Domů / Bezpečnost / Ransomware ochrana

Ochrana záloh před ransomware

Ransomware cíleně ničí zálohy, aby oběť přinutil zaplatit výkupné. Naučte se, jak vytvořit neprůstřelnou zálohovací strategii s immutable zálohami, air-gap izolací a strategií 3-2-1-1.

Ransomware a zálohy: Proč je to kritické

Moderní ransomware skupiny se dramaticky vyvinuly. Už dávno nejde jen o šifrování souborů na jednom počítači. Dnešní útoky jsou sofistikované, vícedenní operace, které systematicky:

  1. Proniknou do sítě (phishing, zranitelnosti, RDP brute-force)
  2. Tiše se rozšíří (lateral movement, eskalace oprávnění)
  3. Identifikují a zničí zálohy (smazání snapshotů, šifrování zálohovacích repozitářů, kompromitace zálohovacího serveru)
  4. Exfiltrují citlivá data (double extortion -- hrozba zveřejnění)
  5. Zašifrují produkční systémy a požadují výkupné

Zálohy jsou pro útočníky primární cíl. Pokud oběť nemůže obnovit data ze záloh, je mnohem pravděpodobnější, že zaplatí. Proto je ochrana záloh před ransomware stejně důležitá jako samotné zálohování.

Statistika Podle průzkumů je 93 % ransomware útoků cíleně zaměřeno na zálohovací repozitáře. V 75 % případů se útočníkům podaří zálohy alespoň částečně poškodit. Medián výkupného v roce 2024 dosáhl 2,73 milionu USD.

Poučení z reálných útoků

WannaCry (2017)

WannaCry se šířil přes zranitelnost EternalBlue v protokolu SMBv1. Zasáhl více než 200 000 počítačů ve 150 zemích. Britská NHS musela zrušit tisíce operací. Poučení:

  • Zálohy na síťových sdílených složkách (SMB) byly zašifrovány společně s produkčními daty
  • Organizace s offline zálohami obnovily provoz během hodin
  • Patching kritických zranitelností je nezbytný

NotPetya (2017)

NotPetya způsobil škody přes 10 miliard USD celosvětově. Maersk (logistická společnost) přišel o celou IT infrastrukturu -- 49 000 laptopů, 3 500 serverů. Jedinou kopii Active Directory, která přežila, měla pobočka v Ghaně, kde vypadl proud těsně před útokem. Poučení:

  • Destruktivní malware může být zamaskován jako ransomware
  • Zálohy Active Directory a infrastrukturních služeb jsou kritické
  • Offline kopie v nepředvídatelné lokalitě zachránila celou firmu

Moderní RaaS skupiny (2023-2025)

Skupiny jako LockBit, BlackCat/ALPHV, Cl0p a Akira operují jako Ransomware-as-a-Service. Před šifrováním systematicky:

  • Deaktivují Veeam, Commvault a další zálohovací služby
  • Mažou Volume Shadow Copies (vssadmin delete shadows /all)
  • Šifrují zálohovací repozitáře přístupné po síti
  • Kompromitují zálohovací servery a mažou zálohy zevnitř

Immutable zálohy (neměnné zálohy)

Immutable zálohy nelze po vytvoření smazat, upravit nebo zašifrovat po nastavenou dobu -- ani s administrátorskými oprávněními. Toto je nejúčinnější ochrana proti ransomware.

Implementace immutable záloh

AWS S3 Object Lock

# Povolení Object Lock na S3 bucketu (pouze při vytvoření)
aws s3api create-bucket --bucket zalohy-immutable \
  --object-lock-enabled-for-bucket

# Nastavení default retention politiky (compliance mode, 30 dní)
aws s3api put-object-lock-configuration --bucket zalohy-immutable \
  --object-lock-configuration '{
    "ObjectLockEnabled": "Enabled",
    "Rule": {
      "DefaultRetention": {
        "Mode": "COMPLIANCE",
        "Days": 30
      }
    }
  }'

Rozdíl mezi režimy:

  • Governance mode -- uživatelé s speciálním oprávněním mohou retention obejít. Vhodné pro testování.
  • Compliance mode -- nikdo nemůže smazat nebo zkrátit retention, ani root účet AWS. Vhodné pro produkci.

