Trace Id is missing
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je ransomware?

Zjistěte, co je ransomware, jak funguje a jak chránit vaši firmu před tímto typem kybernetického útoku.
Chraňte se před ransomwarem

Principy ransomwaru

Ransomware je typ škodlivého softwaru neboli malwaru, který kyberzločinci používají ke znepřístupnění, zničení nebo publikování kritických dat obětí, pokud jim není zaplaceno výkupné. Tradiční ransomware cílí jak na jednotlivce, tak na organizace, ale dvě novinky z poslední doby, ransomware řízený lidmi a ransomware jako služba, se staly větší hrozbou pro podniky a další velké organizace.

V případě ransomwaru řízeného lidmi využívá skupina útočníků svou kolektivní inteligenci, aby získala přístup do podnikových sítích. Před instalací ransomwaru prozkoumají společnost, aby zjistili její zranitelná místa, a v některých případech si najdou finanční dokumenty, které jim pomohou stanovit výši výkupného.

V případě modelu ransomwaru jako služby vytvoří skupina zločineckých vývojářů ransomware a poté najme další přidružené kyberzločince, aby se nabourali do sítě organizace a ransomware nainstalovali. Obě skupiny si rozdělí zisk podle dohodnutého poměru.

Každý ransomware si na napadených osobách a organizacích vybírá značnou daň. Obnovení provozu postižených systémů může trvat dny, týdny, nebo dokonce měsíce, což má za následek ztrátu produktivity a tržeb. Organizace by také mohly utrpět újmu na své pověsti u zákazníků a v komunitě.

Hlavní poznatky

  • Ransomware je typ malwaru, který šifruje data a vyžaduje platbu výkupného za jejich dešifrování.
  • Může se šířit prostřednictvím phishingových e-mailů, škodlivých webů a sad exploitů.
  • V případě ransomwaru řízeného lidmi využívá skupina útočníků svou kolektivní inteligenci, aby získala přístup do podnikové sítě organizace.
  • Mezi dva hlavní typy ransomwaru patří kryptografický ransomware, který šifruje citlivá data a soubory, a ransomware typu locker, který oběti uzamkne její zařízení.
  • Útoky ransomwaru mohou jednotlivcům a firmám způsobit významné finanční, reputační a provozní škody.
  • Před útoky ransomwaru se můžete chránit různými kroky, například používáním silného bezpečnostního softwaru, zálohováním dat a zvyšováním povědomí o kybernetické bezpečnosti ve vaší organizaci.

Typy ransomwaru

Vyskytují se především dva druhy ransomwaru: kryptografický ransomware a blokovací ransomware (locker). Ty se dále dělí na několik podtypů.

Kryptografický ransomware
Při útoku kryptografického ransomwaru útočník zašifruje citlivá data nebo soubory oběti tak, že k nim oběť nebude mít přístup, dokud nezaplatí požadované výkupné. Teoreticky platí, že jakmile útočník dostane zaplaceno, přenechá dešifrovací klíč, který oběti poskytne přístup k souborům nebo datům, ale neexistuje žádná záruka. Mnoho organizací trvale ztratilo přístup ke svým souborům i po zaplacení výkupné.

Blokovací ransomware
V případě blokovacího ransomwaru útočníci uzamknou oběti přístup do jejího zařízení a zobrazí jí pokyny, jak zaplatit výkupné, aby získala přístup zpět. Tato forma ransomwaru obvykle nezahrnuje šifrování, takže jakmile oběť znovu získá přístup do svého zařízení, dostane se ke všem citlivým souborům a datům. Blokovací ransomware se běžně používá na mobilních zařízeních.

Tyto dvě hlavní formy ransomwaru se dělí na následující podtypy:

Scareware
Scareware využívá strachu, aby přiměl lidi zaplatit výkupné. Při těchto typech kybernetických útoků se zlí aktéři vydávají za orgány činné v trestním řízení a posílají oběti zprávu, ve které ji obviňují z trestného činu a požadují pokutu.

Doxware
V případě doxwaru zlí aktéři kradou osobní údaje a hrozí, že je zveřejní, pokud nebude zaplaceno výkupné.

Ransomware s dvojitým vydíráním
V případě ransomwaru s dvojitým vydíráním útočníci nejen zašifrují soubory, ale také ukradnou citlivá data a vyhrožují, že je zveřejní, pokud jim nebude zaplaceno výkupné.

Wipers
Wipers vyhrožují zničením dat oběti, pokud nezaplatí výkupné.

Jak funguje ransomware

Většina útoků ransomwaru má tři fáze.

