Tento článok je súčasťou seriálu 10 najväčších hrozieb.
Predstavte si, že prídete do práce a keď zapnete počítač, privíta vás obrazovka so žiadosťou o zaplatenie výkupného. Nočná mora IT oddelení môže firmu pripraviť o obrovské množstvo peňazí a zničiť jej reputáciu. Tretie miesto v rebríčku 10 najväčších hrozieb patrí ransomvéru.
V článku sa dozviete:
- Do akej miery sú terčom ransomvéru slovenské organizácie,
- že útočníci už nekončia pri šifrovaní dát,
- prečo dosahuje výška požadovaného výkupného astronomické sumy,
- či sa oplatí platiť útočníkom výkupné,
- a ako sa brániť pred ransomvérovým útokom?
Ransomvér dokáže napáchať obrovské škody
Ransomvér je nebezpečný škodlivý kód, pomocou ktorého útočníci šifrujú dáta firmy a vyžadujú výkupné za ich dešifrovanie. Táto forma vydierania spôsobuje firmám obavy, keďže môže viesť k strate dát, finančným škodám a prerušeniu prevádzky. Útočníci ransomvér navyše často šíria do celej siete a tým často paralyzujú kritické systémy, čo ho robí ešte nebezpečnejším.
Existuje niekoľko rôznych typov ransomvéru, ktoré sa líšia v spôsobe útoku a cieľoch:
- Lock-screen ransomvér predstavuje starší typ ransomvéru a jeho hlavným účelom je zablokovať obrazovku používateľa. Nemá však tendenciu spôsobovať významné škody na dátach. Lock-screen ransomvér sa často vyskytuje v súvislosti s konkrétnymi udalosťami. Po ruskej invázii na Ukrajinu boli napríklad zaznamenané zvýšene počty lock-screen útokov v oboch bojujúcich štátoch s bojovo ladenými odkazmi.
- Masovo šírený ransomvér kedysi predstavoval bežný spôsob útoku, ale dnes ho už skúsenejší zločinci využívajú len výnimočne. Zvyčajne ide o varianty, ktoré vytvárajú začiatočníci alebo amatéri a šíria ich masovo prostredníctvom e-mailu. Mávajú krátku životnosť.
- „Cielený“ ransomvér sa zameriava na špecifickejšie ciele, hoci si zriedka vyberá konkrétnu firmu. Útočníci vyhľadávajú verejne dostupné systémy so známymi zraniteľnosťami alebo servermi vystavenými internetu, do ktorých sa pokúšajú nabúrať napríklad útokom hrubou silou. Zraniteľné firmy, ktoré prejdú cez sito útočníkov, následne posudzujú a zamerajú sa na tie finančne najzaujímavejšie.
- Deštruktívne varianty ransomvéru sa líšia od bežného typu tým, že ich cieľom nie je výkupné, ale poškodenie obete. Takúto taktiku zvyknú používať vyspelé APT skupiny, ktoré nasadia ransomvér aby zakryli svoj hlavný cieľ, ktorým je zničiť systémy alebo zariadenia obete.
Od typu ransomvéru závisí aj to, ako sa dostane do firmy. Masovo šírený ransomvér sa väčšinou distribuuje cez nevyžiadané e-maily alebo správy. Cielený ransomvér zvykne zneužiť nezaplátanú zraniteľnosť alebo kúpené, ukradnuté, respektíve hrubou silou uhádnuté prístupové údaje.
Niektoré ransomvérové skupiny tiež využívajú služby iných škodlivých aktérov, napríklad downloaderov, infostealerov a botnetov. V týchto prípadoch boli často vektorom útoku škodlivé makrá, v poslednom období však narástol aj počet pokusov zneužitia OneNote súborov s vloženými škodlivými skriptami, či inými spustiteľnými súbormi. Spoločnosť Microsoft nastavenie služby OneNote sprísnila, takže počet útokov začínajúcich touto technikou bude pravdepodobne klesať.
Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET
Ransomvér a Slovensko
Telemetria spoločnosti ESET evidovala za posledný rok stovky prípadov ransomvéru na Slovensku. Neznamená to však, že tento typ škodlivého kódu sa nám vyhýba. Relatívne nízky počet detekcií je zapríčinený tým, že ransomvér sa často prejaví až ako posledná fáza útoku. Ochranné vrstvy riešení spoločnosti ESET blokujú spravidla podozrivú aktivitu už v jej zárodkoch, napríklad na úrovni phishingu alebo útoku hrubou silou, a preto v mnohých prípadoch k nasadeniu ransomvéru, a teda započítaniu do tejto štatistiky, vôbec nedôjde.
