Vloni bylo kyberzločinci veřejně vydíráno 16 českých společností

„V 1. čtvrtletí 2024 sice došlo k poklesu ransomwarových útoků, ale ve 2. a 3. čtvrtletí počet znovu rostl a ve 4. čtvrtletí bylo nahlášeno 1 827 incidentů, což je 33 % všech zveřejněných ransomwarových útoků za celý rok. Tento vývoj dokresluje posun v ransomwarovém ekosystému, který způsobují policejní operace, vzestup nových hráčů a rozvoj technologií a útočných technik,“ řekl Miloslav Lujka, country manager Czech Republic, Slovakia & Hungary v kyberbezpečnostní společnosti Check Point Software Technologies.

Pád starších skupin a vzestup nových predátorů

Orgány činné v trestním řízení agresivně zasahovaly během roku 2024 proti nejnebezpečnějším ransomwarovým skupinám. Například díky koordinované mezinárodní operaci Cronos se podařilo paralyzovat LockBit, jednu z nejznámějších RaaS (ransomware jako služba) skupin. Zabaveno bylo 34 serverů v několika zemích, zatčeny byly klíčové postavy gangu a zveřejněny byly interní informace a dešifrovací klíče, což účinně narušilo důvěru ve skupinu.

Podobný úder utrpěla i další významná skupina ALPHV (BlackCat), která se navzdory pokusům o obnovení činnosti potýkala s vnitřními spory a ztrátou partnerů. Na konci roku byly LockBit i ALPHV jen stínem své dřívější slávy, což znamenalo pokles dominance starších skupin. Ale LockBit oznámil plán na spuštění ransomwaru LockBit 4.0.

Vzestup roztříštěných a decentralizovaných skupin

„Problémy velkých centralizovaných skupin rychle využily menší, roztříštěné, ale v řadě případů výrazně agilnější skupiny. V roce 2024 se objevilo 46 nových ransomwarových skupin, čímž se celkový počet aktivních gangů zvýšil na 95, což je 40% nárůst oproti roku 2023. Decentralizovaný ransomwarový ekosystém je konkurenční prostředí plné inovací a snahy o provozní efektivitu,“ dodal Lujka.

Příkladem nové vlny je RansomHub, který v roce 2024 informoval o 531 úspěšných útocích. Pronajímá ransomware jako službu a partnerům nabízí dokonce 90 % z výkupného. Využívá uniklé kódy k vývoji vlastních ransomwarových variant, což snižuje jeho závislost na zavedených platformách a decentralizovaný provozní model dělá gang odolnější vůči potenciálním policejním operacím.

Od šifrování k vydírání ukradenými daty

Jedním z nejvýznamnějších trendů roku 2024 byl posun od ransomwarových útoků využívajících šifrování k vydírání ukradenými daty. Ransomwarové skupiny tradičně spoléhaly na šifrování dat obětí a požadovaly platbu za dešifrovací klíče. Ale organizace zlepšují zálohovací systémy, čímž se snižuje jejich závislost na dešifrování, takže došlo u tohoto typu útoků k poklesu placení výkupného na 32 % případů. V roce 2019 přitom zaplatilo 75 % napadených organizací. Naopak útoky zahrnující vydírání pomocí ukradených citlivých dat si udržely stabilní úroveň a zaplaceno bylo v 35 % případů. Navíc tyto útoky jsou méně náročné na zdroje a nabízí více možností zpeněžení, například prodej ukradených dat konkurenci nebo na darkwebovém tržišti.

Napadaná odvětví

Hlavním cílem zveřejněných vyděračských útoků jsou podnikatelské služby, celkem šlo o 1 302 incidentů. Také maloobchod je kvůli rozsáhlým databázím zákazníků a relativně slabším bezpečnostním opatřením atraktivním cílem. Trvale vysokému počtu útoků čelí i výrobní sektor a překvapením není ani značný počet obětí z finančnictví nebo zdravotnictví, které pracuje nejenom s citlivými daty pacientů, ale jakýkoli výpadek by mohl ohrozit lidské životy.

Nejčastěji byly pomocí ransomwaru vydírány organizace ve Spojených státech. V uplynulém roce bylo veřejně vydíráno 2 713 společností se sídlem v USA, což je více než polovina všech incidentů. Na druhé příčce se umístila Kanada, ve které bylo veřejně vydíráno 283 společností. V některých zemích vidíme řadu faktorů, které počty útoků ovlivňují. Například nárůst ransomwarových incidentů v Indii během 4. čtvrtletí můžeme přičíst modernizaci země, rychlému vzestupu technologií a s tím související nedostatečné připravenosti na hackerské útoky. Za celý rok 2024 je Indie na 10. příčce, ale v závěru roku byla 5. nejčastěji napadanou zemí.

V některých zemích naopak došlo v roce 2024 k mírnému zpomalení vyděračských útoků, například v Německu, Francii, Itálii a Spojeném království, což může souviset s posilováním ochrany a také s mezinárodní spolupráci v boji s kyberzločinem. Přesto tyto země i nadále čelí jednomu z největších rizik, co se týče ransomwarových útoků s veřejným vydíráním a patří do Top 10 nejohroženějších zemí.

České republice patří za rok 2024 společně s Dánskem dělená 29. a 30. příčka. V obou zemích bylo veřejně vydíráno 16 organizací. Jeden z útoků v ČR měla na svědomí skupina APT73 (Bashe), která se zaměřuje výhradně na odvětví podnikových služeb. Společnosti na Slovensku byly veřejně vydírané ve čtyřech případech. Za povšimnutí stojí i pozice Ruska, které v tomto ohledu patří k nejbezpečnějším zemím a veřejně byly vydírány pomocí ransomwaru jen tři ruské organizace, což může souviset s původem některých skupin. Zajímavé je i srovnání některých sousedních zemí. Ve srovnání s Českou republikou nepřekvapí vyšší počet incidentů (27) v Polsku. Ale propastný rozdíl je třeba mezi Finskem (jedna veřejně vydíraná organizace) a Švédskem (32 vydíraných společností). 

Ransomwarový ekosystém ukázal nebývalou schopnost přizpůsobovat se a vyvíjet. Došlo k vzestupu nových skupin, ke změně strategie a celkově k vytvoření dynamičtějšího a konkurenčnějšího prostředí. Policejní operace slavily řadu úspěchů a přispěly k pádu významných zločineckých organizací, ale celkový objem útoků přesto i nadále rostl. Kyberzločinci budou navíc stále častěji využívat umělou inteligenci a zranitelnosti nultého dne a zaměří se také ve větší míře na kritickou infrastrukturu, zejména energetické společnosti, výrobu a zdravotnictví.