Malé firmy, ktoré sú už dlho známe ako obľúbený cieľ kyberzločincov, sú náchylnejšie na ransomvér ako veľké podniky.
Myslíte si, že vaša firma je príliš malá na to, aby sa stala terčom digitálneho vydierania? Zamyslite sa znovu. Ak ste majiteľom malej firmy, mali by ste predpokladať, že ste potenciálnym cieľom. Údaje spoločnosti Verizon ukazujú, že zatiaľ čo ransomvér tvorí 39 % prípadov narušenia bezpečnosti údajov vo veľkých organizáciách, v malých a stredných firmách (SMB) je to až 88 %. Veľké spoločnosti sú síce pripravenejšie zaplatiť výkupné v hodnote niekoľkých miliónov dolárov, ale často majú aj nástroje a politiky na prevenciu, detekciu a obmedzenie rizika narušenia bezpečnosti.
Malé a stredné firmy sú pritom, podobne ako veľké korporácie, pri svojej činnosti úplne závislé od svojich údajov a IT infraštruktúry. Hrozba trvalej straty údajov a úplného zastavenia činnosti bola často silným motivátorom na zaplatenie výkupného, a to aj bez akejkoľvek záruky, že organizácia skutočne získa svoje údaje späť.
Situáciu ešte zhoršuje fakt, že útočníci vždy hľadajú ďalšie páky, ako vynútiť platbu, napríklad prostredníctvom útokov dvojitého vydierania, pri ktorých ukradnú citlivé údaje, zašifrujú ich a hrozia ich zverejnením. Okrem krádeže a vyhrážok zverejnením alebo vymazaním citlivých interných údajov môžu v niektorých prípadoch vydierať aj útokmi DDoS, sťažnosťami regulačným orgánom a, čo je znepokojivé, dokonca fyzickým násilím. Ako zistila spoločnosť Verizon, útočníci dokonca radi upravujú svoje požiadavky na výkupné, aby zvýšili pravdepodobnosť platby.
Otvorene povedané, menej dobre chránené malé firmy sú lákavým cieľom pre útočníkov. V skutočnosti sú tieto organizácie, ktoré majú viac digitálnych aktív a peňazí ako bežní používatelia a menej ochrany ako veľké podniky, už dlho ideálnym cieľom kyberzločinu. Ak chcete chrániť údaje a systémy svojej spoločnosti, dobrá správa je, že to je možné dosiahnuť bez toho, aby ste museli minúť všetky svoje úspory.
Ako sa vyvíjajú skupiny používajúce ransomvér
Aby ste mohli tejto hrozbe čeliť, musíte tiež pochopiť, kto alebo čo ju poháňa a ako sa mení. Industrializácia kyberkriminality v podobe služieb ransomware-as-a-service (RaaS) znížila bariéry vstupu a uľahčila šírenie ransomvéru. Medzitým sa rýchlo menia aj ransomvérové skupiny, čo je čiastočne spôsobené zintenzívnením úsilia orgánov činných v trestnom konaní. Akonáhle je jedna skupina zlikvidovaná, často sa objaví nová s podobnými alebo inými taktikami a nástrojmi, aby sa vyhla odhaleniu.
Na druhej strane, rebranding ransomvérových skupín môže byť aj odrazom ich ťažkostí s dosahovaním zisku. Analýza platieb výkupného v kryptomene odhalila 35 % pokles medzi rokmi 2023 a 2024. Napriek tomu, že ransomvérové skupiny čelia potenciálne menšiemu počtu obetí ochotných zaplatiť, zdá sa, že sa zameriavajú na tých, ktorí sú ochotní zaplatiť, ako ukazuje štúdia, podľa ktorej 55 % organizácií, ktoré v minulom roku zaplatili výkupné, tak urobilo viackrát, pričom 29 % zaplatilo trikrát alebo viac.
Ako umelá inteligencia mení ransomvér
Aby zvýšili svoje šance na úspech, s technologickým pokrokom menia skupiny používajúce ransomvér svoje taktiky. Bežnými spôsobmi, ako získať počiatočný prístup do sietí obetí, zostávajú zneužitie zraniteľností, phishing a kompromitácia vzdialeného prístupu, napríklad prostredníctvom prihlasovacích údajov získaných malvérom na krádež informácií. Nástroje umelej inteligencie však môžu všetky tieto snahy ešte viac posilniť.
Britské Národné centrum pre kybernetickú bezpečnosť (NCSC) nedávno varovalo, že v priebehu nasledujúcich dvoch rokov povedie používanie umelej inteligencie k zvýšeniu frekvencie a intenzity kybernetických hrozieb. Cielené vyhľadávanie zraniteľných obetí, zneužitie zraniteľnosti a najmä sociálne inžinierstvo sa v prostredí kybernetického zločinu stanú bežnejšími.