1. Získání přístupu
Zlí aktéři používají různé metody k získání přístupu k citlivým datům společnosti. Jedním z nejběžnějších je útok phishing, kdy kyberzločinci používají e-maily, SMP nebo telefonní hovory, aby podvodně vylákali z lidí přihlašovací údaje nebo je přiměli ke stažení malwaru. Zlí aktéři také cílí na zaměstnance a další uživatele se škodlivými weby, které používají tzv. sadu exploitů k automatickému stažení a instalaci malwaru do zařízení oběti.

2. Zašifrování dat
Jakmile útočníci ransomwaru získají přístup k citlivým datům, zkopírují je a zničí původní soubor spolu se všemi zálohami, ke kterým mají přístup. Potom svou kopii zašifrují a vytvoří dešifrovací klíč.

3. Požadavek na výkupné
Poté, co ransomware znepřístupní data, zobrazí prostřednictvím okna výstrahy zprávu, která vysvětluje, že data byla zašifrována, a požaduje peníze, obvykle v kryptoměně, výměnou za dešifrovací klíč. Zlí aktéři, kteří stojí za těmito útoky, mohou také vyhrožovat, že pokud oběť odmítne zaplatit, data zveřejní.

Dopad útoku ransomwaru

Kromě okamžitého narušení provozu mohou důsledky útoku ransomwaru zahrnovat značné finanční ztráty, poškození pověsti a dlouhodobé provozní problémy.

Finanční důsledky
Náklady na zaplacení výkupného mohou být značné – často jdou do milionů dolarů a neexistuje žádná záruka, že útočníci poskytnou dešifrovací klíč nebo že bude daný klíč správně fungovat.

I když organizace odmítnou výkupné zaplatit, mohou jim vzniknout velké finanční náklady. Narušení způsobené útokem ransomwaru může vést k prodlouženým odstávkám, což ovlivní produktivitu a může vést ke ztrátě příjmů. Zotavení po útoku zahrnuje další výdaje, včetně nákladů na forenzní vyšetřování, právní poplatky a investice do vylepšených bezpečnostních opatření.

Poškození reputace
Zákazníci a partneři můžou ztratit důvěru v napadenou firmu, což vede k poklesu loajality zákazníků a potenciální ztrátě budoucích zakázek. Velké útoky často přitahují pozornost médií, což může poškodit pověst společnosti a dobré jméno její značky.

Provozní problémy
I při zálohování existuje riziko ztráty nebo poškození dat, což může mít dopad na kontinuitu podnikání a provozní efektivitu. Firmám mohou také hrozit právní a regulační postihy za zanedbání ochrany citlivých údajů, zejména pokud se na ně vztahují předpisy o ochraně údajů, jako je Obecné nařízení o ochraně údajů v Evropské unii nebo Kalifornský zákon o ochraně soukromí spotřebitelů.

Příklady ransomwaru z reálného světa

Mnoho z nejznámějších útoků ransomwaru řízených lidmi je prováděno ransomwarovými skupinami, které využívají obchodní model ransomwaru jako služby.

 
  • Od svého prvního výskytu v roce 2019 se LockBit zaměřuje na různé sektory, včetně finančních služeb, zdravotnictví a výroby. Tento ransomware je známý díky své schopnosti se sám šířit v sítích, a proto je obzvláště nebezpečný. Subjekty stojící za ransomwarem LockBit jsou zodpovědné za řadu významných útoků, při nichž byly použity sofistikované techniky k šifrování dat a požadováno výkupné. 
  • Útoky BlackByte často zahrnují dvojité vydírání, kdy kyberzločinci zašifrují a exfiltrují data a vyhrožují publikování odcizených dat, pokud jim není zaplaceno výkupné. Tento ransomware se používá k cílení na sektory kritické infrastruktury, včetně státní správy a finančních služeb.
  • Skupina za ransomwarem Hive, která byla aktivní od června 2021 do ledna 2023, používala dvojité vydírání a obvykle cílila na veřejné instituce a kritickou infrastrukturu, včetně zdravotnických zařízení. FBI dosáhla významného vítězství v boji proti kybernetické kriminalitě, když v roce 2022 pronikla do sítě společnosti Hive, získala dešifrovací klíče a zabránila požadavkům na výkupné ve výši přes 130 milionů USD. 
  • Ransomware Akira je sofistikovaný malware, který je aktivní od začátku roku 2023 a zaměřuje se na systémy Windows i Linux. Zlí aktéři využívají ransomware Akira k získání počátečního přístupu prostřednictvím ohrožení zabezpečení ve službách VPN, zejména těch, které nemají vícefaktorové ověřování. Od svého vzniku ransomware Akira napadl více než 250 organizací a vydělal svým tvůrcům přibližně 42 milionů USD.
 
