Podle Cybersecurity Ventures ("Cybercrime To Cost The World $10.5 Trillion Annually By 2025") dosáhnou škody způsobené ransomwarem letos přibližně 20 miliard USD. Ransomwarové útoky se kyberzločincům jednoduše vyplácí.
Nárůst útoků souvisí i s dostupností hrozeb. Řada hackerských skupin nabízí ransomware jako službu, takže kdokoli si tento typ hrozby může pronajmout. A to včetně infrastruktury, vyjednávání s obětmi nebo vyděračských webových stránek, kde je možné zveřejňovat ukradené informace. Výkupné se potom mezi dělí mezi zúčastněnými stranami.
Na začátku útoku je často phishingový e-mail. Při útocích ransomwaru Ryuk byl k proniknutí do sítě používán malware Emotet, následně byla síť infikována Trickbotem a až nakonec došlo k zašifrování dat ransomwarem. | Zdroj: Pete Linforth/Pixabay
Bezpečnostní specialisté z CheckPointu radí, že pokud už k ransomwarovému útoku dojde, je dobré se držet následujících kroků:
Zachovejte chladnou hlavu: pokud se stanete obětí ransomwarového útoku, v první řadě je důležité nepanikařit. Okamžitě kontaktujte bezpečnostní tým a udělejte si foto vyděračské zprávy, bude se vám hodit pro policejní orgány i další vyšetřování.
Izolujte napadené systémy: okamžitě odpojte infikované systémy od zbytku sítě, aby se zabránilo dalším škodám. Zároveň identifikujte zdroj infekce. Jak už bylo zmíněno, ransomwarový útok obvykle začíná jinou hrozbou a hackeři se v systému mohli pohybovat dlouhodobě a postupně maskovat stopy, takže odhalení „pacienta nula“ nemusí většina společností zvládnout bez externí pomoci.
Pozor na zálohy: útočníci dobře ví, že organizace se budou snažit obnovit svá data ze záloh, aby se tak vyhnuli placení výkupného. Proto jednou z fází útoků bývá i snaha vyhledat a zašifrovat nebo smazat zálohy. K infikovaným zařízením také nikdy nepřipojujte externí zařízení. Při obnově zašifrovaných dat může dojít k jejich poškození, například vinou chybného klíče. Proto může být užitečné vytvořit kopie zašifrovaných dat. Postupně také vznikají dešifrovací nástroje, které mohou pomoci rozluštit i dříve neznámý kód. Pokud jste vytvořili zálohy, které nebyly zašifrovány, zkontrolujte před úplnou obnovou integritu dat.
Žádné restarty ani údržba systému: vypněte automatické aktualizace a jiné úlohy související s údržbou infikovaných systémů. Pokud by došlo ke smazání dočasných souborů nebo jiným změnám, mohlo by to zbytečně zkomplikovat vyšetřování a nápravu škod. Zároveň systémy nerestartujte, některé hrozby pak mohou začít mazat soubory.
Spolupracujte: v boji s kyberzločinem, a ransomwarem obzvlášť, je spolupráce klíčová. Kontaktujte proto policejní orgány a národní kybernetické úřady a neváhejte se obrátit na specializovaný tým reakce na incidenty (Incident Response Team) některé renomované kyberbezpečnostní společnosti. Informujte o incidentu i zaměstnance, včetně pokynů, jak v případě jakéhokoli podezřelého chování postupovat.
Určete typ ransomwaru: pokud přímo ve zprávě od útočníků není uvedeno, o jaký typ ransomwaru se jedná, pak můžete využít některý z bezplatných nástrojů. Také je dobré navštívit stránky projektu „No More Ransom“. Možná tam najdete dešifrovací nástroj pro ransomware, který napadl vaše systémy.
Zaplatit nebo ne?
Pokud je ransomwarový útok úspěšný, stojíte před volbou, jestli zaplatit výkupné nebo ne. | Zdroj: Gerd Altmann/Pixabay
Odpověď není tak jednoduchá, jak se na první pohled zdá. I když se někdy částky pohybují ve stovkách tisíců nebo milionech dolarů, výpadky kritických systémů mohou tyto sumy hravě překonat. Je nutné si ale uvědomit, že i když výkupné zaplatíte, neznamená to, že skutečně dojde k dešifrování dat nebo alespoň jejich části. Jsou známy i případy, kdy útočníci dokonce měli chyby v kódech, takže data nemohli obnovit, ani kdyby chtěli.
S rozhodnutím nespěchejte a pečlivě zvažte všechny možnosti. Platba výkupného by měla být až opravdu tou úplně krajní možností.
5 foto
