Firmy prestali dôverovať hackerom, že im po zaplatení skutočne odblokujú systémy, a kybernetické podsvetie na to okamžite zareagovalo zmenou taktiky. Zatiaľ čo ešte v roku 2019 zaplatili výkupné tri štvrtiny napadnutých organizácií, vlani pristúpilo na podmienky vydieračov už len 32 percent obetí.
Vyplýva to z najnovšej analýzy bezpečnostnej spoločnosti Check Point. Útočníci preto menia stratégiu a namiesto šifrovania dát sa sústredia na ich krádež a následné zverejňovanie, pričom na zozname vydieraných subjektov figurujú aj slovenské spoločnosti.
Rok 2024 priniesol v kybernetickom priestore zásadný zlom. Éra, kedy stačilo „len“ zašifrovať firemné servery a čakať na platbu v bitcoinoch, sa pomaly končí. Dôvod je jednoduchý. Firmy sa naučili zálohovať.
Podľa bezpečnostných analytikov spoločnosti Check Point, na ktorých sa odvoláva správa zaslaná médiám, organizácie masívne investovali do zefektívnenia zálohovacích systémov. Ak má firma funkčnú zálohu, dešifrovací kľúč od hackera nepotrebuje a platiť odmieta. Tento trend potvrdzujú tvrdé dáta, podľa ktorých ochota platiť výpalné za odšifrovanie klesla za päť rokov o viac ako polovicu.
Nový biznis model
Kybernetické gangy sa však o zisky pripraviť nenechajú a prispôsobili sa trhu rýchlejšie ako mnohé korporácie. Ťažisko útokov sa presunulo k takzvanému „double extortion“ alebo jednoduchému vydieraniu zverejnením citlivých údajov.
Ak firma odmietne zaplatiť za odblokovanie počítačov, útočníci sa pohrozia, že interné dokumenty, zmluvy či dáta klientov predajú konkurencii alebo vyvesia na darkwebe. Tento psychologický nátlak funguje. Podľa zverejnených údajov si vydieranie hrozbou úniku dát udržalo stabilnú úspešnosť a viac ako tretina takto napadnutých obetí nakoniec zaplatila.
Analytici upozorňujú, že pre útočníkov je tento model dokonca ekonomicky výhodnejší. Nevyžaduje si zložitý vývoj šifrovacieho malvéru, stačí „len“ prelomiť obranu, stiahnuť dáta a poslať e-mail s hrozbou. Najvyššia zaznamenaná suma výpalného v minulom roku pochádzala práve od nemenovanej spoločnosti z rebríčka Fortune 500, čo naznačuje, že ciele sú vybrané veľmi precízne.
Slovenská realita
Mimo tohto globálneho trendu neostalo ani Slovensko, hoci oficiálne čísla ukazujú len špičku ľadovca. Check Point vo svojej správe identifikoval štyri prípady verejného vydierania slovenských subjektov prostredníctvom ransomvéru.
Pri porovnaní s našimi susedmi sa môže zdať toto číslo nízke. Česká republika priznala 16 takýchto incidentov a Poľsko až 27. Odborníci však dlhodobo upozorňujú, že nízke číslo nemusí znamenať menej útokov, ale skôr menšiu ochotu slovenských firiem incidenty priznávať, pokiaľ nie sú údaje verejne dostupné na stránkach útočníkov.
V roku 2024 bolo zaznamenaných 5 414 prípadov, kedy boli spoločnosti verejne vydierané. Ide o medziročný nárast o 11 percent. Najčastejším terčom sa stali podnikateľské služby, výroba a maloobchod, teda sektory, ktoré si nemôžu dovoliť výpadky prevádzky a zároveň disponujú cennými dátami zákazníkov.
Prečítajte si tiež
Rozdrobený nepriateľ
Zaujímavý pohľad ponúka analýza štruktúry samotných útočníkov. Veľké, centralizované hackerské skupiny, ktoré boli v minulosti ľahším terčom pre policajné zložky ako FBI či Europol, sa rozpadli na menšie a agilnejšie bunky.
Len v priebehu minulého roka vzniklo 46 nových ransomvérových skupín. Celkový počet aktívnych gangov stúpol na 95, čo predstavuje masívny, takmer 40-percentný nárast. Tieto menšie skupiny často fungujú na báze franšízy.
Ako príklad analytici uvádzajú skupinu RansomHub. Tá operuje modelom „Ransomware-as-a-Service“, teda ransomvér ako služba, kde partnerom, ktorí fyzicky vykonajú prienik do siete obete, ponúka až 90-percentný podiel na zisku z výkupného. Takáto vysoká provízia motivuje tisíce nezávislých hackerov, aby sa do útokov zapojili bez nutnosti vyvíjať vlastný softvér. Využívajú pritom uniknuté kódy iných skupín, čím sa stávajú technologicky nezávislými a ťažšie vystopovateľnými.
Ten, kto zaplatí, si nemusí pomôcť
Zatiaľ čo Spojené štáty s viac ako 2 700 incidentmi zostávajú hlavným bojiskom, Európa zaznamenala v kľúčových krajinách, ako sú Nemecko, Francúzsko či Spojené kráľovstvo, mierny pokles útokov. Pripisuje sa to lepšej medzinárodnej spolupráci polície a investíciám do kybernetickej obrany. Fínsko dokonca nahlásilo iba jediný prípad.
Tieto pozitívne signály sú však zradné. Riziko pretrváva a dôsledky útoku sú často fatálne aj pre firmy, ktoré sa rozhodnú zaplatiť. Bezpečnostná komunita dlhodobo varuje, že platba výkupného nie je zárukou ničoho.
Fakt, že firma pošle milióny v kryptomenách na anonymnú peňaženku, neznamená, že útočník ukradnuté dáta skutočne zmaže. Často sa stáva, že o pol roka príde tá istá alebo iná skupina s požiadavkou na ďalšiu platbu, pretože kriminálnici vedia, že obeť je ochotná platiť. Agresivita gangov rastie priamo úmerne s tým, ako sa zvyšuje počet ich aktívnych členov v digitálnom podsvetí.
