Kybernetické útoky jsou bohužel realitou současnosti. Denně se můžeme setkat s phishingovým či ransomware útokem a to jak v zaměstnání, tak na soukromém počítači či mobilním telefonu. V našich předchozích článcích jsme se tématu kyberútoků již věnovali, popsali jsme různé typy i doporučili, jak se chovat, abyste riziko snížili na minimum, či útoku úspěšně odolali, protože prevence je zde nejúčinnější obranou. Pokud ale přece jen dojde k tomu, že vás hackeři dostanou a stanete se jejich obětí, je dobré vědět, jak v takovém případě postupovat. Právě tomuto tématu jsme věnovali tento článek a zaměřili jsme se při tom na útoky směřované na firmy a organizace, které jsou nejčastěji terčem ransomware.
Na koho ransomware cílí?
Stát se obětí kyberútoku není v dnešní době nikterak vzácná událost, hackeři útočí čím dál sofistikovanějšími prostředky a tím pádem přibývá bohužel i jejich obětí. Útočníci pomocí ransomware už nenapadají jen malé firmy, jako tomu bylo dříve, ale útočí na větší a významnější organizace, u kterých se zaměřují na napadení celého IT prostředí včetně zálohovacích systémů i záloh samotných. Následně data uložená na pevných discích zašifrují, čímž k nim znemožní přístup. Poté požadují velké, řádově i mnohamilionové výkupné za jejich odšifrování/navrácení, případně hrozí jejich zveřejněním, pokud se jedná o citlivé údaje. Jedním příkladem z poslední doby je např. útok na Ředitelství silnic a dálnic z května loňského roku, který paralyzoval jejich informační systémy a infrastrukturu a jak uvedl server Novinky.cz, obnova včetně zvýšení zabezpečení přišla přibližně na 30 milionů Kč. Časté útoky tohoto typu jsou také na zdravotnické organizace, z výzkumu společnosti Sophos vyplývá, že je jich dokonce více než polovina z celkového počtu útoků. Tyto organizace jsou pro hackery atraktivní zejména proto, že data, kterými disponují, jsou velmi citlivá a cenná, a proto jsou ve velkém procentu ochotné výkupné zaplatit.
Jak poznám, že jsem se stal obětí?
Ransomware je škodlivý software, který využije počítače vybrané oběti jako své rukojmí a šifruje jim soubory. Málokdy cílí jen na jeden systém, moderní varianty se snaží v co nejkratší možné době využít všechny zranitelnosti infrastruktury, rozšířit se pomocí malware a ovládnout co nejvíce systémů. Že jsou systémy napadeny malware uživatel zprvu nepozná, pokud ale zahájí ransomware svojí šifrovací misi, může uživatel zaznamenat tyto události:
- počítač se chová jinak než obvykle, je pomalý, nebo systém zatuhne úplně;
- systém se samovolně restartuje;
- při otevírání souborů se objeví upozornění, že je daný soubor poškozený či neplatný;
- běžně používané soubory či dokumenty nelze najít;
- v počítači se objeví programy, které jste si neinstalovali;
- nelze spustit antivir;
- obdržíte zprávu s žádostí o výkupné.
U prvních šesti bodů byste měli zpozornět, a pokud není jiná příčina pro takové chování, může se jednat o kyberútok. Jestliže je poslední bod v kombinaci s těmi předchozími, nebo je doprovázen kompletním zablokováním počítače, je bohužel téměř jisté, že jste se stali obětí kyberútoku.
Jak se zachovat po útoku?
Pokud jste se stali obětí ransomware, je třeba v první řadě zachovat klid a postupovat obezřetně, abyste případnou zbrklostí nenapáchali ještě více škod. Pokud máte po ruce odborníka, který se vám stará o kyberbezpečnost, kontaktujte primárně jeho, s dalšími kroky si poradí, nebo vás nasměruje.