Prevence

Strategie prevence ransomwaru a ochrany před ním

Ochrana koncových bodů a cloudů

Nejlepší formou ochrany je prevence. Mnoho útoků ransomwaru lze identifikovat a zablokovat pomocí důvěryhodného řešení pro detekci a reakci u koncových bodů, jako je například Microsoft Defender for Endpoint. Řešení rozšířené detekce a reakce (XDR), jako je Microsoft Defender XDR, přesahují rámec ochrany koncových bodů a pomáhají vám zabezpečit zařízení, e-mail, aplikace pro spolupráci a identity. Vzhledem k tomu, že se v cloudu provádí tolik činností, je důležité chránit veškerou cloudovou infrastrukturu a aplikace pomocí řešení, jako je Microsoft Defender for Cloud.

Pořádejte pravidelná školení

Prostřednictvím pravidelných školení informujte zaměstnance, aby uměli rozpoznat phishingové a další ransomwarové útoky. Pro upevnění získaných poznatků a identifikaci příležitostí pro další školení provádějte pravidelné simulace phishingu. Zaměstnanci se tak naučí bezpečnějším pracovním postupům a také bezpečnějšímu používání osobních zařízení.

Implementujte model nulové důvěry (Zero Trust)

Model nulové důvěry (Zero Trust) předpokládá, že každá žádost o přístup, a to i ty, které přicházejí přímo ze sítě, představuje potenciální hrozbu. Principy nulové důvěry (Zero Trust) zahrnují explicitní průběžné ověřování, vynucování přístupu s nejmenšími právy s cílem minimalizovat oprávnění a předpokládání narušení zavedením silných opatření pro omezení a monitorování. Tato dodatečná kontrola snižuje pravděpodobnost, že škodlivá identita nebo zařízení získá přístup ke zdrojům a nainstaluje ransomware.

 Připojte se ke skupině pro sdílení informací

Skupiny pro sdílení informací, které se často organizují podle odvětví nebo geografické polohy, motivují podobně strukturované organizace ke spolupráci na řešeních kybernetické bezpečnosti. Skupiny také nabízejí organizacím různé výhody, například služby reakce na incidenty a digitální forenzní služby, analýzu hrozeb a monitorování rozsahů veřejných IP adres a domén.

Mějte offline zálohy

Cílem ransomwaru může být i vyhledání a odstranění všech vašich online záloh, a proto je vhodné udržovat aktualizované offline zálohy citlivých dat, které budete pravidelně testovat, abyste měli jistotu, že je bude možné použít k obnovení po ransomwarovém útoku.

Udržujte software v aktualizovaném stavu

Kromě aktualizace všech antimalwarových řešení si nezapomeňte stahovat a instalovat všechny další aktualizace systému a opravy softwaru, jakmile budou k dispozici. Přispějete tím k minimalizaci slabých míst v zabezpečení, která by kyberzločinec mohl zneužít k získání přístupu k vaší síti nebo zařízením.

Vytvořte plán reakce na incident

Plán reakce na incident vám poskytne kroky, které je potřeba provést v různých scénářích útoku, abyste se mohli co nejdříve vrátit k normálnímu a bezpečnému provozu.

Reakce na ransomwarový útok

Pokud zjistíte, že jste se stali obětí ransomwarového útoku, máte k dispozici několik možností pro nápravu a řešení.

Izolujte nakažená data
Jakmile budete moct, izolujte napadená data, abyste zabránili šíření ransomwaru do jiných oblastí vaší sítě.

Spusťte antimalwarový program
Po izolaci všech nakažených systémů použijte k odebrání ransomwaru antimalwarový program.

Dešifrujte soubory nebo obnovte zálohy
Pokud je to možné, použijte k dešifrování souborů bez placení výkupného dešifrovací nástroje poskytované orgány činnými v trestním řízení nebo bezpečnostními výzkumníky. Pokud dešifrování není možné, obnovte soubory ze záloh.

Útok nahlaste
Pokud chcete nahlásit útok, obraťte se na příslušné místní nebo státní orgány. Ve Spojených státech kontaktujte místní pobočku FBI, IC3 nebo tajnou službu. I když tento krok pravděpodobně nevyřeší vaše aktuální problémy, je důležitý, protože tyto orgány aktivně sledují a monitorují různé útoky. Když se podělíte o své zkušenosti, můžete přispět k vypátrání a trestnímu stíhání kyberzločinců nebo jejich skupiny.

