Ransomware v Česku: Skupina vyhrožuje zbrojařům, paralyzovali web iRozhlasu

Jedním z nejviditelnějších trendů kybernetického zločinu posledních dní jsou skupiny, které tvoří takzvaný ransomware. Jde o speciální software umožňující počítačové útoky, které obětem v počítači zašifrují data. Jejich majitelé se pak ke svým datům a systémům nemohou dostat. Skupiny, které za útoky stojí, za jejich znovuzpřístupnění žádají výkupné. Napadeným společnostem tak ročně vzniknou škody v miliardách dolarů. Vlna těchto útoků se dala v posledních týdnech pozorovat i v Česku. Mezi oběťmi byly i české firmy Omnipol a Algotech. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varuje před zvýšeným rizikem ransomwarových útoků v následujících týdnech. Jeho slova potvrzuje i Úřad pro ochranu osobních údajů. 

Představte si obyčejné pondělní ráno. S hrnkem kávy v ruce sedíte u počítače a jste připraveni začít nový týden. Kliknete na ikonu e-mailové schránky a najednou se obrazovka zatemní. Místo očekávaných zpráv se na ní objeví velké vyskakovací okno. Červený nápis hlásí: Your computer is locked! (Váš počítač je uzamčen!) Následuje text plný ultimát, hrozeb a požadavků na zaplacení výkupného v kryptoměně. Pokoušíte se otevřít některé ze svých dokumentů, fotek nebo videí, ale vše je najednou zablokované a bez šifrovacího klíče se to odmítá spustit. Váš digitální svět byl odcizen a ukryt do neproniknutelného trezoru, ke kterému dostanete klíč pouze vy – pokud zaplatíte. V opačném případě hrozí, že budou zcizená data zveřejněna nebo smazána. Stali jste se obětí takzvaného ransomwaru, tedy softwaru, který vyžaduje výkupné pro odemčení a obnovení přístupu k vašim digitálním datům.

Ransomware

Ransomware je software, často nazývaný také vyděračský, který infikuje počítač nebo celou počítačovou síť a šifruje uložená data. Útočníci pak požadují zaplacení výkupného, obvykle v kryptoměně, jako je Bitcoin nebo Monero, výměnou za dešifrovací klíč, který přístup k datům obnoví. Takové útoky podnikají především organizované skupiny a využívají k nim celou škálu technik. Od chyb v systému po takzvané sociální inženýrství, jehož pomocí navádějí oběť, aby sama do počítače pomohla nainstalovat škodlivý software. Některé útoky jsou plně automatizované, jiné se zaměřují na konkrétní firmy. Pokud nezaplatíte, hrozí, že vaše data budou zveřejněna. Vlnu napadení těmito agresivními programy zažívá v posledních týdnech i Česká republika. Mezi nejznámější ransomwary patří Petya a NotPetya, které dokázaly paralyzovat i důležitou evropskou infrastrukturu.

V minulých týdnech zažila podobný scénář řada firem po celém světě, včetně české zbrojařské společnosti Omnipol, na kterou zřejmě zaútočil ransomware kyberzločinecké skupiny Play. Obětí počítačového útoku se koncem minulého týdne stal i zpravodajský web Českého rozhlasu. Podobným útokem si prošla dále britská BBC, kde pro změnu úřadovala skupina Cl0p. Právě tyto dvě skupiny kyberzločinců se momentálně v oblasti kyberbezpečnosti starají o horké léto. Podle veřejných vyjádření Českého rozhlasu stál i za útokem na infrastrukturu webu iRozhlas zřejmě ransomware, který napadl servery externího dodavatele služeb, firmu Algotech. Ostatně před novou vlnou útoků varoval minulý týden i NÚKIB.

Nárůst kybernetických incidentů zaznamenal i Úřad pro ochranu osobních údajů: „V posledních týdnech se hlášení týkala zejména ‚zero-day attack‘, nicméně obecně ohlášení spojených s ransomwarem přibývá,“ říká jeho mluvčí Milan Řepka. Právě tomuto úřadu by měly firmy hlásit závažné incidenty, při nichž bylo porušeno zabezpečení ochrany osobních dat. „Cílem Úřadu pro ochranu osobních údajů není trestat oběti útoků, pokud nezanedbaly své povinnosti, ale ty, kdo je neplní,“ vysvětluje Řepka s tím, že podle obecného nařízení o ochraně osobních údajů (GDPR) je možné uložit pokutu až do výše deseti milionů eur (což je v přepočtu 236 milionů korun) nebo až do 2 % celkového ročního obratu firmy celosvětově za předcházející finanční rok, a to podle toho, která hodnota je vyšší.

