Detekovali jste ransomware ve své síti? Prvních 24 hodin rozhoduje o tom, jestli zůstanete týden mimo provoz, nebo měsíc — a kolik dat reálně ztratíte. Tady je strukturovaný postup, který používáme u našich klientů (a podle něj píšeme i jejich Incident Response Plány).
První minuty
Šifrování souborů s extension `.crypted`, výkupné dopis na ploše, nedostupné soubory napříč síťovými disky — to jsou klasické signály. Ale občas to vypadá jako ransomware a je to něco jiného (např. failed backup job). Před vyhlášením incidentu rychle ověřte u vlastníka systému, že nejde o očekávané chování.
Podle dopisu nebo souborové extension lze často určit konkrétní variantu (Lockbit, Akira, BlackCat, Phobos…). Pro některé existují volné dekryptory na nomoreransom.org. Stojí 5 minut a může vám ušetřit obnovu ze záloh.
Pokud ho máte. Svolejte krizový tým (IT lead, vedení, právník, komunikace, externí IR partner). Pokud IRP nemáte, najměte si externí IR tým hned — improvizovaný incident response končí špatně častěji, než byste čekali.
První hodiny
Vytáhněte ethernetový kabel, vypněte Wi-Fi, oddělte VLANy ve switchi. Nevypínejte je úplně — paměť RAM obsahuje forenzní stopy, klíče k dešifrování, indikátory úspěšné krádeže dat. Pokud lze, nechte stroje zapnuté ve stavu, ve kterém jsou.
Doménový admin, service accounts, lokální admin hesla, VPN přístupy, cloud konzole. Útočník už pravděpodobně eskaloval — pokud mu necháte přístup, brzy se vrátí. Tohle dělejte z čistého (ne-domain-joined) stroje, ideálně na předem připravených out-of-band kanálech.
Logy z firewallu, AD, EDR, e-mail gateway, VPN — všechno exportujte před tím, než cokoli mažete nebo přeinstalovává. Vytvořte forensic snapshot kritických systémů (memory dump + disk image). Ransomware výkupné dopis vyfotografujte a uložte. Bez důkazů nelze udělat ani forenziku, ani vymáhat náhradu z pojištění.
Pokud zálohovací server běží v doméně, útočník ho už mohl kompromitovat. Fyzicky/logicky ho oddělte od sítě dřív, než smaže nebo zašifruje zálohy. Online dostupné zálohy během ransomware útoku ztrácí 60 % organizací.
Prvních 24 hodin
Subjekty pod ZoKB / NIS2 musí hlásit kybernetické bezpečnostní incidenty — typicky do 24 hodin od detekce (early warning), detailní zpráva do 72 hodin. Hlášení přes nukib.gov.cz. Pokud nevíte, jestli povinnost máte, zeptejte se právníka — pokuty za neoznámení jdou do milionů.
Pokud útočník exfiltroval osobní údaje (a u dnešních double-extortion ransomware kampaní se to dá předpokládat), vzniká povinnost notifikovat Úřad pro ochranu osobních údajů do 72 hodin podle GDPR. Často i informovat samotné subjekty údajů.
Ransomware je trestný čin (vydírání, neoprávněný přístup k počítačovému systému). Trestní oznámení podejte i v případě, kdy nedoufáte v vyšetření — bez něj nelze využít většinu pojistných plnění a komplikuje to účetní odpis škody.
Pokud máte cyber pojištění, zavolejte hned. Většina pojištění pokrývá náklady na IR tým, právní zastoupení, recovery a někdy i ztrátu provozu. Nepřátelé pojišťovny: opožděné nahlášení, zničené důkazy, neproběhlá due diligence.
Zaměstnanci: jasně sdělte, co dělat (odpojit zařízení, neresetovat hesla z infikovaných strojů, kam hlásit problémy). Klienti / dodavatelé / regulátoři: koordinujte přes právníka — co řeknete v prvních dnech, určuje zprávu pro celý incident. PR krize z špatně zvládnuté komunikace stojí někdy víc než samotný útok.
NÚKIB i ENISA jednoznačně doporučují neplatit. Důvody: (1) Není zaručeno, že dostanete funkční dekryptor — odhady úspěšnosti se pohybují kolem 60 %. (2) Platba financuje další útoky a označí vás jako ochotnou oběť — 80 % platících firem je napadeno znovu do 12 měsíců. (3) Platba ransomware skupinám pod sankcemi (např. ruské skupiny) je v EU/USA potenciálně trestná.
Existují ale situace, kdy je placení reálná možnost (zničené zálohy + ohrožení životů + žádný jiný způsob obnovy). To rozhodnutí vždy konzultujte s právníkem, IR týmem a pojišťovnou — nikdy ne v prvních hodinách paniky.
Dny až týdny
Zjistěte, jak se útočník dostal dovnitř (entry vector), kde všude byl, kdy přesně. Bez toho při obnově restorujete i útočníka — který se za pár týdnů vrátí. IR tým s tím pomáhá; sami si tohle dělat nezkoušejte, pokud nemáte zkušenosti s incident forensics.
Restorovat na stejnou síť je risk. Postavte nový segment, novou doménu (nebo důkladně vyčištěnou), restorujte tam, ověřte čistotu pomocí EDR a malware skenu, teprve pak připojujte uživatele. Tohle prodlouží recovery o dny — ale je to jediný způsob, jak zajistit, že se útočník nevrátí.
Nejprve to, bez čeho firma neoperuje (e-mail, ERP, key business apps). Pak zbytek. Ne všechno musí být obnoveno první den — některé systémy lze obnovit za týdny bez dopadu. Pomůže předem připravený business impact assessment.
Doménová hesla, API tokeny, OAuth refresh tokeny, certifikáty, SSH klíče, cloud credentials. Útočník měl pravděpodobně přístup k řadě z nich — pokud je necháte platné, otevřete mu zadní vrátka. Tohle dělejte koordinovaně, aby uživatelé pochopili, proč se musí znovu přihlásit do všeho.
Týdny po obnově
Strukturovaný debrief s celým krizovým týmem: co fungovalo, co ne, kde jsme zbytečně ztratili čas, jaké informace nám chyběly. Cílem není hledat viníky — cílem je dostat nepříjemné lekce na papír, dokud jsou čerstvé.
Vstup ransomware do sítě je vždycky důsledek konkrétního selhání obrany — neaktualizovaný systém, kompromitovaný účet bez MFA, nahlášený phishing, který nikdo neprověřil. Najděte tu konkrétní díru a zavřete ji jako prioritu č. 1.
Plán, který jste reálně použili, má teď zjevné mezery. Přepište ho. A za 6 měsíců si udělejte tabletop cvičení — připomenete si postup a zjistíte, jestli změny dávají smysl pod tlakem.