„Aj na Slovensku sa však vyskytujú „cielené“ ransomvérové útoky, pri ktorých si útočníci vyberajú konkrétnu firmu s dostatočne zaujímavým profilom, obratom alebo ziskom a pokúšajú sa ju vydierať. Bohužiaľ, pri mnohých z týchto útokov útočník získa administrátorské práva a buď vypne, alebo rovno odinštaluje nasadený bezpečnostný program,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
Medzi rodiny ransomvéru, ktoré sa na Slovensku relatívne často vyskytujú, patrí napríklad rodina STOP ransomware (tiež známa ako DJVU), ktorá je aktívna už od roku 2018 a má stovky variantov.
Doposiaľ uverejnené články z rebríčka 10 najväčších hrozieb
3. Ransomvér
4. Hybridná práca
5. Útoky na dodávateľský reťazec
6. IoT hrozby
7. Fyzické hrozby
8. Pokročilé hrozby
9. Nedostatok bezpečnostných špecialistov
10. Hrozby zvnútra firmy
Od šifrovania k vydieraniu
Ransomvér sa za posledné roky výrazne vyvinul. Útočníci sa už nezastavia iba pri tom, že zašifrujú dáta obetí. Aktuálne sa zločinci snažia zostať v sieti čo najdlhšie bez povšimnutia a získať citlivé údaje. Keď ich nazbierajú, vydierajú obete. Ak odmietnu zaplatiť alebo komunikovať, tak ukradnuté informácie zverejnia na darkwebe.
Útočníci tým získali ďalšiu páku na dosiahnutie svojich cieľov. V minulosti ransomvérové útoky „iba“ zašifrovali súbory, no ak mala obeť kvalitnú zálohu na pre útočníka nedostupnom mieste, problém bolo možné vyriešiť aj bez vyjednávania či platenia výkupného. Pre obeť bol takýto útok nepríjemný, ale po niekoľkých hodinách mohla nabehnúť do normálnej prevádzky.
Dnes však útočníci majú pre takéto prípady poistku. Kyberzločinci sa snažia kradnúť údaje, ktoré sú chránené legislatívou, napríklad GDPR. Okrem reputačnej škody tak firmy riskujú aj vysoké pokuty za nedostatočnú ochranu a únik citlivých dát. Úrady a najmä štátni kybernetickí obrancovia v týchto prípadoch ale nie sú až také prísne a často vyzývajú obete, aby incident čím skôr nahlásili.
Psychologický nátlak
Útočníci niekedy využívajú aj iné taktiky na vydieranie okrem zašifrovania súborov či hrozby zverejnenia dát. Súčasťou ransomvérových útokov je niekedy aj psychologický nátlak. Známe sú prípady, keď útočníci zneužili všetky tlačiarne vo firme na tlač žiadostí o výkupné, spustili DDoS útok na jej stránky alebo informovali zákazníkov obete o útoku. Tieto postupy majú za cieľ vytvoriť ešte väčší tlak na obeť a zvýšiť šance na získanie výkupného.
Astronomické výkupné
Ešte pred rokom 2020 si útočníci pýtali po svojich obetiach stovky dolárov za každé zašifrované zariadenie. Dnes sa ich celkové požiadavky pohybujú často v stovkách tisícov až v miliónoch. Dramatický nárast výšky požadovaného výkupného ransomvérovými gangmi ovplyvnilo niekoľko faktorov. Z časti tento trend súvisí so zvyšujúcou sa technickou náročnosťou útokov (napríklad pri zneužívaní zero-day hrozieb), no vo väčšine prípadov ide o pragmatické dôvody.
Prvým je, že útočníci zistili, že si jednoducho môžu zapýtať. Pri „cielených“ útokoch si hackeri dôkladne študujú profil cieľovej firmy a vyberajú si najmä organizácie, ktoré dokážu zaplatiť vyššie výkupné. Zároveň sa nachádzajú v nepríjemnej pozícii, ak by to odmietli. Druhým faktorom je, že vypýtať si astronomické výkupné pri zásahu veľkej ryby je efektívnejšie, ako vyjednávať s desiatkami menších firiem o menších sumách.
Najväčšie zaplatené výkupné
Pri medializovanom útoku na americký ropovodný systém zaplatila spoločnosť Colonial hackerom takmer 4,5 milióna dolárov a časť z týchto peňazí sa polícií podarilo získať spať. Rekord vo výške zaplateného výkupného však drží americká poisťovňa CNA Financial, ktorá útočníkom zaplatila 40 miliónov dolárov.
Platiť či neplatiť
Rozhodovanie, či platiť výkupné, môže byť náročné. Najmä v prípade, ak zostali po incidente ochromené systémy kritickej infraštruktúry alebo zariadenia v nemocnici. Vo všeobecnosti však platbu útočníkom neodporúčame.
