Chtěli jste na COMIMPEX print ?www.c-print.cz

Ransomware – vyděrači nespí. Ubráníte se?

Jako Ransomware se označuje škodlivý program (malware), který brání uživatelům v přístupu k jejich systému nebo souborům a požaduje zaplacení výkupného. Zpravidla funguje na základě šifrování dat a do počítače se dostane nejčastěji phishingovým útokem. Podle statistik se jedná o jednu z nejrychleji rostoucích hrozeb pro jednotlivce, ale hlavně pro firmy.
I když se to zdá být neskutečné, první případy šifrovacích útoků ještě předcházely éru internetu (1989). Ransomware se šířil na disketách pod názvem „AIDS Trojan‟ nebo „PC Cyborg‟. Závažnost takového útoku byla proti dnešku minimální a šifrování bylo možné poměrně jednoduše prolomit.
Rozkvět nastal přirozeně s tím, kolik počítačů se připojovalo k celosvětové síti. Mezi lety 2006 a 2012 se rychle vylepšovalo šifrování a útočníci začali vyžadovat platby v kryptoměnách.

Žijeme ve zlaté éře ransomware

V dnešní době bohužel tato bezpečnostní hrozba zažívá žně. V roce 2013 byl vypuštěn CryptoLocker, který jako jeden z prvních využíval asymetrické šifrování a velice rychle infikoval stovky tisíc počítačů po celém světě. V roce 2017 se útoky WannaCry a NotPetya způsobily takové hospodářské škody, že se zapsaly do širšího povědomí celého světa, veřejnosti a vlád.

Ransomware se nyní také běžně šíří na mobilech.

Trendy útoků v poslední době

Stále propracovanější kybernetické útoky dnes cílí především na firmy, organizace a veřejné instituce, kde mohou způsobit maximální škody a vyžadovat astronomické výkupné.

Nástroje pro spuštění kyberútoků je čím dál jednodušší koupit (Ransomware-as-a-Service = RaaS) a tím se do této kriminální činnosti mohou zapojit i další lidé bez nutných programátorských znalostí.

Situaci se přizpůsobuje celý trh a tak vznikají možnosti pojištění proti Ransomware a agentury zabývající se vyjednáváním s útočníky.

Jak to celé nejčastěji začne

Představa hackerů sedících v kapuci ve tmavé místnosti je mylná. Nejčastěji se do maléru dostanete neopatrným otevřením přílohy. Existují ale i mnohem sofistikovanější metody útoku.

  • Phishingove maily: Nejběžnější forma útoku. Podsouvání mailů, které předstírají důvěryhodnou osobu nebo autoritu a nutí ke kliknutí na infikovaný odkaz.

  • Zranitelné softwarové aplikace: Útoky na zranitelná místa v aplikacích, operačních systémech nebo na serverech

  • Návštěva infikovaných webových stránek: Náhodné otevření infikovaných stránek

  • Metody sociálního inženýrství: Metody psychického nátlaku a předstírání identity, které nutí zaměstnance k provedení určitých činností, jako je instalace software nebo otevření nějaké stránky.

  • Remote Desktop Protokol (RDP) útoky: Prolomení ochrany v nedostatečně zabezpečené RDP konfiguraci, získání vzdáleného přístupu a instalace škodlivého software. 

Typy ransomware

I když je šifrování tak nějak spjaté s tématem ransomware, zdaleka se nejedná o jedinou hrozbu a nástroj vyděračů.

  • Locker Ransomware: Tento typ ransomware uzamkne uživatele z jejich zařízení, často blokuje přístup k operačnímu systému nebo základním funkcím počítače a žádá o zaplacení výkupného pro odblokování. Příklad: Reveton, Winlocker.

  • Crypto Ransomware: Tento běžnější typ ransomware zašifruje soubory na infikovaném systému a požaduje zaplacení výkupného za dešifrovací klíč, který obnoví soubory. Příklad: CryptoLocker, WannaCry a Petya zašifrovaly data na milionech počítačů po celém světě.

  • Scareware: snaží se vystrašit uživatele falešnými varováními o virech nebo jiných bezpečnostních hrozbách a nabízí řešení v podobě zaplacení za „bezpečnostní software, který je však sám o sobě škodlivý nebo zcela zbytečný.

  • Doxware (Leakware): Ransomware, který hrozí veřejným uvolněním citlivých dat nebo osobních informací, pokud není zaplaceno výkupné. Tato hrozba je zvlášť závažná pro firmy a veřejné osoby s citlivými daty. 

