Ransomware překonal v roce 2024 všechny dosavadní rekordy. Z dat ERM (Enterprise Risk Management) týmu kyberbezpečnostní společnosti Check Point Software Technologies vyplývá, že kyberzločinci s pomocí ransomwaru celosvětově napadli a veřejně vydírali 5 414 společností, což je nárůst o 11 % oproti roku 2023. Kyberzločinci se vypořádali nejen s tlakem policejních složek, ale ještě dál vylepšili své postupy a taktiky.
„V 1. čtvrtletí 2024 sice došlo k poklesu ransomwarových útoků, ale ve 2. a 3. čtvrtletí počet znovu rostl a ve 4. čtvrtletí bylo nahlášeno 1 827 incidentů, což je 33 % všech zveřejněných ransomwarových útoků za celý rok. Tento vývoj dokresluje posun v ransomwarovém ekosystému, který způsobují policejní operace, vzestup nových hráčů a rozvoj technologií a útočných technik,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies.
Pád starších skupin a vzestup nových predátorů
Orgány činné v trestním řízení agresivně zasahovaly během roku 2024 proti nejnebezpečnějším ransomwarovým skupinám. Například v rámci koordinované mezinárodní operace Cronos se podařilo paralyzovat LockBit, jednu z nejznámějších RaaS (ransomware jako služba) skupin. Zabaveno bylo 34 serverů v několika zemích, zatčeny byly klíčové postavy gangu a zveřejněny byly interní informace a dešifrovací klíče, což účinně narušilo důvěru ve skupinu.
Podobný úder utrpěla i další významná skupina ALPHV (BlackCat), která se navzdory pokusům o obnovení činnosti potýkala s vnitřními spory a ztrátou partnerů. Na konci roku byly LockBit i ALPHV jen stínem své dřívější slávy, což znamenalo pokles dominance starších skupin. Ale LockBit oznámil plán na spuštění ransomwaru LockBit 4.0.
Vzestup roztříštěných a decentralizovaných skupin
„Problémy velkých centralizovaných skupin rychle využily menší, roztříštěné, ale v řadě případů výrazně agilnější skupiny. V roce 2024 se objevilo 46 nových ransomwarových skupin, čímž se celkový počet aktivních gangů zvýšil na 95, což je 40% nárůst oproti roku 2023. Decentralizovaný ransomwarový ekosystém je konkurenční prostředí plné inovací a snahy o provozní efektivitu,“ dodává Miloslav Lujka.
Příkladem nové vlny je například RansomHub, který v roce 2024 informoval o 531 úspěšných útocích. Pronajímá ransomware jako službu a partnerům nabízí dokonce 90 % z výkupného. Využívá uniklé kódy k vývoji vlastních ransomwarových variant, což snižuje jeho závislost na zavedených platformách a decentralizovaný provozní model dělá gang odolnější vůči potenciálním policejním operacím.
Od šifrování k vydírání ukradenými daty
Jedním z nejvýznamnějších trendů roku 2024 byl posun od ransomwarových útoků využívajících šifrování k vydírání ukradenými daty. Ransomwarové skupiny tradičně spoléhaly na šifrování dat obětí a požadovaly platbu za dešifrovací klíče. Ale organizace zlepšují zálohovací systémy, čímž se snižuje jejich závislost na dešifrování, takže došlo u tohoto typu útoků k poklesu placení výkupného na 32 % případů. V roce 2019 přitom zaplatilo 75 % napadených organizací. Naopak útoky zahrnující vydírání pomocí ukradených citlivých dat si udržely stabilní úroveň a zaplaceno bylo v 35 % případů. Navíc tyto útoky jsou méně náročné na zdroje a nabízí více možností zpeněžení, například prodej ukradených dat konkurenci nebo na darkwebovém tržišti.
Napadaná odvětví
Hlavním cílem zveřejněných vyděračských útoků jsou podnikatelské služby, celkem se jednalo o 1 302 incidentů. Také maloobchod je kvůli rozsáhlým databázím zákazníků a relativně slabším bezpečnostním opatřením atraktivním cílem. Trvale vysokému počtu útoků čelí i výrobní sektor a překvapením není ani značný počet obětí z finančnictví nebo zdravotnictví, které pracuje nejenom s citlivými daty pacientů, ale jakýkoli výpadek by mohl ohrozit lidské životy.
Nejčastěji byly pomocí ransomwaru vydírány organizace ve Spojených státech. V uplynulém roce bylo veřejně vydíráno 2 713 společností se sídlem v USA, což je více než polovina všech incidentů. Na druhé příčce se umístila Kanada, ve které bylo veřejně vydíráno 283 společností. V některých zemích vidíme řadu faktorů, které počty útoků ovlivňují. Například nárůst ransomwarových incidentů v Indii během 4. čtvrtletí můžeme přičíst modernizaci země, rychlému vzestupu technologií a s tím související nedostatečné připravenosti na hackerské útoky. Za celý rok 2024 je Indie na 10. příčce, ale v závěru roku byla 5. nejčastěji napadanou zemí.
V některých zemích naopak došlo v roce 2024 k mírnému zpomalení vyděračských útoků, například v Německu, Francii, Itálii a Spojeném království, což může souviset s posilováním ochrany a také s mezinárodní spolupráci v boji s kyberzločinem. Přesto tyto země i nadále čelí jednomu z nevětších rizik, co se týče ransomwarových útoků s veřejným vydíráním a patří do Top 10 nejohroženějších zemí.
České republice patří za rok 2024 společně s Dánskem dělená 29. a 30. příčka. V obou zemích bylo veřejně vydíráno 16 organizací. Jeden z útoků v ČR měla na svědomí skupina APT73 (Bashe), která se zaměřuje výhradně na odvětví podnikových služeb. Společnosti na Slovensku byly veřejně vydírané ve 4 případech. Za povšimnutí stojí i pozice Ruska, které v tomto ohledu patří k nejbezpečnějším zemím a veřejně byly vydírány pomocí ransomwaru jen 3 ruské organizace, což může souviset s původem některých skupin. Zajímavé je i srovnání některých sousedních zemí. Ve srovnání s Českou republikou nepřekvapí vyšší počet incidentů (27) v Polsku. Ale propastný rozdíl je třeba mezi Finskem (1 veřejně vydíraná organizace) a Švédskem (32 vydíraných společností).
Ransomwarový ekosystém ukázal nebývalou schopnost přizpůsobovat se a vyvíjet. Došlo k vzestupu nových skupin, ke změně strategie a celkově k vytvoření dynamičtějšího a konkurenčnějšího prostředí. Policejní operace slavily řadu úspěchů a přispěly k pádu významných zločineckých organizací, ale celkový objem útoků přesto i nadále rostl.
