Kas ir ransomware — izspiedējprogrammatūra?

Kā darbojas ransomware?

Ransomware uzbrukums parasti notiek vairākos posmos. Sākotnējā piekļuve (initial access) visbiežāk tiek iegūta caur pikšķerēšanas e-pastu ar ļaunprātīgu pielikumu vai saiti, vai caur neaizsargātu attālās piekļuves pakalpojumu (RDP). Uzbrucēji var arī izmantot neaizlāpītas ievainojamības programmatūrā vai iegādāties nozagtus piekļuves datus tumšajā tīklā.

Pēc sākotnējās piekļuves iegūšanas uzbrucēji bieži pavada dienas vai pat nedēļas tīklā, izpētot infrastruktūru, paaugstinot privilēģijas un izdzēšot rezerves kopijas. Šo posmu sauc par laterālo kustību (lateral movement). Mērķis ir maksimizēt kaitējumu — šifrēt pēc iespējas vairāk sistēmu vienlaicīgi.

Kad viss ir sagatavots, tiek palaists šifrēšanas process — faili tiek apstrādāti ar spēcīgiem kriptogrāfijas algoritmiem, padarot tos nelietojamus. Upuris saņem paziņojumu ar izpirkuma prasībām un instrukcijām, kā veikt maksājumu. Mūsdienu ransomware grupas izmanto dubulto izspiešanu — ja upuris nemaksā par atšifrēšanu, viņi draud publiskot nozagtos datus.

Galvenie ransomware izplatīšanās ceļi

Pikšķerēšanas e-pasti ir galvenais ransomware izplatīšanās kanāls — aptuveni 70% ransomware uzbrukumu sākas ar ļaunprātīgu e-pastu. Pielikumi ar iebūvētiem makro (Word, Excel dokumenti) vai tiešas saites uz lejupielādēm ir visbiežākie vektori.

Neaizsargāts attālā darbvirsma (RDP — Remote Desktop Protocol) ir otrais izplatītākais ceļš. Uzbrucēji skenē internetu, meklējot publiski pieejamus RDP portus, un izmanto brute-force uzbrukumus vai nozagtus piekļuves datus, lai pieslēgtos. COVID-19 pandēmija ievērojami palielināja RDP lietojumu, un daudzi uzņēmumi joprojām nav pietiekami aizsargājuši šos piekļuves punktus.

Programmatūras ievainojamības arī tiek aktīvi izmantotas — īpaši neaizlāpītas VPN ierīces, e-pasta serveri un tīmekļa lietojumprogrammas. Piegādes ķēdes uzbrukumi ir īpaši bīstami — inficējot populāru programmatūras atjauninājumu, uzbrucēji var vienlaicīgi skart tūkstošiem organizāciju.

Īpaši jāatzīmē Ransomware-as-a-Service (RaaS) modelis — noziedzīgās grupas piedāvā savu ransomware kā pakalpojumu, ļaujot arī tehniski mazāk prasmīgiem noziedzniekiem veikt uzbrukumus. Tas nozīmē, ka draudu apjoms turpinās augt.

Aizsardzības stratēģija pret ransomware

Efektīva aizsardzība pret ransomware prasa daudzlīmeņu pieeju. Rezerves kopiju stratēģija ir pamats — ievērojiet 3-2-1 principu: 3 kopijas, 2 dažādi datu nesēji, 1 kopija ārpus tīkla (offline/offsite). Kritisks ir tas, ka vismaz viena kopija ir pilnībā atdalīta no tīkla, jo ransomware aktīvi meklē un šifrē tīkla pieejamās rezerves kopijas.

Tīkla segmentācija ierobežo uzbrucēja spēju pārvietoties tīklā — pat ja viens segments tiek kompromitēts, pārējie paliek aizsargāti. Minimālo privilēģiju princips (least privilege) nodrošina, ka lietotājiem un servisiem ir tikai tas piekļuves līmenis, kas nepieciešams darba veikšanai.

Programmatūras atjaunināšana un ielāpošana (patching) ir kritiska — lielākā daļa ransomware izmanto zināmas ievainojamības, kam ražotāji jau ir izlaiduši ielāpus. Regulāra un sistēmātiska ielāpošanas programma būtiski samazina uzbrukuma virsmu.

EDR (Endpoint Detection and Response) risinājumi spēj identificēt un apturēt ransomware agrīnā stadijā, pirms tiek uzsākta masveida šifrēšana. SOC 24/7 uzraudzība nodrošina, ka draudu pazīmes tiek pamanītas arī nakts laikā un brīvdienās.

Ko darīt, ja uzņēmums ir inficēts ar ransomware?

Ja ransomware ir aktivizēts, ātrums ir kritisks. Nekavējoties izolējiet inficētās sistēmas no tīkla — atvienojiet tīkla kabeļus, atslēdziet Wi-Fi. Mērķis ir apturēt šifrēšanas izplatīšanos uz citām ierīcēm. Neizslēdziet datorus, jo atmiņā var būt informācija, kas noderēs izmeklēšanā.

Nemaksājiet izpirkuma maksu — nav garantijas, ka saņemsiet atšifrēšanas atslēgu, un maksājums finansē noziedzīgās grupas turpmākos uzbrukumus. Eiropas Savienības tiesībaizsardzības iestādes un ENISA konsekventi iesaka nemaksāt.

Sazinieties ar profesionālu incidentu reaģēšanas komandu — viņi palīdzēs identificēt ransomware variantu (daži ir atšifrējami bez maksas), ierobežot kaitējumu un atjaunot sistēmas no rezerves kopijām. securIT piedāvā incidentu reaģēšanas pakalpojumus ar ātrās reaģēšanas iespēju.

Ziņojiet par incidentu CERT.LV un, ja nepieciešams, Valsts policijai. Dokumentējiet visu — ekrānšāviņus, žurnālus, laika līniju. Šī informācija ir svarīga gan izmeklēšanai, gan apdrošināšanas prasībām.

Ransomware tendences 2026. gadā

Ransomware ainava nepārtraukti mainās. Dubultā un trīskāršā izspiešana (double/triple extortion) ir kļuvusi par normu — uzbrucēji ne tikai šifrē datus, bet arī draud tos publicēt un papildus uzbrūk upura klientiem vai partneriem. Šī pieeja palielina spiedienu maksāt pat tad, ja ir pieejamas rezerves kopijas.

Mākslīgā intelekta izmantošana uzbrukumos padara tos ātrākus un grūtāk atklājamus. AI palīdz uzbrucējiem izvairīties no drošības risinājumu atklāšanas un veidot pārliecinošākus pikšķerēšanas e-pastus, kas kalpo kā sākotnējais uzbrukuma vektors.

Kritiskās infrastruktūras uzbrukumi turpina augt — veselības aprūpe, enerģētika un transporta sektors ir īpaši iecienīti mērķi, jo to darbības pārtraukuma izmaksas ir ārkārtīgi augstas. NIS2 direktīva tieši reaģē uz šo tendenci, uzliekot stingrākas drošības prasības.

Latvijā sagaidāms, ka mazo un vidējo uzņēmumu uzbrukumi turpinās augt, jo tie ir vieglāk pieejami mērķi ar zemāku aizsardzības līmeni. Proaktīva pieeja — SOC uzraudzība, regulāras simulācijas un darbinieku apmācības — ir efektīvākais veids, kā samazināt risku.