  • RaaS (Ransomware as a Service): Tento model umožňuje pronajmout si vyděračský software i lidem bez patřičných znalostí, kdy autor programu vybírá podíl z výkupného. Odstraněním bariéry potřebného vzdělání z této kriminální činnosti přestává být exkluzivní záležitost pro omezený počet lidí. Příklad: DarkSide a REvil jsou známé platformy poskytující RaaS.

  • Double Extortion Ransomware: Tento sofistikovanější typ ransomware kombinuje šifrování dat s hrozbou jejich úniku. Útočníci zašifrují data, ukradnou kopii a požadují výkupné za obě akce – nezveřejnění a dešifrování. Příklad: Maze ransomware byl jedním z prvních, který tuto taktiku použil.

Ochrana před útoky

Podobně jako u všech ostatních kybernetických hrozeb zaměřených na firmy nelze doufat, že zrovna vám se to vyhne. Bohužel se nedá předpokládat ani to, že by se pokaždé útoku podařilo zamezit, zejména kvůli lidské nepozornosti. Velice důležité je proto být předem připravený i na řešení následků.

Prevence

Důsledná ochrana se skládá z pečlivého a bezpečného zálohování dat, pravidelných aktualizací software, antivirového a antimalware programu, firewallu a síťových filtrů, segmentace sítě, multifaktorového ověřování a hlavně školení zaměstnanců.

Pokud jsou data dobře zálohovaná, odpadá část rizik s výkupným za jejich obnovení. Pozor ale na některé pokročilé metody útoku, které na prvním místě vyhledávají a šifrují zálohy.

Aktuální verze programů chrání před specifickou zranitelností starších verzí, aktuální a funkční antivir, antimalware a firewall by měly být samozřejmostí. Multifaktorové ověření při přístupu k důležitým datům je jednoduchým prvkem s velkým významem.

Segmentace sítě zamezí plošnému rozšíření ransomware na všechna zařízení.

Nejdůležitější ze všeho je ale vždy ostražitost a morálka jednotlivce, které nelze ani koupit, ani naprogramovat. Prokazatelný efekt mají ale pravidelná školení v otázkách bezpečnosti.

Detekce

Útok proběhl a byl v první fázi úspěšný. Tomu se nikdy nedá zcela zabránit. Jaké jsou vaše další obranné pozice?

  • Antivirové a antimalware skenery, které detekují známé vzory a podpisy škodlivých software. Vychází z aktualizované databáze známých hrozeb.

  • Heuristická analýza, která rozpozná podezřelé chování souborů a procesů. Má šanci zjistit dosud neznámé hrozby.

  • Síťový monitoring a analýza provozu detekuje neobvyklé vzorce, jako je nezvyklá výměna dat mezi interními systémy a externími IP adresami, která může znamenat komunikaci ransomware s řídícím serverem

  • Analýza chování aplikací (Behavior Analysis) sleduje nezvyklé chování aplikací a procesů, které by mohly nést typické znaky práce ransomware, jako je pokus o šifrování velkého počtu souborů najednou

  • Integrace s endpoint detekcí a reakcí (EDR) je kombinace real time monitoringu, sběru dat, anaýzy pro detekci, vyšetřování a reagování na podezřelé aktivity přímo na koncových bodech (endpointech). Tento proces může izolovat napadená zařízení od zbytku sítě.

  • Sandboxování jako metoda spouštění podezřelých aplikací v izolovaném prostředí, čímž se brání napadení celé sítě

Reakce

Jak postupovat, pokud dojde k nejhoršímu, by vydalo za samostatný článek. Stále se vychází z obecných principů krizové komunikace (vůči zaměstnancům, spolupracujícím firmám, státním orgánům, odborníkům na kyberbezpečnost) a stále platí obecná pravidla ve smyslu izolace napadených zařízení a zabránění dalšímu šíření třeba i odpojením wifi a pevné sítě.

Důležitá bude včasná identifikace typu útoku a rozsahu škod, kterými se budou řídit další práce.

Je potřeba neprodleně oslovit odborníky na kyberbezpečnost, ale v lepším případě s nimi spolupracovat dávno před útokem.

Závěr

Je jasné, že z občasných pokusů s maily plnými hrubek se z výkupného za vaše data stal doslova celý kriminální průmysl a na to, aby vaše firma nezůstala mezi poraženými, je potřeba přijmout a pravidelně pracovat na pravidlech a opatřeních.

Comimpex bude vaší pravou rukou ve fázi prevence, při čelení akutně probíhajícímu útoku i v momentě řešení následků. Kdykoliv nám zavolejte a ptejte se na podrobnosti.