Zero Day Attack/útok

„Zero Day Attack/útok“ je druh kybernetického napadení, které využívá slabiny (takzvané zranitelnosti) v softwaru, o kterých výrobce ještě neví nebo pro ně zatím nemá připravenou opravu (neboli patch). Název „zero day“ proto, že výrobci softwaru mají nula dní na to, aby na danou zranitelnost reagovali, neboť o ní až do momentu útoku nevědí. Útočníci využívají těchto slabých míst k získání neoprávněného přístupu k systémům, ke krádeži dat, k šíření malwaru a k dalším záškodnickým aktivitám.

Jak ale říká bezpečnostní expert a vedoucí oddělení kybernetické bezpečnosti ve společnosti PwC Petr Špiřík, občas je těžké určit přesnou hranici mezi zanedbáním povinnosti ze strany managementu a situací, kdy útočník zkrátka překoná i slušně zabezpečenou organizaci. Na rozdíl od oběti totiž v případě útočníka jde o jeho primární a jediný byznys, zatímco drtivá většina jeho obětí má oblast svého podnikání úplně jinde a chce se věnovat hlavně jí.

„Útočníci mohou útočit jak na největší firmy, kde očekávají tučný zisk, tak i na firmy středně velké, u kterých mohou vsadit na přijatelný zisk a zároveň na to, že nebudou mít dostatek zdrojů na adekvátní obranu a budou tedy snadnou obětí,“ vysvětluje Špiřík a dodává, že dnešní kyberzločinecké skupiny si nesmíme romantizovat. „Nejsou to ani tupí zločinci, ani romantičtí géniové. Daleko častěji vypadají svou organizací jako běžné malé firmy. Někdo se stará o průzkum, jiný sleduje novinky s chybami v systému, další poskytuje klientský servis a jiný vyjednává o výkupném. V organizovaném zločinu je to normální byznysová struktura,“ popisuje, jak se kyberzločinecké skupiny postupně profesionalizovaly. Podle Špiříka je také pro činnosti dnešních skupin typická i obchodní spolupráce. „Jedna skupina kupříkladu získá jen základní přístup do systému, ale prodá ho další, která provede samotné zašifrování obsahu,“ dodává.

Kyberzločinecká skupina Play, která stojí za některými z právě probíhajících napadení, na svých stránkách zveřejňuje seznam napadených služeb s počítadlem, za jak dlouho zveřejní ukradená data, pokud nedostane včas zaplaceno. Před několika dny se mezi nimi objevil i český Omnipol. Společnost Omnipol se odmítla k dotazům investigace.cz vyjádřit, nicméně na základě toho, že kyberzločinci zveřejnili odkaz, kde je možné ukradená data stáhnout, se zdá, že společnost nakonec zaplatit odmítla.

Snímek obrazovky s informacemi, které byly dnes zveřejněny na internetu. Společnost Omnipol byla pravděpodobně před několika dny vyzvána, aby do dneška zaplatila výpalné. Z dnes zveřejněné informace to vypadá, že kyberzločincům nezaplatila a ti začali zveřejňovat ukradená data. Zdroj: investigace.cz

Podle analýzy letošních velkých úniků dat 2023 Data Breach Investigations Report od společnosti Verizon tvořily ransomware útoky 24 % všech bezpečnostních incidentů. Verizon odhaduje, že ve skutečnosti jen 10 % všech těchto útoků končí platbou zločincům. Nicméně pokud už k vyplacení dojde, výpalné se může pohybovat od stovek korun po miliony. Více než polovina obětí zaplatila za rok 2022 dvě stě tisíc korun a více.

Celkové zisky ransomwarových skupin se tak v porovnáním se zisky z obchodu s drogami nebo z obchodování s lidmi mohou zdát malé, přesto ale způsobují velké škody. Podle odhadů společnosti Cybersecurity Ventures způsobili kyberzločinci v roce 2021 celkové škody za více než 400 miliard korun. Celkové náklady totiž tvoří nejen výpalné, které napadená firma zaplatí, ale také následný „úklid“ – oběti musí přepracovat celý počítačový systém společnosti, obnovit data a znovu vybudovat důvěru svých klientů. Náklady navíc dále rostou: zatímco v roce 2015 činily přes sedm miliard korun, do dnešního dne vzrostly 57krát. Podle Cybersecurity Ventures tak mohou během dalších sedmi let zcela realně dosáhnout celkově až pěti bilionů korun.

Autor článku: Josef Šlerka
Autorka úvodní grafiky: Lenka Matoušková