Veeam Hardened Linux Repository

Veeam od verze 11 podporuje Linux hardened repository, kde zálohy jsou uloženy jako immutable soubory pomocí chattr +i (Linux immutable flag):

  • Linux server s minimální instalací (žádné GUI, minimální služby)
  • Přístup pouze přes SSH s single-use credentials
  • Veeam nastaví immutable flag na zálohovací soubory
  • Ani root nemůže smazat soubory po nastavenou dobu

Backblaze B2 Object Lock

Backblaze B2 podporuje Object Lock kompatibilní s S3 API. V kombinaci s nízkou cenou ($0,006/GB/měsíc) je to dostupné řešení pro immutable zálohy i pro menší firmy.

Air-gapped úložiště

Air-gap znamená fyzické oddělení zálohovacího média od sítě. Úložiště, které není připojené k žádné síti, nemůže být kompromitováno vzdáleně.

Fyzický air-gap

  • Pásky LTO -- po zapsání se páska vyjme z mechaniky a uloží do trezoru. Přirozený air-gap.
  • Rotující externí disky -- dva nebo více disků, jeden je připojený, ostatní jsou v trezoru. Pravidelná rotace.
  • RDX kazety -- vyměnitelné diskové kazety, kombinují výhody disků a pásek.

Logický air-gap

Pokud fyzický air-gap není praktický, lze vytvořit logickou izolaci:

  • Zálohovací server v oddělené VLAN s firewallom, který povoluje pouze příchozí zálohovací provoz
  • Pull-based zálohy -- zálohovací server si sám stahuje data z produkčních serverů (opak push modelu). Produkční servery nemají přístup k zálohovacímu serveru.
  • Oddělené přihlašovací údaje -- zálohovací infrastruktura používá jiný AD doménový kontrolér nebo lokální účty
Pull vs. Push model V push modelu produkční server odesílá zálohy na zálohovací server -- pokud je produkční server kompromitován, útočník má přístup i k zálohovacímu serveru. V pull modelu si zálohovací server sám stahuje data -- produkční server nemá žádné oprávnění na zálohovacím serveru. Pull model je bezpečnější.

WORM úložiště

WORM (Write Once, Read Many) je koncept úložiště, kde jednou zapsaná data nelze přepsat ani smazat. Implementace:

  • WORM pásky LTO -- speciální WORM kazety, které hardware chrání proti přepsání
  • S3 Object Lock (viz výše) -- softwarový WORM v cloudu
  • NetApp SnapLock -- enterprise WORM na NetApp úložištích
  • Dell PowerProtect -- Retention Lock na Data Domain appliances
  • HPE StoreOnce -- Catalyst stores s WORM podporou

Strategie 3-2-1-1

Tradiční strategie 3-2-1 (3 kopie, 2 různá média, 1 offsite) je v éře ransomware nedostatečná. Rozšířená strategie 3-2-1-1 přidává jedno klíčové číslo:

  • 3 kopie dat (originál + 2 zálohy)
  • 2 různá média (disk + cloud, disk + páska)
  • 1 kopie offsite (cloud, vzdálený datový sál)
  • 1 kopie offline nebo immutable (air-gapped páska, immutable cloud, odpojený disk)

Poslední "1" je klíčová -- tato kopie je nedotknutelná pro ransomware, protože je buď fyzicky odpojená, nebo technicky nemazatelná.

Varianta 3-2-1-1-0 Některé organizace používají rozšíření 3-2-1-1-0, kde "0" znamená nulové chyby při ověření obnovy. Každá záloha musí být pravidelně testována a musí projít bez chyb.

Detekce ransomware před obnovou

Obnova záloh, které již obsahují ransomware, je zbytečná -- malware se znovu aktivuje. Proto je kritické detekovat přítomnost ransomware v zálohách před obnovou:

Metody detekce

  • Analýza entropie -- zašifrovaná data mají vysokou entropii (blíží se náhodnému šumu). Náhlý nárůst entropie v záloze indikuje šifrování.
  • Detekce vzorů -- kontrola přítomnosti známých ransomware artefaktů (ransom notes, specifické přípony souborů).
  • Porovnání s předchozími zálohami -- neobvykle velké množství změněných souborů může indikovat šifrování.
  • Sandbox testování -- obnova zálohy do izolovaného prostředí a spuštění antivirové kontroly.
  • YARA pravidla -- skenování zálohovacích souborů pomocí YARA signatur pro známé ransomware rodiny.

