Ransomware se z malého odvětví poháněného amatérskými hackery rozrostl v prosperující podzemní ekonomiku. Stal se dostupnějším než kdy dříve, a to díky vysokorychlostnímu internetu po celém světě a specializovaným aktérům hackerského útoku, kteří pronajímají ransomware jako službu (RaaS), aby profitovali z vydírání.
Dnešní útoky ransomwaru jsou stále sofistikovanější a vysoce koordinované kampaně, které zločinci pečlivě navrhují, aby využili jakékoli mezery v přehledu nebo ochraně. Podle zprávy společnosti Verizon o vyšetřování úniků dat (DBIR) z roku 2025 se počet incidentů ransomwaru meziročně zvýšil o 37%. DBIR uvádí, že největší dopad mají malé a střední podniky.
„Ransomware také neúměrně postihuje malé organizace. Ve větších organizacích je ransomware součástí 39 % úniků, zatímco malé a střední podniky zaznamenaly úniky související s ransomwarem celkově v 88 % případů."
Je zřejmé, že útočníci i nadále překonávají obranu mnoha organizací.
Ekosystém ransomwaru
Moderní ekonomika ransomwaru se skládá ze specializovaných skupin, včetně provozovatelů, přidružených společností, vývojářů, makléřů a poskytovatelů služeb. Mnohé z nich fungují jako legitimní firmy, což ztěžuje jejich obranu.
Operátoři
Provozovatelé jsou středem ransomwarové ekonomiky. Koordinují jednotlivé části útoků, aby maximalizovali dopad a zisk, a často provozují své služby jako sofistikované podniky. Jsou zodpovědní za vývoj a údržbu nových nástrojů a kmenů ransomwaru a za jejich balení do sad, které dále propagují a prodávají svým partnerům.
Kromě vytváření nástrojů provozovatelé také provozují kampaně, řídí jednání a rozhodují, zda data prodat, zveřejnit nebo uchovat za účelem výkupného.
Přidružené společnosti
Za distribuci ransomwaru jsou zodpovědné přidružené společnosti. V některých případech je jejich úlohou získat přístup k cílovým sítím a vybudovat si opěrné body a poté se v síti pohybovat laterálně, aby identifikovali cenná data pro vydírání. V jiných případech využívají dříve vybudované opěrné body v organizaci k provedení svých útoků.
Pokud útok uspěje a oběť zaplatí výkupné, provozovatel a partner si obvykle rozdělí zisk. Toto ujednání motivuje partnery k co nejefektivnějšímu a nejúčinnějšímu provádění útoků.
Další specializované role ransomwaru
Mezi další specializované role působící v zákulisí a pomáhající ekonomice ransomwaru prosperovat patří:
Vývojáři
Vývojáři pečlivě sledují bezpečnostní nástroje, aby identifikovali slabiny, které by mohly zneužít budoucí verze.
Zprostředkovatelé počátečního přístupu (IAB)
IABy usnadňují přístup do firemních sítí prodejem odcizených přihlašovacích údajů a zadních vrátek. Kupujícím také poskytují průzkumné informace, jako je struktura sítě a uživatelská oprávnění.
Poskytovatelé služeb
Poskytovatelé služeb nabízejí řadu služeb, jako jsou VPN a hosting, které pomáhají kyberzločincům skrýt jejich transakce a komunikaci. Dodávají také phishingové a exploit kity a pomáhají s anonymní konverzí plateb výkupného na fiat měnu. Vývojáři vytvářejí a aktualizují kód ransomwaru a vytvářejí nové varianty určené k tomu, aby se vyhnuly odhalení.
Anatomie ransomwaru
Většina útoků ransomwaru se řídí předvídatelným vzorcem. Pochopení těchto vzorců vám může pomoci předvídat pohyby útočníků a efektivněji bránit vaši organizaci.
Počáteční přístup
Útočník začíná tím, že se dostane do vašeho prostředí. Mezi nejběžnější vstupní body patří:
- Phishing a kompromitace přihlašovacích údajů: Útočníci se vydávají za legitimní instituce ve snaze oklamat oběti a přimět je k odhalení svých přihlašovacích údajů. K realizaci těchto schémat často používají hovory, e-maily nebo textové zprávy.
- Slabé nebo odcizené přihlašovací údaje: Útočníci je obvykle získávají narušením bezpečnosti nebo útoky hrubou silou.
- Zneužití: V tomto případě útočníci zneužívají neopravené softwarové zranitelnosti ve vašem systému.
V některých případech mohou útočníci v jednom útoku použít více technik, aby zvýšili své šance na úspěch.
Postup útoku ransomwaru
Jakmile útočníci získají přístup k systému vaší organizace, pracují na rozšíření svého působení. Obvykle se pohybují po systému laterálně a hledají vysoce hodnotné cíle, které by mohli zneužít.
