Ransomware

Šablona:Infobox - malware

Ransomware (složenina anglických slov ransom, česky výkupné, a software) je typ škodlivého softwaru (malware), který oběti znemožňuje přístup k jejím souborům nebo celému systému. Útočníci za obnovení přístupu požadují výkupné, obvykle v kryptoměnách. Tento typ útoku může způsobit významné finanční, provozní i reputační škody jak jednotlivcům, tak velkým organizacím.

Ačkoliv se ransomware stal masivní hrozbou až v 21. století, jeho kořeny sahají až do roku 1989.

• 1989: AIDS Trojan (PC Cyborg)

První zaznamenaný ransomware vytvořil harvardský evoluční biolog Dr. Joseph L. Popp. Rozeslal 20 000 disket účastníkům konference Světové zdravotnické organizace o AIDS. Software na disketách s názvem "AIDS Information - Introductory Diskettes" po 90 spuštěních počítače zašifroval názvy souborů na disku C: a zobrazil zprávu požadující zaplacení 189 dolarů na poštovní schránku v Panamě. Použitá symetrická kryptografie byla slabá a brzy byly k dispozici nástroje na odstranění malwaru.

• 2000–2010: Vzestup s internetem

S masovým rozšířením internetu se objevily sofistikovanější varianty. Malware jako GPCode a Archievus na začátku tisíciletí začal využívat silnější asymetrické RSA šifrování, což výrazně zkomplikovalo obnovu dat bez zaplacení.

• Po roce 2010: Éra kryptoměn a RaaS

Rozmach kryptoměn, zejména Bitcoinu, poskytl útočníkům způsob, jak anonymně přijímat platby. Vznikly nechvalně známé varianty jako CryptoLocker (2013), který masivně popularizoval model šifrování souborů a požadování výkupného v bitcoinech. V roce 2017 globální epidemie WannaCry a NotPetya ukázaly ničivý potenciál ransomwaru, když napadly statisíce počítačů po celém světě, včetně nemocnic, bank a vládních institucí. V této době se také zrodil model Ransomware-as-a-Service (RaaS), kde vývojáři pronajímají svůj malware dalším kyberzločincům.

• Současnost (2024–2025)

Útoky jsou stále cílenější a sofistikovanější. Skupiny jako RansomHub, Fog a Lynx se v roce 2024 staly dominantními hráči. Útočníci se zaměřují na kritickou infrastrukturu, zdravotnictví a vzdělávací instituce. Globální počet ransomwarových útoků v roce 2024 vzrostl o 11 % a počet aktivních skupin se zvýšil o 40 %. Průměrná výše výkupného v první polovině roku 2024 přesáhla 5,2 milionu dolarů.

Ransomwarový útok probíhá typicky v několika fázích:

1. Infekce (průnik do systému): Útočníci získají přístup do zařízení nebo sítě. Nejčastějšími vektory jsou:
2. **Phishing:** Rozesílání podvodných e-mailů s infikovanými přílohami (např. Word dokumenty, PDF) nebo odkazy na škodlivé weby.
3. **Zneužití zranitelností:** Využití bezpečnostních chyb v neaktualizovaném operačním systému nebo softwaru (např. v prohlížečích nebo kancelářských balících).
4. **Protokol vzdálené plochy (RDP):** Útoky na špatně zabezpečené přístupy pro vzdálenou správu.
5. **Infikovaná externí zařízení:** Připojení nakaženého USB flash disku.
6. Šifrování: Po úspěšném průniku malware začne systematicky šifrovat soubory na pevných discích a připojených síťových úložištích. Používá silné šifrovací algoritmy, které znemožňují přístup k datům bez dešifrovacího klíče.
7. Požadavek na výkupné: Po dokončení šifrování se na obrazovce oběti zobrazí zpráva (tzv. ransom note). Tato zpráva informuje o útoku, stanovuje výši výkupného (obvykle v Bitcoinu nebo Monero), platební instrukce a často i časový limit, po jehož uplynutí se výkupné zvýší nebo budou data trvale zničena.
8. Vydírání a platba: Útočníci mohou hrozit i zveřejněním ukradených citlivých dat, pokud výkupné nebude zaplaceno (tzv. dvojité vydírání, double extortion).

Ransomware se dělí do několika hlavních kategorií podle způsobu, jakým napadá systém.

• Kryptografický ransomware (Crypto ransomware): Nejběžnější a nejničivější typ. Šifruje soubory na disku, ale systém jako takový může zůstat funkční. Příklady jsou WannaCry, CryptoLocker, Ryuk, LockBit.
• Blokující ransomware (Locker ransomware): Tento typ nešifruje soubory, ale zcela zablokuje přístup k zařízení (uzamkne obrazovku). Na obrazovce se zobrazí pouze zpráva s požadavkem na výkupné. Příkladem je WinLocker nebo Lockerpin na mobilních zařízeních.
• Scareware: Falešný software, který se tváří jako antivirový program nebo nástroj na čištění systému. Zobrazuje falešná varování o nalezených virech a požaduje platbu za jejich "odstranění".
• Doxware (Leakware): Hrozí zveřejněním citlivých dat (fotografií, dokumentů, e-mailů) ukradených z počítače oběti, pokud nebude zaplaceno výkupné.
• Ransomware pro mobilní zařízení: Cílí na chytré telefony a tablety, nejčastěji se systémem Android. Může zamykat obrazovku zařízení nebo šifrovat data na SD kartě.

