Ransomware útoky sílí, jsou české firmy připraveny?
Kybernetické vydírání dnes patří k nejperspektivnějším technikám moderních digitálních zločinců. Poměrně jednoduše, účinně a s minimálním rizikem odhalení umožňuje získat peníze jak od malých, tak i od velkých firem, a dokonce i od běžných občanů. Nakazit se je snadné, odstranit následky náročné, a tak nejlepší obranou před ransomware je prevence.
Kybernetické vydírání
Ransomware je škodlivý program, tzv. malware. S cílem najít a znepřístupnit (nejčastěji zašifrovat) uživatelská data na discích. Útočník za obnovení přístupu většinou vyžaduje výkupné, anglicky ransom. Platby se nejčastěji uskutečňují prostřednictvím kryptoměn, což výrazně komplikuje vysledování příjemce výkupného. Statistiky říkají, že zhruba čtvrtina organizací napadených ransomware raději výkupné zaplatí a 94 % z nich údajně dostane svá data zpět[1]. Ransomware se ale neomezuje jen na šifrování počítačů, míří v podstatě na jakékoliv systémy, které lze na dálku vyřadit z provozu. 12. ledna 2016, týden před inaugurací amerického prezidenta, útok ve Washingtonu vyřadil z provozu 128 ze 187 kamer ve městě. Stále častější jsou rovněž tzv. scareware útoky, které sice počítače nepoškozují, zato ale vyhrožují např. zveřejněním privátních fotografií a videí nebo záznamů údajných intimních aktivit adresáta[2]. Vyděšený uživatel raději zaplatí, protože „bůhví, co na mě mají“.
Terčem je každý
Nikdo není tak malý, aby pro kybernetické vyděrače nebyl zajímavý. A tak zhruba polovina ransomware útoků v České republice míří právě na malé a střední firmy se 100 až 1 000 zaměstnanci. Statistiky[3] za rok 2020 uvádějí v průměru jeden útok za 39 sekund, tj. 2 215 útoků denně. V roce 2021 má k vyděračskému útoku dojít již každých 11 sekund. S firmou, která ransomware útok zažila, se již setkalo 90 % IT profesionálů a celá polovina odborníků na IT je přesvědčena, že jejich firma není na ransomware útok připravena. Útoky jsou navíc stále cílenější a jejich pravděpodobnost roste[4]. S morálkou si kybernetičtí zločinci starosti nedělají, dlouhotrvající pandemie Covid-19, přetížený zdravotnický systém a vyčerpaná ekonomika jsou pro ně naopak živnou půdou. Nemocnice a zejména menší firmy jsou pak jejich snadným cílem.
Třicetiletá historie
Ač se to zdá nepravděpodobné, první útok ransomware se odehrál před více než třiceti léty. V roce 1989 evoluční biolog Josef L. Popp infikoval virem označovaným jako AIDS Trojan neuvěřitelných 20 000 disket, které byly součástí materiálů mezinárodní konference o AIDS pořádané WHO. Po devadesáti zapnutích napadeného počítače virus zašifroval jména souborů a požádal o výkupné. Počátek novodobé historie se datuje rokem 2006, kdy se objevuje nový kmen ransomware s názvem Achiveus. Používal výkonné RSA šifrování, jehož prolomení bylo velmi obtížné. Od roku 2010 a zejména po roce 2016 vzniká obrovské množství stále sofistikovanějších kmenů, rodin a mutací ransomware. Soudobé útoky obsahují takové funkcionality, jako je schopnost rozeznat a vypnout antivirový software, narušit procesy zálohování, samostatně se šířit v prostředí podnikových sítí, zašifrovat a zneviditelnit i vlastní zdrojový kód nebo monitorovat dění, včetně např. pohybů myši, v napadeném počítači a předávat o něm informace řídícímu serveru útočníka.