Nástroje pro detekci

  • Veeam SureBackup -- automaticky spustí VM ze zálohy v sandbox prostředí a provede testy (antivirus, síťová konektivita, aplikační testy)
  • Veeam Inline Entropy Analysis -- detekce anomálií přímo během zálohy
  • Cohesity DataHawk -- ML-based detekce ransomware v zálohách
  • Rubrik Radar -- analýza metadat záloh pro detekci hromadného šifrování

Incident response: Zálohy při ransomware útoku

Pokud dojde k ransomware útoku, správný postup práce se zálohami je kritický:

  1. Izolace a zastavení šíření

    Okamžitě odpojte napadené systémy od sítě. Odpojte zálohovací server. Zastavte zálohovací úlohy -- nechcete přepsat zdravé zálohy zašifrovanými daty.

  2. Identifikace rozsahu

    Zjistěte, kdy útok začal (patient zero). Identifikujte, které systémy jsou napadeny. Určete, které zálohy jsou bezpečné (vytvořené před útokem).

  3. Ověření integrity záloh

    V izolovaném prostředí ověřte, že zálohy nejsou poškozené a neobsahují malware. Použijte sandbox obnovu s antivirovým skenem.

  4. Obnova infrastruktury

    Začněte obnovou kritické infrastruktury (AD, DNS, DHCP). Obnovujte do čistého prostředí, ne na napadený hardware. Aplikujte bezpečnostní záplaty před připojením k síti.

  5. Obnova dat a aplikací

    Obnovte aplikace a data z ověřených záloh. Monitorujte obnovené systémy na přítomnost reziduálního malware.

  6. Post-incident analýza

    Analyzujte, jak k útoku došlo. Implementujte opatření proti opakování. Aktualizujte zálohovací strategii na základě poučení.

Neplaťte výkupné! Zaplacení výkupného negarantuje obnovu dat. Podle statistik 80 % organizací, které zaplatily, bylo znovu napadeno. Platba financuje další útoky. Investujte raději do kvalitní zálohovací infrastruktury.

Doporučené postupy

  1. Implementujte immutable zálohy -- S3 Object Lock, Veeam Hardened Repository, WORM pásky
  2. Udržujte air-gapped kopii -- alespoň jedna záloha musí být fyzicky nebo logicky izolovaná
  3. Oddělte zálohovací infrastrukturu -- jiné přihlašovací údaje, jiná síť, jiný AD
  4. Používejte pull-based zálohy -- zálohovací server si stahuje data, ne naopak
  5. Testujte obnovu pravidelně -- v izolovaném prostředí s antivirovým skenem
  6. Monitorujte anomálie -- neobvyklé změny ve velikosti záloh, entropii dat
  7. Uchovejte zálohy dostatečně dlouho -- ransomware může být dormantní týdny až měsíce
  8. Omezte přístupy -- princip nejmenších oprávnění, MFA na zálohovací konzole
  9. Patchujte zálohovací infrastrukturu -- zálohovací servery jsou primární cíl
  10. Mějte incident response plán -- dokumentovaný a nacvičený postup pro ransomware útok

Závěr

Ransomware je dnes největší hrozbou pro firemní data a zálohy jsou primárním cílem útočníků. Tradiční zálohovací strategie 3-2-1 již nestačí -- je nutné přidat vrstvu immutability nebo air-gapu (strategie 3-2-1-1). Kombinace immutable cloud úložiště, izolované zálohovací infrastruktury a pravidelného testování obnovy vytváří robustní ochranu, která ransomware útočníkům nedává šanci.

Investice do odolné zálohovací infrastruktury je zlomkem potenciálních nákladů na ransomware útok -- průměrná škoda včetně downtime, obnovy a reputačních ztrát dosahuje milionů korun.