Podle bezpečnostní společnosti Malwarebytes ani zaplacení výkupného po prvním napadení ransomwarem obětem příliš nepomůže. Studie z roku 2022 zjistila, že 80 % společností, které zaplatily výkupné, bylo později napadeno znovu. Z nich 40 % zaplatilo podruhé, přičemž 70 % těchto společností zaplatilo dokonce vyšší částku, než po prvním útoku.
Nejčastějšími důvody reinfekce jsou:
- kyberzločinci si v systému zanechali zadní vrátka
- při prvním útoku došlo k odcizení přístupových údajů
- nedošlo k opravení zranitelností, které umožnily útok
- došlo k obnovení záloh, které byly infikované
Při některých útocích ransomwaru mají pachatelé přístup k síti oběti po dobu několika týdnů nebo měsíců, což jim dává dostatek příležitostí k otevření zadních vrátek nebo získání oprávnění, aby se mohli kdykoli vrátit a spustit další útok.
Každý řetěz má slabší článek, ale když se jeden přetrhne, je důležité ho nahradit silnějším. Zranitelná zařízení, služby a software je třeba buď záplatovat, nebo, pokud je to možné, zabránit tomu, aby se měly přístup k internetu. Pokud to nejsou schůdné možnosti, je čas zvážit, co je levnější. Nahradit je něčím bezpečnějším, nebo projít dalším útokem ransomwaru.
Znalost nejslabšího článku a zjištění, jaké informace mohli zločinci získat, je důvodem, proč je důležité po incidentu provést úplné forenzní šetření. Je nutné řešit zranitelnost, kterou zločinci využili k průniku, případná zadní vrátka, která po sobě mohli zanechat, a změnit pověření, která mohla být odcizena. Je také důležité mít k dispozici aktuální zálohy. Existuje u nich ale riziko, že obsahují části infekce nebo zadní vrátka, což je další důvod, proč je forenzní vyšetřování důležité.
Důkladné forenzní vyšetřování vám nejen pomůže najít příčinu, kterou by bylo možné odstranit, ale je důležité, abyste mohli sledovat stopy, které útočník zanechal ve vaší síti, takže můžete rekonstruovat, jaký přístup mohl získat a co mohl zkopírovat, zanechat, změnit nebo odstranit.
Zdroj: Vygenerováno v Midjourney
Jak se vyhnout ransomwaru
- Blokujte běžné formy vstupu. Vytvořte plán rychlého opravování zranitelností v systémech připojených k internetu a zakažte nebo ztížte vzdálený přístup, jako je RDP a VPN.
- Předcházejte útokům. Zastavte hrozby včas, ještě než mohou proniknout do koncových bodů nebo je infikovat. Používejte software pro zabezpečení koncových bodů, který dokáže zabránit zneužití a škodlivému softwaru používanému k šíření ransomwaru.
- Odhalte narušení. Zkomplikujte narušitelům působení uvnitř vaší organizace tím, že segmentujete sítě a obezřetně přidělujete přístupová práva. Používejte EDR nebo MDR k odhalení neobvyklé aktivity dříve, než dojde k útoku.
- Nasaďte software pro detekci koncových bodů který používá několik různých detekčních technik k identifikaci ransomwaru a ransomware rollback k obnovení poškozených systémových souborů.
- Vytvářejte offsite, offline zálohy. Zálohy uchovávejte mimo pracoviště a offline, mimo dosah útočníků. Pravidelně je testujte, abyste se ujistili, že můžete rychle obnovit základní funkce.
- Nenechte se napadnout dvakrát. Jakmile izolujete ohnisko nákazy a zastavíte první útok, musíte odstranit všechny stopy po útočnících, jejich malwaru, nástrojích a metodách vstupu, abyste se vyhnuli dalšímu útoku.
Zdroj: Malwarebytes