Ransomware je levný a úspěšný
Podobně jako DDoS útoky patří i dnes ransomware k nejperspektivnějším nástrojům kybernetického zločinu. Funkční ransomware dokáže napsat třeba schopný programátor obeznámený se službami operačních systémů a šifrováním dat. Na černých internetových trzích si je možné útok objednat jako službu doslova za „pár dolarů“. K dispozici jsou dokonce vývojové nástroje umožňující přizpůsobit si bez velkých znalostí programování útok podle potřeb. A k rozesílání scarewaru koneckonců stačí jen e-mail a bitcoinová peněženka.
Stačí jednou kliknout a je vymalováno
Nakazit počítač ransomware je snadné. Stačí kliknout na infikovanou přílohu v e-mailu nebo otevřít webovou stránku, která nákazu šíří. A takových je v internetu opravdu požehnaně. Přes odkaz nebo stažení infikovaného souboru do firemních sítí proniká 29 % ransomware. 21 % průniků tvoří přímé útoky na servery nebo počítače v síti a 19 % mají na svědomí nakažené přílohy e-mailů, na které uživatelé v dobré víře nebo z neznalosti kliknou. Zbývající zhruba třetina úspěšných útoků je vedena přes USB disky, nástroje pro vzdálený přístup nebo chyby v konfiguracích. Úspěšnost ransomware útoků je 73 % a jen necelá čtvrtina je zachycena dříve, než dojde k zašifrování dat. 3 % ransomware útoků tvoří scareware[1].
Krok za krokem k jisté smrti
Kliknutím na odkaz se ransomware infiltruje do počítače. Moderní ransomware se navíc nestahuje přímo, infikované přílohy obvykle obsahují pouze virus, který prozkoumá prostředí napadeného počítače, a teprve potom stáhne a instaluje další malware včetně ransomware. Takové viry bývají multifunkční a podle potřeby dokážou do počítače stáhnout i další škodlivé programy. Aby ztížil svoje odhalení, ransomware nejdříve vyhledá antivirus a pokusí se jej vypnout, infikuje systém zálohování tak, aby nebylo možné další zálohy použít k obnově dat, a poté vyhledá zajímavá data. Většinu ransomware útoků řídí tzv. řídící server, zřízený útočníkem. Ransomware ukrytý v počítači s ním naváže spojení, nenápadně mu předá získané informace a obdrží pokyny k další činnosti. Je-li počítač připojen do sítě, pokusí se samozřejmě proniknout do dalších počítačů a infikovat je. Všechny tyto aktivity probíhají skrytě, a tak v okamžiku, kdy ransomware podle plánu nebo na pokyn řídícího serveru zaútočí a zašifruje data, už může být dávno infikována celá síť nebo její podstatná část.
Zachránit, co se dá
Jakmile se na monitoru zobrazí varovné sdělení nezřídka vyvedené v černé a červené barvě s uvedenou částkou a s adresou bitcoinové peněženky, už se toho moc zachránit nedá. Je třeba co nejrychleji zabránit infikovanému počítači v přístupu k počítačové síti a ihned zavolat odpovědnou osobu. Počítač odpojený od firemní sítě je vhodné nechat běžet, virus při jeho vypnutí a restartu většinou smaže stopy, které by mohly přispět k jeho identifikaci.
Nejlepší obrana je poučený uživatel
Za většinou úspěšných ransomware útoků stojí chyba uživatele. Proto je úkolem zaměstnavatele vzdělat své zaměstnance tak, aby věděli, na co mohou kliknout a na co by klikat neměli. Aby na odkazy neklikali bezhlavě a automaticky, byť se na první pohled tváří, že jsou od kolegy, známého nebo od důvěryhodné instituce. Aby nestahovali soubory z neznámých nebo podezřelých zdrojů a nenavštěvovali sebelákavější servery, i když nabízejí zajímavý či atraktivní obsah. Uživatelé počítačů by měli znát způsoby, jak odhalit podezřelé e-maily, ať už podle adresy odesílatele, jazykové kvality sdělení, obsahu či vzhledu formuláře, a vědět na koho se při sebemenším podezření obrátit. Poučený uživatel a spolehlivý aktualizovaný antivirus jsou v boji proti ransomware tou nejúčinnější obranou. Vždycky předpokládejte, že budete napadeni.