K platbě výkupného přistupujte obezřetně
I když může být lákavé zaplatit výkupné, nemáte žádnou záruku, že kyberzločinci dodrží své slovo a umožní vám přístup k vašim datům. Bezpečnostní experti a orgány činné v trestním řízení doporučují, aby oběti ransomwarových útoků požadované výkupné neplatily, protože by tím mohly být vystaveny budoucím hrozbám a aktivně by podporovaly zločinecké skupiny.
ZDROJE INFORMACÍ 

Prozkoumat zabezpečení od Microsoftu

Chraňte svou organizaci před složitým ransomwarem pomocí sjednocených řešení ochrany před hrozbami využívajících umělou inteligenci a prověřených osvědčených postupů.
Žena v zelené košili se dívá na počítač.
Řešení

Chraňte se před ransomwarem

Odhalte sofistikované kybernetické útoky napříč multicloudovým prostředím a reagujte na ně.
Další informace
Muž sedí u stolu a používá přenosný počítač.
Řešení

Předstihněte hrozby pomocí sjednocené služby SecOps využívající umělou inteligenci

Získejte XDR a správu akcí a informací o zabezpečení – to vše na jedné platformě.
Další informace
Přenosný počítač na stole.
Produkt

Chraňte celý podnik pomocí Microsoft Defender XDR

Chraňte své koncové body, identity, cloudové aplikace a data před kybernetickými útoky.
Další informace
Muž s brýlemi a vousy, který drží papíry před přenosným počítačem.
Produkt

Chraňte svou malou firmu pomocí Microsoft Defenderu pro firmy

Zajistěte si ochranu před sofistikovanými útoky ransomwaru napříč zařízeními pomocí antivirové ochrany nové generace a detekce koncových bodů na podnikové úrovni a reakce využívající umělou inteligenci.
Další informace
Žena a muž dívající se na přenosný počítač.
Portál ochrany před internetovými útoky

Novinky o kybernetické bezpečnosti a AI

Seznamte se s nejnovějšími trendy a osvědčenými postupy v oblasti ochrany před kybernetickými hrozbami a AI pro zabezpečení.
Získat nejnovější zdroje informací
Zpět na oddíl ZDROJE INFORMACÍ

Časté otázky

  • Ransomware je typ malwaru, který zašifruje cenná data a výměnou za jejich dešifrování požaduje výkupné.
  • Obětí ransomwarového útoku se bohužel může stát téměř každý, kdo se pohybuje na internetu. Častými cíli kyberzločinců jsou osobní zařízení i podnikové sítě.
  • K tradičním ransomwarovým útokům dochází, když útočník svou oběť oklame škodlivým obsahem, například ji přiměje otevřít infikovaný e-mail nebo navštívit škodlivý web, který nainstaluje do jejího zařízení ransomware.
    V případě ransomwarového útoku řízeného lidmi skupina útočníků cílí na citlivá data organizace a prolomí jejich zabezpečení, obvykle pomocí odcizených přihlašovacích údajů.
    Pro ransomware využívající sociální inženýrství i řízený lidmi platí, že oběti nebo organizaci se zobrazí požadavek na výkupné s informacemi o ukradených datech a částce, kterou bude stát jejich vrácení. Zaplacení výkupného ale nezaručuje, že data budou opravdu vrácena ani že znovu nedojde k narušení zabezpečení.
  • Ransomwarové útoky můžou mít zničující důsledky. Oběti z řad jednotlivců i organizací by se mohly cítit nuceny platit vysoké výkupné bez záruky, že svá data získají zpět a že se útoky nebudou opakovat. Pokud kyberzločinec zveřejní citlivé informace organizace, může to zničit její pověst a může být považována za nedůvěryhodnou. A v závislosti na typu zveřejněných informací a velikosti organizace může tisícům lidí hrozit, že se stanou oběťmi krádeže identity nebo jiného druhu počítačové kriminality.
  • Kyberzločinci, kteří infikují napadená zařízení ransomwarem, chtějí peníze. Aby zůstali v anonymitě a nebylo možné je vystopovat, často chtějí zaplatit výkupné v kryptoměnách. Když je cílem jednotlivec, výkupné může být stovky nebo tisíce amerických dolarů. Kampaně ransomwaru ovládaného lidmi často vyžadují miliony amerických dolarů.
  • Oběti ransomwarových útoků by měly věc ohlásit příslušným místním nebo státním orgánům. Ve Spojených státech kontaktujte místní pobočku FBI, IC3 nebo tajnou službu. Odborníci na zabezpečení a právníci doporučují, aby oběti výkupné neplatily. Pokud jste už zaplatili, okamžitě kontaktujte svou banku a místní úřady. Pokud jste úhradu provedli kartou, vaší bance se může podařit platbu zablokovat.

Sledujte zabezpečení od Microsoftu