• AIDS Trojan (1989): První známý ransomware šířený na disketách.
• CryptoLocker (2013): Zpopularizoval použití silné kryptografie a plateb v Bitcoinu.
• WannaCry (2017): Globální útok, který zneužil zranitelnosti EternalBlue v systémech Windows. Zasáhl statisíce počítačů ve více než 150 zemích, včetně nemocnic britské NHS.
• NotPetya (2017): Původně maskovaný jako ransomware, jeho hlavním cílem bylo spíše ničení dat (wiper) než vydírání. Způsobil obrovské škody, zejména na Ukrajině.
• Colonial Pipeline (2021): Útok skupiny DarkSide na největšího provozovatele ropovodů v USA, který vedl k dočasnému zastavení dodávek paliva na východním pobřeží.
• Nemocnice Bohunice (2020): Kyberútok ochromil provoz Fakultní nemocnice v Brně uprostřed pandemie covidu-19.
• Útoky v roce 2025: V roce 2025 pokračovaly útoky na kritické sektory. Mezi významné cíle patřily zdravotnická zařízení jako DaVita a nemocnice v Ohiu, které čelily narušení provozu a úniku dat pacientů.

Ochrana před ransomwarem je kombinací technologických opatření a obezřetnosti uživatelů.

• Pravidelné zálohování: Nejdůležitější obrana. Zálohy by měly být prováděny pravidelně a alespoň jedna kopie by měla být uložena offline nebo na odděleném místě (pravidlo 3-2-1: tři kopie, na dvou různých médiích, jedna mimo pracoviště).
• Aktualizace softwaru: Udržování operačního systému a všech aplikací v aktuálním stavu zabraňuje zneužití známých zranitelností.
• Kvalitní antivirový software: Používání renomovaného bezpečnostního softwaru s ochranou proti ransomwaru.
• Obezřetnost u e-mailů: Nikdy neotevírat přílohy a neklikat na odkazy v podezřelých nebo neočekávaných e-mailech.
• Vícefaktorové ověřování (MFA): Zvyšuje bezpečnost účtů a ztěžuje útočníkům přístup.
• Segmentace sítě: Rozdělení sítě na menší části může zabránit šíření nákazy po celé organizaci.
• Školení zaměstnanců: Pravidelné vzdělávání uživatelů o hrozbách sociálního inženýrství a phishingu.

V případě infekce se obecně nedoporučuje platit výkupné. Neexistuje žádná záruka, že útočníci dešifrovací klíč skutečně poskytnou, a platba financuje další kriminální aktivity.

Představte si ransomware jako digitálního únosce. Zlý program se vkrade do vašeho počítače, najde všechny vaše cenné věci – fotky z dovolené, důležité pracovní dokumenty, videa – a zamkne je do nerozbitného trezoru. Vy se k nim nemůžete dostat.

Na obrazovce se pak objeví vzkaz od únosce: "Pokud chceš své věci zpátky, musíš mi zaplatit výkupné." Nechce ale peníze v hotovosti, chce digitální měnu, jako je Bitcoin, protože je těžké ji vystopovat.

Nejlepší ochranou je mít "kouzelnou kopii" všech vašich věcí schovanou na jiném místě (to je záloha). Když pak únosce zamkne vaše originály, vy jen mávnete rukou, počítač vyčistíte a ze své kouzelné kopie si vše nahrajete zpět.

Ekonomické škody způsobené ransomwarem jsou obrovské a neustále rostou. Nezahrnují pouze zaplacené výkupné, ale také náklady na obnovu systémů, ztrátu příjmů v důsledku přerušení provozu a poškození reputace.

• V roce 2024 vzrostlo průměrné požadované výkupné pětinásobně oproti roku 2023.
• Celkové škody způsobené ransomwarem by mohly do roku 2031 přesáhnout 265 miliard dolarů.
• Téměř 90 % organizací bylo v roce 2024 cílem ransomwarového útoku.
• Průměrné náklady na zotavení z útoku činily v sektoru finančních služeb v roce 2021 přibližně 2,1 milionu dolarů.
• Průměrná doba odstávky po útoku je 24 dní.

Co je to ransomware? - O2 CyberNews Co je ransomware a jak se mu bránit? - ESET Co je ransomware? - Microsoft Security Ransomware: Jak funguje a co dělat, abyste mu předešli - MasterDC Ransomware - Wikipedia Vše, co potřebujete vědět o ransomwaru - Avast Ransomware jako kybernetická hrozba – útoky a typy - KYBEZ What Is Ransomware-as-a-Service (RaaS)? - IBM AIDS Trojan | PC Cyborg | Original Ransomware - KnowBe4 Jak se bránit útoku ransomwarem - NÚKIB Historie a vývoj ransomwaru: všechno to začalo s AIDS - Lupa.cz