Ransomvér: čo to je, príklady (WannaCry) a ako sa chrániť

Ransomvér je typ škodlivého softvéru, ktorý obmedzuje prístup k infikovanému počítačovému systému alebo k uloženým údajom (často pomocou techník šifrovania) a následne požaduje zaplatenie výkupného tvorcovi (tvorcom) škodlivého softvéru, aby sa obmedzenie odstránilo. Niektoré formy ransomvéru šifrujú súbory na pevnom disku systému (tzv. crypto-ransomvér). Iné môžu systém iba zablokovať a zobrazovať falošné správy s požiadavkou na zaplatenie (tzv. locker alebo scareware). Moderné varianty môžu okrem šifrovania aj odcudziť dáta a vydierať obete hrozbou ich zverejnenia.

Ako ransomvér funguje

Typický postup útoku býva takýto: útočníci získajú prístup do systému (cez phishingový e‑mail, zraniteľnosť v softvéri, otvorené RDP alebo cez malvertising), nasadia ransomvér, ktorý lokalizuje a šifruje dôležité súbory, a potom zobrazí správy s inštrukciami na zaplatenie výkupného (často v kryptomenách). Pokročilé kampane používajú taktiky ako lateralne šírenie v sieti, deaktivovanie záloh alebo ich šifrovanie, a často cielia na organizácie s vysokou hodnotou údajov.

Krátka história a príklady

Ransomvér sa stal prvýkrát populárnym v Rusku a postupne sa rozšíril na medzinárodnej úrovni. V roku 2013 spoločnosť McAfee zaznamenala prudký nárast vzoriek ransomvéru. Napríklad CryptoLocker, ransomvérový červ, ktorý sa objavil koncom roka 2013, podľa odhadov vyzbieral až 3 milióny amerických dolárov, kým ho údaje odhalili a úrady zasiahli.

V máji 2017 sa veľmi rozšíril ransomvér WannaCry, ktorý za štyri dni zasiahli viac než 200 000 počítačov v približne 150 krajinách. Útok zasiahlo množstvo veľkých organizácií vrátane Národnej zdravotnej služby Spojeného kráľovstva (NHS). Nemocnice stratili prístup k súborom, zrušili sa ambulancie a pacienti boli odmietnutí. NHS bola obzvlášť zraniteľná preto, že používala starší operačný systém Windows (verzia Windows XP), ktorý už spoločnosť Microsoft nepodporovala a preto nedostával bezpečnostné aktualizácie. Ostatné systémy boli zasiahnuté, lebo používatelia ešte nenainštalovali dostupné bezpečnostné záplaty. Hoci WannaCry nebol navrhnutý tak, aby trvalo poškodil súbory, spôsobil enormné prerušenia prevádzky a poukázal na zraniteľnosť systému proti ransomvéru.

Dnešné kampane zahŕňajú ďalšie známe rodiny ako NotPetya, Ryuk, Conti a mnoho ďalších. Tie často používajú model RaaS (ransomware-as-a-service), kde vývojári poskytujú nástroj iným kyberzločincom výmenou za podiel na zisku, a taktiku "double extortion" — najprv odcudzia citlivé dáta a potom ich šifrujú, čo zvyšuje tlak na obeť zaplatiť.

Prečo platenie nie je riešenie

Zaplateniu výkupného sa odborníci často odporúčajú vyhnúť. Dôvody:

• Neexistuje záruka, že útočníci obnovia dáta alebo odomknú systém.
• Platenie financuje ďalšiu kriminalitu a motivuje opakované útoky.
• Platba v kryptomenách je anonymná a sťažuje trestné stíhanie.

Pri veľkých útokoch je lepšie konzultovať s interným tímom IT, externými odborníkmi na incident response a s orgánmi činnými v trestnom konaní.

Prevencia — ako sa chrániť

Prevencia je najlepšia ochrana. Odporúčané opatrenia:

• Pravidelné zálohovanie: vytvárajte viacero záloh (on‑site, off‑site, offline) a pravidelne ich overujte. Zálohy by mali byť izolované (air‑gapped) alebo mať riešenia na imutábilitu (nemenné zálohy).
• Aktualizácie a záplaty: okamžite inštalujte bezpečnostné aktualizácie operačných systémov a aplikácií. Vypnite zastarané služby (napr. SMBv1) a nepodporované OS.
• Segmentácia siete: obmedzte pohyb útočníkov v sieti pomocou oddelenia kritických systémov a pravidiel firewalle.
• Silné heslá a MFA: používajte dlhé jedinečné heslá a viacfaktorovú autentifikáciu (MFA), najmä pre vzdialený prístup (RDP, VPN).
• Ochrana e‑mailu a školenia: nasadte filtrovanie e‑mailov, antiphishingové nástroje a pravidelné školenia zamestnancov o rozpoznaní podvodných správ.
• Antivírus a EDR: moderné nástroje na detekciu a reakciu (EDR) môžu odhaliť a izolovať škodlivú aktivitu skôr, než sa rozšíri.
• Princíp najmenších práv: dajte používateľom a službám len nevyhnutné práva, aby sa znížil dosah kompromitácie.
• Obmedzenie služieb na internete: blokujte nepotrebné porty a služby (napr. verejný RDP) alebo ich obmedzte cez VPN a prístupové brány.
• Plán reakcie na incident: mať pripravený plán obnovy, kontakty na externých forenzných a právnych odborníkov a postupy na obnovenie prevádzky.

Čo robiť, ak ste infikovaní

Ak sa domnievate, že ste obeťou ransomvéru, konajte rýchlo a postupne:

• Okamžite izolujte infikované zariadenia: odpojte ich od siete, Wi‑Fi a externých diskov.
• Neplaťte výkupné bez konzultácie: obráťte sa na interný bezpečnostný tím alebo externých odborníkov; informujte príslušné orgány (políciu alebo národné CSIRT).
• Zachovajte logy a dôkazy: neprepíňajte zariadenia zbytočne, ak je to možné; zaznamenajte všetky správy o výkupnom a sieťové indikátory kompromitácie.
• Obnovte zo záloh: ak máte čisté zálohy, prečistite alebo preinštalujte systémy a obnovte údaje.
• Preskúmajte príčinu a opravte zraniteľnosti: zistite, ako sa útočník dostal dovnútra, a uzavrite túto cestu (záplaty, zmena hesiel, MFA).

Ďalšie poznámky

Ransomvér je dynamická hrozba: útočníci neustále zdokonaľujú metódy, používajú sociálne inžinierstvo, zneužívanie zero‑day zraniteľností a podnikový výhľad na maximalizovanie škôd. Organizácie by mali pristupovať k bezpečnosti vrstvene (defense‑in‑depth) a pravidelne testovať svoje schopnosti reakcie na incidenty cez simulované cvičenia a penetračné testy.

Ak chcete získať konkrétne rady pre vašu organizáciu alebo potrebujete pomoc s riešením útoku, kontaktujte profesionálny incident response tím alebo príslušný národný bezpečnostný orgán.