Ransomware je vyděračský software, jehož cílem je finanční profit z výkupného napadené oběti. Proč by však oběť napadená ransomwarem měla toto výkupné platit a co se stane, pokud tak neučiní? Na tyto otázky se Vám pokusím odpovědět v tomto článku a následně Vám stručně ukážu, jak takové napadení může vypadat.
Ransomware je škodlivý software, neboli malware, který se do Vašeho počítače může dostat prostřednictvím podvodných stránek, phishingových e-mailů, stahováním a spouštěním infikovaných souborů a aplikací nebo třeba i pouhým použitím neznámých flash disků. Ransomware se však zaměřuje spíše na společnosti nežli jednotlivce. Bývá většinou mnohem sofistikovanější než běžné trojské koně a viry. Po infikování počítače se ransomware většinou šíří organizací s cílem napadnout hlavní servery, všechny počítače a hlavně zálohy! Jakmile je síť společnosti napadena včetně jejích záloh, pak jsou šance na jednoduché obnovení provozu takřka mizivé. Útok poznáte dle obrazovky říkající si o výkupné za zastavení tohoto útoku. Výkupné požadují účastníci hradit převážně hrazeno kryptoměnách, které jim zajišťují anonymitu. Jak tato uvítací zpráva může vypadat je zobrazeno na následujícím vizuálu.
.png.aspx?lang=cs-CZ&width=600&height=454)
(Zdroj: https://howtoremove.guide)
Pokud se ve společnosti objeví tato či podobná obrazovka, lze postupovat několika způsoby. Prvním z nich je zaplatit požadované výkupné útočníkům do stanoveného termínu dle jejich instrukcí a doufat, že dodrží své slovo a poskytnou Vám dešifrovací program. Další možností je rozhodnut se bojovat. To zahrnuje snahu o obnovení systémů ze záloh, opětovné nastavení konfigurace a čištění. Tento proces může být velmi zdlouhavý a pro velkou firmu může výpadek několika dní znamenat obrovské ztráty. Nutno podotknout, že ceny výkupného také nebývají zanedbatelné a mohou se pohybovat i v řádu milionů korun.
Avaddon ransomware
Avaddon je ransomware kryptolockeru (program pro šifrování souborů) napsaný v jazyce C++, který je nejlépe známý pro šifrování souborů a změnu přípony souborů na .avdn. Ransomware také odstraní stínové kopie diskových svazků a další zálohy systému a obvykle vyžaduje výkupné v rozmezí 150 až 900 amerických dolarů, tj. přibližně 3 000 až 20 000 Kč. Na zaplacení výkupného má oběť obvykle 240 hodin. Vzhledem k tomu, že ransomware používá silné šifrovací algoritmy jako AES256 a RSA2048, není k dispozici žádný známý dešifrovací program a není možné soubor dešifrovat bez klíče, který byl použit k jeho šifrování. Tento ransomware se prodává, podobně jako ostatní ransomware, jako služba (RaaS – Ransomware as a Service). I někdo s omezeným technickým zázemím se tedy může stát „přidruženým subjektem“ k šíření škodlivého softwaru. Na oplátku se zisk rozděluje mezi aktéra hrozby a přidruženého subjektu.
Avaddon ransomware se specializuje na údaje o ochraně osobních údajů zákazníků, finanční informace, databáze, informace o kreditních kartách a další. Zašifrované soubory nejsou však hlavním problémem. Společnosti většinou nechápou riziko úniku informací, zejména těch privátních. Takový únik informací vede ke ztrátám klientů, pokutám a soudním sporům. Tyto informace se samozřejmě mohou dostat také do rukou konkurence.
Co se může stát, když se oběť rozhodne výkupné nezaplatit?
Jakmile je společnost napadena Avadonn ransomwarem, jsou detaily jejího napadení zveřejněny na stránkách Avaddonu prostřednictvím dark webu. První, čeho si můžete povšimnout, je část ukazující aktuálně napadené společnosti společně s termínem pro zaplacení výkupného. Na obrázku níže lze vidět několik společností s aktuálně aktivním Avaddon ransomwarem, avšak k datu sepisování tohoto článku tento seznam čítal 27 společností!
(Zdroj: Avaddon Ransomware – dark web)
Společně s tím jsou zde zobrazeny také detaily společnosti s ukázkou ukradených dokumentů, což je možné vidět na obrázku níže. Je zde vidět název společnosti, její adresa, webové stránky, termín pro zaplacení výkupného a stručně popsané informace o získaných datech.
(Zdroj: Avaddon Ransomware – dark web)
V případě, že se oběť rozhodne zaplatit výkupné, je velká šance, že tyto informace z webu zmizí a bude jí poskytnut dešifrovací program k obnově svých dat. V opačném případě tento program nezíská a citlivé dokumenty společnosti mohou být zveřejněny. Na dark webovských stránkách Avaddon ransomwaru jsou k termínu vytváření tohoto článku k dispozici informace o více než 60 společnostech. Ke stažení zde jsou také citlivé informace těchto společností, které čítají stovky GB. Krátký výstřižek tohoto seznamu je vidět na obrázku níže. Tato data si kdokoliv může jednoduše stáhnout ve formě .zip souboru.
(Zdroj: Avaddon Ransomware – dark web)
Nedávno se obětí Avaddon ransomwaru stalo i několik českých počítačových a telekomunikačních společností, což mělo za následek minimálně několikadenní výpadek jejich služeb. Je proto důležité si uvědomit, že tuto hrozbu nesmíme brát na lehkou váhu ani v našich podmínkách, a jak malé, tak velké společnosti musí neustále pracovat na zlepšení své kybernetické bezpečnosti!
Jak předcházet napadení ransomwarem?
Pro vyhnutí se napadení různým malwarem je všeobecně doporučováno udržování aktuálních aplikací, instalování bezpečnostních systémových aktualizací a pravidelné zálohování. Tyto zálohy je (z výše popsaných důvodů) důležité uchovávat mimo lokalitu společnosti, ideálně bez přímého vzdáleného přístupu k nim. Důležité je mít nasazeny IDS/IPS systémy, které jsou schopné detekovat škodlivé operace na síti, vhodně nastavený firewall na vnějším perimetru sítě a správně nastavené a vyžadované bezpečnostní politiky uvnitř i vně společnosti. Důležitým článkem je také pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti.