Nepřímý ransomware: Jak se bránit nejrychleji rostoucí kyberhrozbě?
Podle kyberbezpečnostních reportů za uplynulý rok jsou vidět dva znepokojující trendy. Prvním je rostoucí zaměření hackerů na malé a střední firmy, a druhým je výrazný nárůst případů tzv. nepřímého ransomware.
Podle studie The 2024 InsurSec Report od společnosti At-Bay se počet případů tzv. nepřímého ransomwaru v roce 2023 zvýšil o výrazných 415 %. To značně přispělo k celkovému nárůstu počtu ransomware útoků o 64 %. Dobrou zprávou je, že na velkou většinu útoků je možné se připravit a snížit riziko újmy na minimum.
Rozdíl mezi přímým a nepřímým ransomwarem
Přímý ransomware je útok na organizaci, při kterém dochází k šifrování nebo exfiltraci dat s cílem držet organizaci jako „rukojmí“ a donutit ji zaplatit za odšifrování dat. Nepřímý ransomware naopak zasahuje organizaci prostřednictvím útoku na jejího dodavatele nebo partnera, což vede k poškození dané primární organizace, typicky v podobě narušení datové bezpečnosti nebo přerušení provozu.
Brána pro hackerské útoky
Nejčastějším vektorem, tedy způsobem využití zranitelnosti, pro ransomware útoky se loni staly nástroje pro vzdálený přístup. V roce 2023 tvořily útoky přes ně 58 % všech ransomware incidentů. Když se na to podíváme ještě do většího detailu, tak se útočníci přesunuli od útoků na protokol vzdálené plochy (RDP) k cílení právě na tzv. interně spravované VPN, které tvořily 63 % útoků spojených se vzdáleným přístupem.
A důležité je zdůraznit i slovní spojení „interně spravované“. Oproti organizacím, které využívají cloudově spravované VPN, nebo těm, které technologii VPN nepoužívají vůbec, byla pravděpodobnost napadení u firem s interně spravovanou VPN 4 až 11krát vyšší.
Prevence je základ
Naštěstí tu existuje poměrně účinná prevence. Podle studie IBM X-Force mohlo být 84 % ransomware útoků v roce 2023 minimalizováno efektivními a zároveň dostupnými bezpečnostními opatřeními. To zahrnuje například včasné zálohování dat, využívání pokročilých bezpečnostních nástrojů, aktualizování patchů a důkladnou správou přístupových práv.
Jenže jak se bránit rostoucímu nepřímému ransomware? Tedy tomu, který firmu poškodí skrze incident u partnera či dodavatele? I zde určitě pomůžou klasické poučky jako vícefaktorová autentizace, pravidelné zálohování nebo segmentace sítě a omezení přístupu do ní.
Klíčovým preventivním prostředkem je ale vytvoření a hlavně dodržování (až vymáhání) bezpečnostní politiky pro dodavatele a partnery. Pravidelné bezpečnostní audity a požadování důkazů o jejich zabezpečení, jako jsou certifikáty ISO 27001 nebo jiné standardy, mohou výrazně snížit riziko, že se do vaší organizace dostane nepřímý ransomware přes třetí stranu.
Na velikosti firmy nezáleží
Rozhodně to není starost jen velkých korporací nebo technologických firem. Jak ukázala i série tuzemských hackerských útoků z posledních let, ohrožené jsou banky, nemocnice nebo i tak na první pohled „offlinová“ záležitost, jako je těžba černého uhlí. A roli nehraje ani velikost firmy.
Útočníci si totiž stále častěji vybírají jako cíle svých útoků malé a střední podniky (SMEs). Podle zprávy Allianz Risk Barometer 2024 je důvodem častá absence základních bezpečnostních opatření v těchto organizacích, což je činí zranitelnějšími. Tyto firmy často postrádají zdroje a odborné znalosti k účinné obraně proti kybernetickým útokům. A právě to z nich dělá v očích útočníků atraktivní cíle.
Jak Vám může v boji s těmito a podobnými kybernetickými hrozbami pomoci RENOMIA?
Platforma RENOMIA Cyber Defense Center na bázi software as a service včas identifikuje slabá místa kybernetické infrastruktury a pomůže vám s nápravou. Doporučujeme také zavést program řízení kybernetických rizik a pravidelné školení zaměstnanců. Zbytková rizika je vhodné řešit speciálním pojištěním. Zhodnocení vašeho rizikového profilu a stavu bezpečnostních opatření pro potřeby kvalitní nabídky od pojišťovny získáte prostřednictvím služby RENOMIA Cyber Assist.
Autor článku: Ondřej Burián