Ransomware útoky jsou náročnou disciplínou. Útočníci musí nejprve proniknout do citlivých systémů firmy. Pak najít cenná data a zkontrolovat, kde všude jsou zálohována. A nakonec vše důkladně zašifrovat, zálohy smazat nebo poškodit a pustit se do jednání o výkupném. Stačí přitom jediná komplikace a vyjednávací páka útočníků může zmizet. Například když se bezpečnostní software při prvním náznaku podobného útoku rozhodne začít vytvářet nedobytné zálohy.

V boji proti ransomwaru má společnost Eset mnoho zkušeností především v oblasti zabezpečení koncových zařízení, zároveň se účastní iniciativy No More Ransom. Konec vyděračských útoků možná přiblíží nová funkce obnovy dat právě po útoku: „Stačí jednoduché řešení a pár kliknutí, zbytek nechte na Esetu,“ říká Michal Jankech, který má ve společnosti Eset na starosti segment služeb pro firemní zákazníky.

Jde o další nástroj v mnohovrstevnaté obranné strategii, kterou pro firmy zajišťuje technologie Eset LiveSense. Ta se stará o proaktivní prevenci sofistikovaných hackerských útoků například tím, že monitoruje a vyhodnocuje všechny spuštěné aplikace na základě jejich chování a reputace. Následně detekuje a blokuje procesy, které se chováním podobají například právě ransomwaru.

Bezpečnostní experti ze společnosti Eset nyní vydali novou, podrobnou analýzu o významných změnách v ekosystému ransomwarových gangů. Analýza se zaměřuje na nově vzniklý a aktuálně dominantní gang RansomHub, který funguje v modelu ransomware-as-a-service (RaaS), kdy nabízí možnost objednat si útok jako službu. Mezi útočníky z této a dalších skupin objevili navíc dosud nezmapované spojení, které je nejspíš motivované tím, že gang RansomHub svým operátorům nabízí vlastní nástroj schopný vypínat základní funkce bezpečnostních systémů.

„Poprvé od roku 2022 jsme zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 procent, což je v tomto kontextu ohromující číslo. Na druhou stranu ale podle webových stránek, které veřejně publikují informace o útocích a únicích dat, vzrostl zaznamenaný počet obětí přibližně o 15 procent. Velkou část tohoto nárůstu má na svědomí právě RansomHub,“ říká Jakub Souček, vedoucí pražského výzkumného týmu společnosti Eset. Na druhé straně jsou tyto útoky stále propracovanější a útočníci požadují vyšší výkupné – v minulém roce dokonce poprvé žádali rekordní částku ve výši 100 milionů dolarů.

Mezi oběti ransomwarových gangů ale nepatří jen firmy, útočníci se neštítí ani citlivé infrastruktury evropských a asijských států, například nemocnic. „Alarmujícím trendem roku 2024 byl celosvětový rapidní růst útoků na sektor zdravotnictví. Pozorovali jsme to většinu roku a bohužel tento trend pokračuje i letos,“ dodává Souček.

Bezpečnostní systém vytvoří nedobytné zálohy

Strhnout misky vah ve prospěch obránců má funkce Obnova po útoku ransomwarem. Při náznaku ransomwarového útoku začne bezpečnostní software Esetu vytvářet důkladně zabezpečené kopie, aby útočníkům pokus o paralyzování firemních systémů a procesů co nejvíce zkomplikoval – přestane až ve chvíli, kdy nadřazená funkce Ochrana proti ransomware rozhodne, že podezřelý proces byl v pořádku. A pokud by skutečně šlo o kybernetický útok, systém veškeré s ním spojené procesy ukončí a data následně obnoví z bezpečných záloh.

„Klíčovým prvkem mnoha ransomwarových útoků je zašifrování, které zablokuje firmě přístup k jejím podnikovým systémům, naruší její procesy s významnými dopady do jejích nákladů a nakonec ji nutí zaplatit za dešifrování systémů. Útočníci nenechávají nic náhodě a jdou tak daleko, že cílí i na zálohy systémů, které mažou nebo poškozují. Obnova je pak často nemožná a náklady na odstranění následků útoku se zvyšují,“ vysvětluje Souček.

Zálohy Esetu jsou ovšem o krok dál než běžné serverové databáze. „Funkce má vlastní chráněné úložiště, kde útočníci nemohou soubory modifikovat, poškodit ani smazat. Tím se aktivně řeší jeden z nejčastějších nedostatků běžných záloh během těchto útoků,“ popisuje Martin Skýpala, produktový specialista z pražské pobočky Esetu.

Novinku mohou využívat firemní zákazníci, kteří používají platformu Eset Protect ve verzi Advanced a vyšší. Jediným omezením funkce je velikost disku, limit velikosti jednoho souboru do 30 MB a dostupnost pouze pro systémy Windows.

Kromě záloh i lepší nepřetržitý dohled

Novinek ale Eset v březnu letošního roku představil více. Vylepšení se dočkala například ochrana proti útočníkům využívajícím důvěryhodné zdroje či firmy tím, že klasická písmena nahrazují podobně vypadajícími znaky z jiných abeced, tzv. homoglyfy. Například e-mail od společnosti CzechCrunch mohou útočníci maskovat pod ＣｚеｃһϹｒｕｎсһ, ve kterém není ani jeden znak české abecedy. Automatizované nástroje pak tyto zprávy nerozeznají jako přímý pokus o podvrh existující společnosti, ale pouze jako neškodnou směsici znaků.

Kyberbezpečnostní experti vyhlíží nový Zákon o kybernetické bezpečnosti a začátek účinnosti evropské směrnice NIS2, oba se dotknou více než 6 000 firem v českém a slovenském prostředí. S plněním povinností vyplývajících z nového zákona jim Eset pomáhá prostřednictvím technologie Spravované detekce a reakce (MDR). Aktualizace se dočkal asistent Eset AI Advisor, který poskytuje personalizované rady a okamžitou pomoc – nově bude možné hlášené incidenty okamžitě předávat právě dohledovému MDR týmu.

„Současné kybernetické hrozby se vyvíjejí velmi dynamicky. Cílem útoků jsou přitom stále častěji také malé a střední podniky, které jsou v mnoha případech bezbranné kvůli nedostatku odborných znalostí, kapacit nebo obojího – často musí pozornost soustředit na každodenní úkoly. Služba Eset MDR pro malé a střední podniky představuje snadný způsob, jak posílit bezpečnost stávajících zákazníků. Naše řešení umožňuje snížit dobu detekce a reakce na incidenty z měsíců na 20 minut, tedy mnohem rychleji než alternativní způsoby,“ doplňuje Skýpala.