- Identifikace a zastavení šíření
V první fázi je třeba identifikovat variantu viru a pokud možno zabránit dalšímu šíření, tedy okamžitě zablokovat komunikaci se všemi počítači a s řídicími servery a přerušit tak komunikaci mezi zasaženými systémy a zbytkem sítě, aby nemohl napadnout další a další soubory. Změňte hesla správců a ukončete všechny běžící relace. Pokud není jisté, které počítače jsou infikované, je vhodné do jejich identifikace všechny odpojit od sítě a vypnout. - Zaplatit výkupné, či nikoliv?
Pokud máte kvalitní zálohy, nemusíte se touto otázkou příliš zabývat. Pokud zálohy nemáte, je řada na vážném rozhodnutí, neboť je třeba důsledně zvážit všechna pro a proti. Odborníci na kyberzločiny se ohledně placení výkupného většinou shodují a jeho zaplacení nedoporučují, zejména z toho důvodu, že nemáte jistotu vrácení či dešifrování dat. Svou platbou dáváte najevo, že jste podobným praktikám přístupní a je velice pravděpodobné, že na vás zaútočí znovu, už znají vaše slabá místa, takže to pro ně nebude velký problém. V neposlední řadě podporujete zločince v jejich dalších útocích, mohou za vaše peníze vylepšovat útočné software. - Obnova dat a systémů (DR plán)
Až pokud jste si jistí, že je útok podchycen a zastaven, můžete připravit proces na obnovu souborů. Tato fáze se nesmí urychlit, protože pokud by k obnovám došlo příliš brzy, ještě v průběhu útoku, mohly by být zálohy taktéž zneužity. Pokud máte vytvořený plán pro obnovu systémů (tzv. DR – Disaster Recovery plán), přichází čas ho použít. - Nahlášení útoku, vyhledání pomoci
Každý útok lze nahlásit jak na policii, tak na NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost), kde je možné získat pomoc i rady, jak dále postupovat. Definované orgány dle zákona o kybernetické bezpečnosti a osoby uvedené v § 3 písm. b) až f) mají dokonce pro tyto případy ohlašovací povinnost. V případě pojištění je třeba hlásit i příslušně pojišťovně. Při hledání pomoci dejte ale pozor na neověřené společnosti nabízející pomoc s dešifrováním dat, můžou se přiživit na vašem neštěstí a ještě vás okrást.
Nepodceňujte prevenci
Ransomware se lze úspěšně bránit, nesmí se ale podceňovat prevence, proto na závěr zopakujeme ještě nejzákladnější kroky, abyste se nestali obětí takového útoku:
- Pravidelně aktualizujte operační systém, software i aplikace.
- Používejte antivirus a provádějte jeho aktualizace.
- Zálohujte své soubory, ideálně dle pravidla 3-2-1, tedy 3 kopie dat, na 2 různých úložištích, z toho 1 úplně mimo společnost a soubory šifrujte.
- Informujte se o aktuálních kyberhrozbách a školte pravidelně vaše zaměstnance, aby dokázali rozpoznat škodlivý email, či další pokusy o útok. Pamatujte, že vstupní branou každého útoku jsou počítače vašich zaměstnanců.
- Používejte pouze důvěryhodné Wi-Fi sítě a vyhněte se pokud možno těm veřejným a nezabezpečeným.
- Nebraňte se investici do kyberbezpečnosti a nechte si poradit od odborníků. Pravděpodobnost útoku se totiž neustále zvyšuje a není už otázkou ZDA, ale KDY to potká právě vaší společnost.
Začněte svoji kyberbezpečnost řešit dříve, než bude pozdě, my vám s tím rádi pomůžeme. Disponujeme týmem certifikovaných odborníků přímo od NÚKIB a věnujeme se tomuto tématu velice intenzivně. V rámci naší služby Safe&Secure se staneme tzv. pozitivním hackerem pracujícím ve váš prospěch. Prověříme bezpečnost vaší infrastruktury, odhalíme její zranitelnosti a doporučíme vhodná nápravná opatření. Více informací o této službě naleznete ZDE.