Zálohovat off-line
Chraňte svá data, jsou často tím nejcennějším, co máte. Zálohy důležitých dat a aplikací, které nejsou přímo dostupné z firemní sítě, jsou pro ransomware těžko dosažitelné. Je proto životně důležité mít zálohy uloženy off-line mimo firemní síť, ať už na samostatných datových úložištích nebo v datových centrech důvěryhodných a spolehlivých poskytovatelů.
Jak postavit obranu
Ransomware je jen forma kybernetického útoku a každému útoku je možné se účinně bránit. Obrana ransomware útokům má několik součástí, na které je třeba se soustředit:
- Rozdělení (segmentace) sítě na menší podsítě. Vytvoření tzv. demilitarizované (DMZ) zóny, oddělení provozu ve Wi-Fi síti od interní LAN sítě a rozdělení interní LAN na menší provozně oddělené části výrazně omezí nebo aspoň zpomalí šíření ransomware ve firemní síti. Spolu se správně nastavenými bezpečnostními pravidly na firewallu, kvalitní antivirovou ochranou a kontrolou příchozích e-mailů tvoří segmentace sítě pevnou základní úroveň obrany.
- Ověřování uživatelů a jejich přístupu do sítě. Přístup uživatelů všech musí být zabezpečen a ověřován. Zaměstnanci by měli mít přístup jen k tomu, co potřebují pro svoji práci. Všechny přístupy a aktivity by měly být zaznamenávány a záznamy co nejčastěji analyzovány.
- Zabezpečení vzdáleného přístupu. Pro připojení vzdálených uživatelů, zejména pracujících v domácích kancelářích nebo používajících soukromé počítače, tablety nebo mobilní telefony, je životně důležité použít zabezpečené šifrované VPN spojení.
- Zmenšení operační prostoru pro útok. Přístup ke všemu, co nemusí nutně být přístupné z internetu, musí být zakázán. Všechny nepoužívané porty na firewallu a aktivních prvcích sítě musí být uzavřené. Po správu firewallu a prvků sítě je nezbytné používat zabezpečenou komunikaci.
- Sledování chování sítě (Log management). Ukládáním záznamů o událostech a provozních stavech uvnitř sítě (tzv. logů) a jejich analýzou lze odhalit i drobné a mnohdy zdánlivě nesouvisející aktivity, které mohou znamenat bezpečnostní incident, např. činnost ransomware, a předejít tak katastrofickým dopadům útoků.
CRA a kybernetická bezpečnost
České Radiokomunikace, na trhu působí pod značkou CRA, provozují a poskytují svým zákazníkům vysoce spolehlivou a bezpečnou infrastrukturu. Na jejich služby spoléhá i kritická infrastruktura státu. Využívají pokročilé technologie a disponují vysoce erudovanými odborníky. Tým CRA pro kybernetickou bezpečnost (CSIRT tým) je součástí řady pracovních skupin zaměřených na rozvoj a udržení kybernetické bezpečnosti v České republice. CRA nabízí kompletní portfolio služeb pro ochranu zákaznické infrastruktury. O své nejlepší zkušenosti a know-how (viz CRA Kybernetická bezpečnost) jsou CRA připraveny se podělit. Začít se dá například bezpečnostním auditem, který odhalí, na jaké oblasti kybernetické bezpečnosti je potřeba se zaměřit.
Více se dozvíte ze záznamu CRA webináře - Co je to ransomware a jak se mu bránit.
Zdroje článku:
[1] www.datasys.cz/cs/ransomware-shrnuti-poznatku-z-aktualnich-statistik
[2] www.kybez.cz/clanky/detail?urltitle=ransomware-utok-na-cctv-kamery-ve-washingtonu-pred-inauguraci-prezidenta
[3] www.idagent.com/blog/10-2020-ransomware-statistics-that-you-need-to-see
[4] www.seznamzpravy.cz/clanek/cesko-se-nejspis-stane-tercem-ransomwaru-varuje-nukib-124502