezpečnej prevádzke.
Ochráňte všetko pomocou zabezpečenia od spoločnosti Microsoft
Microsoft Sentinel
Získajte komplexný prehľad o celom svojom podniku prostredníctvom cloudového riešenia zabezpečenia SIEM (Security Information and Event Management).
Microsoft Defender XDR
Zabezpečte svoje koncové body, identity, e-maily a aplikácie rozšírenou detekciou a reakciou (XDR).
Microsoft Defender for Cloud
Chráňte svoje multicloudové a hybridné prostredia od vývoja až po režim runtime.
Microsoft Defender Analýza hrozieb
Porozumejte aktérom hrozieb a ich nástrojom pomocou kompletnej a priebežne aktualizovanej mapy internetu.
Boj proti hrozbám ransomwaru
Udržujte si náskok pred hrozbami pomocou automatického narušenia útokov a reakcie na ne so zabezpečením od spoločnosti Microsoft.
Microsoft Správa o digitálnej ochrane
Oboznámte sa s aktuálnym prostredím hrozieb a s tým, ako vytvoriť digitálnu ochranu.
Vytvorenie programu na boj proti ransomwaru
Zistite, ako spoločnosť Microsoft vytvorila optimálny stav odolnosti voči ransomwaru s cieľom odstrániť ho.
Štandardizovaný postup blokovania ransomwaru
Stanovte a vizualizujte, aká je úloha všetkých účastníkov procesu blokovania ransomwaru.
Najčastejšie otázky
-
Žiaľ, zrejme ktokoľvek, kto pôsobí v online svete, sa môže stať obeťou útoku ransomwaru. Osobné zariadenia aj podnikové siete sú častými cieľmi počítačových zločincov.
Investície do proaktívnych riešení, ako sú napríklad služby na ochranu pred hrozbami, predstavujú zmysluplný spôsob, ako chrániť sieť alebo zariadenia pred infikovaním ransomwarom. Preto je najmenej pravdepodobné, že sa jednotlivci a organizácie s antivírusovými programami a ďalšími protokolmi zabezpečenia, ako je napríklad model nulovej dôvery, nainštalovanými ešte pred útokom, stanú obeťou útoku ransomwaru.
-
Útok ransomwaru sa zvyčajne začína tým, že sa jednotlivca podarí oklamať škodlivým obsahom – napríklad otvorí infikovaný e-mail alebo navštívi škodlivú webovú lokalitu, ktorá nainštaluje ransomware do jeho zariadenia.
V prípade útoku ransomwaru ovládaného človekom sa skupina útočníkov zameria na narušenie zabezpečenia citlivých údajov organizácie, zvyčajne prostredníctvom odcudzených prihlasovacích údajov.
V prípade útoku ransomwarou využívajúceho praktiky sociálneho inžinierstva aj ransomwaru ovládaného človekom sa obeti alebo organizácii zvyčajne zobrazí oznámenie o výkupnom s podrobnosťami o odcudzených údajoch a cene za ich vrátenie. Zaplatenie výkupného však nezaručuje, že budú údaje skutočne vrátené alebo že sa tým zabráni budúcim narušeniam zabezpečenia.
-
Následky útoku ransomwaru môžu byť ničivé. Na úrovni jednotlivca aj celej organizácie môžu mať obete pocit, že musia zaplatiť vysoké výkupné, no bez akejkoľvek záruky, že im budú údaje vrátené alebo že k ďalším útokom už v budúcnosti nedôjde. Ak počítačový zločinec zverení citlivé informácie organizácie, môže to pokaziť jej reputáciu a ohroziť jej dôveryhodnosť. Okrem toho môžu byť v závislosti od typu uniknutých informácií a veľkosti organizácie tisíce osôb vystavené riziku, že sa stanú obeťami krádeže identity alebo iného druhu počítačovej kriminality.
-
Počítačoví zločinci, ktorí infikujú zariadenia obetí ransomwarom, chcú peniaze. Výkupné zvyčajne stanovujú v kryptomenách pre ich anonymitu a nevystopovateľnosť. V prípade útoku ransomwaru využívajúcim praktiky sociálneho inžinierstva, ktorý cieli na jednotlivca, môže byť výška výkupného v stovkách alebo tisícoch dolárov. Pri útoku ransomwaru ovládaným človekom, ktorý cieli na organizáciu, môže výška výkupného dosiahnuť milióny dolárov. Tieto sofistikovanejšie útoky na organizácie môžu dôverné finančné informácie, ktoré počítačoví zločinci objavili pri narušení zabezpečenia siete, využiť pri stanovení výkupného, ktoré si podľa nich organizácia môže dovoliť zaplatiť.
-
Obete by mali útoky ransomwaru nahlásiť miestnym alebo štátnym orgánom činným v trestnom konaní. V Spojených štátoch kontaktujte miestnu pobočku FBI, úrad IC3 alebo tajnú službu. Odborníci na zabezpečenie a predstavitelia orgánov činných v trestnom konaní odporúčajú, aby obete výkupné neplatili. Ak ste ho však už zaplatili, okamžite kontaktujte svoju banku a miestne úrady. Vaša banka možno bude môcť platbu zablokovať, ak ste ju uhradili kreditnou kartou.
Sledujte Microsoft