Medzitým spoločnosť ESET nedávno objavila pravdepodobne prvý ransomvér na svete poháňaný umelou inteligenciou, PromptLock. Využívá legitímny model od OpenAI na generovanie škodlivých skriptov. „Perspektíva malvéru poháňaného umelou inteligenciou, ktorý sa okrem iného dokáže prispôsobiť prostrediu a zmeniť svoju taktiku za pochodu, môže vo všeobecnosti predstavovať novú hranicu v kybernetických útokoch,“ varuje ESET.
Správa ESET Threat Report zas poukazuje na ďalšie nové vývojové trendy, vrátane výskytu „EDR killers“ určených na zastavenie nástrojov na detekciu a reakciu na koncových bodoch (EDR) nainštalovaných v systémoch obetí. Bolo tiež pozorované, že niektoré skupiny používajú taktiku sociálneho inžinierstva „ClickFix“, aby podvodom prinútili používateľov nainštalovať si do svojich počítačov škodlivý softvér.
Ako chrániť svoju firmu
Niekoľko malých a stredných firiem sa na vlastnej koži presvedčilo, čo sa môže stať po útoku ransomvérom. Hoci britská logistická firma KNP bola už pred útokom v roku 2023 pod finančným tlakom, následne skončila v konkurze, pričom o svoje miesta prišlo 700 zamestnancov.
Aby ste zabránili tomu, že vaša firma skončí rovnako, osvojte si prístup zameraný na prevenciu tým, že:
- Nasadíte robustnú správu záplat, aby ste zaistili, že zraniteľnosti považované za najrizikovejšie budú opravené, čím ďalej obmedzíte možnosť počiatočného prístupu a laterálneho pohybu.
- Aktualizujete politiky a nástroje správy identít a prístupu v súlade s prístupom Zero Trust. To znamená predpokladať narušenie, neustále overovanie používateľov, politiky minimálnych oprávnení a viacfaktorovú autentizáciu.
- Zabezpečíte, aby bol na všetkých zariadeniach, od koncových bodov, serverov až po notebooky vzdialených pracovníkov, nainštalovaný bezpečnostný softvér od dôveryhodného dodávateľa.
- Budete zálohovať citlivé súbory v súlade s osvedčenými postupmi v odvetví, aby bolo možné súbory obnoviť aj v prípade, že sú šifrované, čím znížite vplyv svojho protivníka.
- Vypracujete plán reakcie na incidenty v spolupráci s kľúčovými zainteresovanými stranami z celého podniku. Tento plán by sa mal pravidelne testovať, aby sa zabezpečilo, že je vhodný na urýchlenie izolácie po narušení.
- Aktualizujete školenia kybernetickej bezpečnosti tak, aby zahŕňali simulačné cvičenia s najnovšími phishingovými taktikami, vrátane hlasového phishingu (vishing). Vaši zamestnanci sú vaším najväčším bohatstvom, ale aj najslabším článkom.
Dôležité je, aby ste správne vyhodnotili svoje aktíva, zdroje a riziká, vrátane tých, ktoré vyplývajú z dodávateľských reťazcov. Vytvorte si zoznam všetkých open-source a proprietárnych nástrojov, ktoré vaša organizácia používa. Vo všeobecnejšom zmysle je viditeľnosť aktív základom každého programu riadenia rizík. Inými slovami, útočníci sú známi tým, že sa spoliehajú na slepé miesta. Ak neviete, že systém existuje alebo aké údaje obsahuje, nemôžete ho chrániť.
Ako ukázal prieskum ESET SMB Digital Security Sentiment, mnoho malých a stredných firiem si čoraz viac uvedomuje hrozbu ransomvéru a iné riziká, ktorým čelí ich podnikanie, ale nemajú dôveru vo svoje interné odborné znalosti v oblasti kybernetickej bezpečnosti. Je preto logické, že mnohé z nich, najmä tie s menšími zdrojmi, sa čoraz viac obracajú na služby riadenej detekcie a reakcie (MDR) a zverujú monitorovanie odbornému partnerovi, ktorý potom 24 hodín denne, 7 dní v týždni a 365 dní v roku vyhľadáva, detekuje a reaguje na hrozby, čím znižuje prevádzkovú záťaž vášho interného tímu a zároveň zabezpečuje, že akákoľvek aktivita ransomvéru je rýchlo identifikovaná, zastavená a eliminovaná. Ransomvéroví útočníci musia byť zastavení skôr, ako získajú šancu spôsobiť akúkoľvek škodu.
