Ransomware: platí více organizací a výkupné je vyšší, platit však není vždy nutné

V České republice zasáhl loni ransomware 77 % organizací. Oproti roku 2020, kde napadení ransomwarem deklarovalo pouze 30 % organizací, se jedná o výrazný nárůst. Ze studie The State of Ransomware 2022 společnosti Sophos dále vyplývá, že třetina českých organizací (32 %) zaplatila v roce 2021 výkupné mezi 100 a 250 tisíci dolary a jen o něco málo méně (29 %) dokonce 250 až 500 tisíc dolarů. Téměř polovina (46 %) organizací, kterým byla data zašifrována, pak zaplatila výkupné, aby získala svá data zpět, i když měla k dispozici jiné prostředky pro obnovu dat, například zálohy.

Podle Chestera Wisniewskiho, hlavního bezpečnostního analytika společnosti Sophos, navíc průzkum ukázal, že vedle rostoucí výše plateb se stále zvyšuje i počet obětí, které výkupné zaplatí, i když pravděpodobně mají k dispozici i jiné možnosti. Důvody pro to mohu být různé, například obava ze zveřejnění ukradených dat a snaha tomu zabránit nebo nedostatečné zálohování. Představa, že zaplacení výkupného výměnou za dešifrovací klíč je nejrychlejší cesta k nápravě, je lákavá, protože po ransomwarovém útoku organizace často čelí silnému tlaku na co nejrychlejší obnovení provozu a obnovení zašifrovaných dat pomocí záloh je zpravidla nelehký a časově náročný proces.

Zaplacení výkupného s sebou ale nese značná rizika. Kromě toho, že útočníci i přes zaplacení výkupného nemusí poskytnout funkční dešifrovací klíč, organizace zpravidla vůbec netuší, co útočníci v její síti napáchali, zda například nepřidali zadní vrátka nebo nezkopírovali hesla a podobně. Možností je celá řada. Obnovená data, pokud se je podaří jakýmkoliv způsobem obnovit, je tedy potřeba před opětovným uvedením do produkčního prostředí důkladně vyčistit, aby nedošlo k opakování útoku.

Jak se bránit ransomwaru?

Podívejme se na pět osvědčených postupů, které doporučuje přední světový dodavatel řešení kybernetického zabezpečení společnost Sophos, a které vám pomohou bránit se před ransomwarem a souvisejícími kybernetickými útoky.

• Instalujte a udržujte kvalitní ochranu napříč celým prostředím vaší organizace. Pravidelně revidujte bezpečnostní opatření a ujistěte se, že i nadále vyhovují potřebám vaší organizace.
• Proaktivně vyhledávejte hrozby, abyste identifikovali a zastavili protivníky dříve, než stihnou provést útok. Pokud na to váš interní tým nemá čas nebo schopnosti, zadejte tuto činnost specialistovi na řízenou detekci a reakci (Managed Detection and Response, MDR) formou služby.
• Zabezpečte lépe své IT prostředí vyhledáváním a odstraňováním klíčových mezer v zabezpečení, jako jsou nezáplatovaná zařízení, nechráněné počítače, otevřené porty RDP atd. K tomuto účelu jsou ideální řešení typu XDR (Extended Detection and Response).
• Připravte se na nejhorší. Zjistěte a naplánujte, co dělat, pokud dojde ke kybernetickému incidentu, a plán průběžně aktualizujte.
• Vytvářejte zálohy a nacvičujte obnovu dat, aby vaše organizace mohla v případě útoku co nejdříve obnovit provoz s minimálním narušením činnosti.

Studie The State of Ransomware 2022 zahrnuje incidenty a zkušenosti s ransomwarem v průběhu roku 2021. Průzkum, v rámci kterého bylo dotazováno 5 600 IT manažerů s rozhodovací pravomocí ve 31 zemích včetně České republiky, provedla společnost Vanson Bourne, nezávislý specialista na průzkumy trhu, v lednu a únoru 2022. Dotazování byli respondenti ze středně velkých organizací se 100 až 5 000 zaměstnanci, přičemž „zasažení ransomwarem“ bylo definováno jako zasažení jednoho nebo více zařízení ransomwarovým útokem, ale ne nutně zašifrování jeho obsahu.