Útočníci se často pokoušejí eskalovat oprávnění, aby získali administrátorský přístup, a tak mohou deaktivovat vaše bezpečnostní mechanismy a získat větší kontrolu nad vašimi systémy. Také vyhodnotí bezpečnostní stav vaší organizace, aby identifikovali slabiny a zjistili způsoby, jak si přístup zachovat , a to i v případě, že je část jejich útoku odhalena nebo zablokována.
Vydírání a dopad
Jakmile útočníci získají kontrolu, přejdou k vydírání šifrováním citlivých dat a blokováním přístupu, dokud nezaplatíte výkupné . Mnoho moderních útočníků používá dvojité vydírání, kdy odcizí data a poté vyhrožují jejich zveřejněním nebo prodejem, pokud odmítnete zaplatit.
Takové útoky vážně narušují obchodní operace a mohou vést ke katastrofálním finančním a reputačním důsledkům, z nichž se jen těžko zotaví. Mohou také vystavit vaši organizaci regulačním sankcím a právním závazkům .
Klíčové výzvy pro obránce
Ekonomika ransomwaru se neustále mění, a to v důsledku nárůstu práce na dálku a rostoucího využívání umělé inteligence v kyberkriminalitě. Tyto změny představují jedinečné výzvy v oblasti ransomwaru pro středně velké organizace s omezenými IT zdroji.
Rozšiřující se útočná plocha
Vzestup hybridní práce zvýšil počet potenciálních vstupních bodů pro útočníky. Organizace nyní potřebují zabezpečit identity , zařízení internetu věcí, mobilní zařízení, cloudové aplikace a tradiční koncové body a servery. Nesprávná konfigurace nebo zapomenutí správné správy byť jen jednoho z těchto vstupních bodů představuje pro útočníky příležitost.
Běžné vstupní body
Navzdory rostoucí sofistikovanosti mnoha útoků zůstávají phishing a kompromitace přihlašovacích údajů mezi nejčastějšími vstupními body pro útočníky.
Phishing se spoléhá na lidské chyby, často kliknutím na škodlivý odkaz nebo otevřením podezřelé přílohy, což útočníkům umožňuje obejít tradiční obranu. Krádež přihlašovacích údajů útočníkům poskytuje přímý přístup k systémům, často prostřednictvím slabých hesel, odcizených přihlašovacích údajů prodávaných na dark webu nebo útoků hrubou silou.
Tyto vstupní body mohou být pro útočníky obzvláště efektivní, protože jsou často levné a umožňují jim volný pohyb v systému, aniž by okamžitě spouštěly poplach.
Pokročilé techniky
V moderní ekonomice ransomwaru mnoho útočníků používá pokročilé techniky a sofistikované nástroje, aby se vyhnuli odhalení. Růst RaaS vytvořil řadu nových výzev pro ransomware tím, že snížil bariéru vstupu a poskytl i méně kvalifikovaným útočníkům přístup k profesionálním sadám nástrojů pro spouštění složitých kampaní.
Zdá se také, že stále více skupin používá techniky LOTL (Living-off-the-Land), které zneužívají důvěryhodné systémové nástroje, jako je PowerShell nebo WMI. Analýza 700 000 incidentů provedená společností Bitdefender odhalila, že 84% vysoce závažných útoků zahrnovalo binární soubory LOTL. Provedli jsme také další analýzu prevalence LOTL v našich incidentech MDR, která tento trend potvrdila: 85 % incidentů se spoléhalo na techniky LOTL.
Prolínání škodlivé aktivity s legitimními procesy tímto způsobem výrazně ztěžuje tradičním obranným systémům identifikaci útočníků v akci.
Nově vznikající nástroje
Přestože většina útoků ransomwaru stále zahrnuje ruční operace s klávesnicí, vzestup umělé inteligence posiluje ekonomiku ransomwaru a zvyšuje počet útoků. Společnost Bitdefender Labs nedávno zveřejnila profil skupiny Funksec Ransomware, která byla ještě nedávno na úrovni script kiddie. Skupina zveřejňovala příspěvky na fórech dark webu a žádala o nápady a pomoc, jak se zapojit do ekonomiky ransomwaru. Krátce nato vědci zjistili, že skupina využila umělou inteligenci k rychlému rozšíření svých znalostí a metod a brzy si vyžádala oběti ransomwaru v několika zemích.
Pochopení moderní ekonomiky ransomwaru a jejích výzev
Moderní ekonomika ransomwaru vzkvétá a nevykazuje žádné známky zpomalení. Zatímco stále sofistikovanější technologie a vzestup umělé inteligence v kyberkriminalitě ztěžují většině organizací obranu proti útokům, některá regulovaná odvětví si vedou lépe díky investicím do kybernetické bezpečnosti.
Více informací o tom, jak mohou štíhlé IT týmy překonat problémy s ransomwarem a dosáhnout ochrany na podnikové úrovni, naleznete v Průvodci řešením ochrany před ransomwarem, nebo nás rovnou kontaktujte.
Zdroj: Bitdefender
