Check Point zaznamenal rekordní nárůst vyděračských útoků

„Prudký nárůst útoků ransomwaru může částečně souviset i s tendencemi některých skupin zveličovat své schopnosti a falšovat údaje o obětech. Tato taktika má zastrašit potenciální cíle a přimět je k zaplacení výkupného. Zároveň je potřeba zmínit, že organizace, které rychle zaplatí, obvykle nejsou uvedeny na ‚stránkách hanby‘, tedy hackerských stránkách sloužících k vydírání obětí. Údaje o úspěšných ransomwarových incidentech tak mohou být ve skutečnosti podhodnocené a reálný rozsah může být daleko větší,“ řekl Tomáš Růžička, SE team leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Nejaktivnějšími skupinami byly Cl0p, RansomHub a Babuk-Bjorka. Skupině Cl0p se dokonce podařilo zneužít platformu pro přenos souborů Cleo a ukradená data zneužít k hromadnému vydírání 300 obětí. Cl0p se svými oběťmi trochu odlišuje – 33 % obětí pochází z odvětví spotřebního zboží a služeb a 12 % z odvětví dopravy a logistiky, což je v obou případech více než dvojnásobek běžného průměru.

Babuk-Bjorka se prezentuje jako návrat ransomwarové skupiny Babuk, která ukončila činnost v roce 2021 poté, co byl zveřejněn její zdrojový kód. Ale neexistují žádné důkazy spojující Babuk-Bjorka s původní skupinou. Je pravděpodobnější, že noví kyberzločinci jen využívají známou značku k upoutání pozornosti médií a přilákání zájemců o spolupráci při prodeji ransomwaru jako služby. Analýza odhalila, že u mnoha obětí se jednalo o duplicitní incidenty, které byly už dříve připsány jiným ransomwarovým gangům. Navzdory tomu, že má skupina velmi dobrou pověst na hackerských fórech, řada zveřejněných obětí je pravděpodobně smyšlená nebo recyklovaná. Cílem je uměle si zlepšovat pověst a dosah na konkurenčním ransomwarovém trhu. 

„Stejně jako v předchozích letech byla přibližně polovina všech zveřejněných obětí ze Spojených států, které jsou primárním cílem finančně motivovaných útoků. Většina obětí celkově pochází z vyspělých zemí, kde kyberzločinci očekávají organizace s většími finančními zdroji a tedy i vyšší pravděpodobností zaplacení výkupného,“ upozornil Růžička. 

„Celkově největšímu počtu kyberútoků čelí sektor vzdělávání a vládní sektor. Ale u ransomwarových útoků je situace odlišná, protože vyděračské gangy se zaměřují na organizace, které budou mít dostatek financí na zaplacení výkupného a budou ochotné zaplatit. Tomu odpovídá i výběr cílů. Nejvíce obětí (13 %), které byly veřejně vydírané ransomwarovými skupinami, proto pochází z odvětví spotřebního zboží a služeb. Na druhém místě jsou společnosti zaměřené na podnikatelské služby a třetím nejvíce zasaženým sektorem je průmyslová výroba. Čtvrtým nejčastěji vydíraným odvětvím je zdravotnictví, které si nemůže dovolit výpadky služeb ani úniky velmi citlivých dat o pacientech,“ dodal Tomáš Růžička.

Nové skupiny a roztříštěné prostředí

Po panice kolem pádu skupin LockBit a ALPHV se v ekosystému ransomwaru objevila řada nových skupin, které se snaží využít uvolněného místa po sesazených titánech. Tomu pomáhají i úniky zdrojových kódů vyděračských hrozeb, AI zrychlující a usnadňující vývoj malwaru a rostoucí krize důvěry mezi partnery a provozovateli ransomwaru jako služby.

Krádeže dat a komplikované měření dopadu

Určení skutečného rozsahu ransomwarových útoků je stále obtížnější, protože mnoho skupin přechází od tradičního šifrování k čistému vydírání ukradenými daty. Je to reakce na klesající ochotu obětí platit za dešifrovací klíče, navíc spravovat šifrovací infrastrukturu je složité a nákladné. Oběti se tedy nově o incidentu často nedozví při samotném narušení bezpečnosti, ale až když útočníci zveřejní na vyděračských stránkách ukázku ukradených dat s žádostí o výkupné.

Někteří kyberzločinci ale začali incidenty falšovat. Často v takových případech jde o zveřejnění dříve uniklých nebo veřejně dostupných materiálů. Může to být snaha vydírat i organizace, které ve skutečnosti nově napadené nebyly, nebo je to snaha budovat pověst nebezpečného gangu.