Zisky z výkupného ransomvérovým gangom umožňujú rozvíjať sa a investovať do vylepšovania svojich útokov. Platí tak, že zaplatením výkupného firmy podporujú hackerov v ich ďalšej činnosti. Niektoré štáty v USA preto zaviedli obmedzenia na platenie ransomvérovým gangom. Navyše, ani zaplatenie výkupného obetiam negarantuje, že im útočníci poskytnú dešifrovacie kľúče, respektíve nezverejnia ukradnuté dáta.
Čo robiť v prípade ransomvérového útoku?
Ak sa firma stane obeťou ransomvérového útoku, je dôležité, aby podnikla kroky na sanáciu situácie a minimalizáciu škôd:
- Zabrániť ďalšiemu šíreniu: Firma by mala okamžite izolovať napadnuté systémy a snažiť sa zabrániť ďalšiemu šíreniu ransomvéru v sieti. To môže zahŕňať odpojenie napadnutých zariadení od siete, zablokovanie prístupových bodov a implementáciu bezpečnostných opatrení.
- Vytvoriť špeciálny tím: Je dôležité vytvoriť tím, ktorý bude zodpovedný za riešenie a vyšetrovanie ransomvérového útoku. Tento tím by mal komunikovať mimo napadnutú sieť, aby útočníci nemohli sledovať jeho činnosť.
- Uložiť zašifrované dáta a získať stopy: Je potrebné vytvoriť snapshot napadnutých systémov. Tieto informácie môžu byť neskôr použité pri vyšetrovaní incidentu a identifikácii útočníkov. Okrem toho by mali byť zozbierané ďalšie relevantné stopy, ako logy z antivírusových programov, nástrojov pre detekciu a reakciu XDR a iných bezpečnostných nástrojov.
- Vyčistenie a obnova: Incident response tím by mal pracovať na vyčistení napadnutých systémov a sietí. Cieľom je odstrániť ransomvérový softvér a vyhľadať prípadné backdoory či iné prístupy, ktoré by mohli byť v systéme skryté útočníkmi.
- Obnovenie záloh a chodu firmy: Je dôležité obnoviť dáta a systémy zo záloh, pokiaľ sú k dispozícii. Firma by mala mať zabezpečené a aktualizované zálohovacie riešenia. Cieľom je vrátiť prevádzku firmy do normálu a minimalizovať vplyv na jej činnosť.
- Kontaktovať políciu a príslušné úrady: Oznámiť ransomvérový útok polícii a príslušným úradom. Zatĺkanie je kontraproduktívne z bezpečnostného aj reputačného hľadiska. Odporúčame tiež komunikovať incident smerom k verejnosti. Ak sú zasiahnuté dáta používateľov, majú firmy dokonca podľa nariadenia GDRP povinnosť informovať ich.
Ak sa firma dostane do situácie, že nemá inú možnosť, než zaplatiť výkupné, je to zvyčajne dôsledok vážneho zanedbania jej povinností v oblasti ochrany systémov a dát. Je preto vhodné zamerať sa na preventívne opatrenia a vypracovanie plánu postupu v prípade útoku.
Kto je za útokmi?
Identifikácia konkrétnych jednotlivcov alebo skupín za ransomvérovými útokmi je často mimoriadne zložitá. V mnohých prípadoch ide o dobre organizované ransomvérové gangy, ktoré sa nelegálnou činnosťou živia. Majú vypracované štruktúry s rôznymi úrovňami riadenia. Výnimkou nie je ani napojenie na tajné služby štátov.
Ransomvérovému gangu Conti unikla interná komunikácia, ktorá odkryla štruktúru zoskupenia aj zdrojový kód. Podarilo sa tak zistiť, že hackeri operovali v rámci robustnej organizačnej štruktúry. Mali vlastné oddelenie ľudských zdrojov, vývojárov, testerov, podporu aj manažment. Celkovo bolo v nekalej činnosti zapojených približne 100 ľudí. Podľa uniknutej komunikácie mala skupina väzby aj na ruskú rozviedku FSB.
Ransomvérové schémy často zahŕňajú aj spolupracovníkov v štátoch, v ktorých vykonávajú útoky. Bezpečnostným zložkám sa podarilo zatknúť takýchto spolupracovníkov v krajinách ako Ukrajina, Nemecko či Kanada. Kmeňoví členovia zas zvyknú sídliť v krajinách, z ktorých ich západným zložkám nevydajú, napríklad v Rusku.
Ransomvér aj pre amatérov
Aktuálnym fenoménom je poskytovanie ransomvéru aj útočníkom bez dostatočných technických kapacít. Tento model sa nazýva ransomvér ako služba (RaaS). Tvorcovia ransomvéru poskytujú svoje nástroje a infraštruktúru iným jednotlivcom alebo skupinám za určitú províziu. Týmto spôsobom sa ransomvér stáva komerčným produktom, ktorý je dostupný aj širšej zločineckej komunite.
Ako funguje ransomvér ako služba sa dočítate v tomto článku.
Ako sa chrániť pred ransomvérom?
Ako sme spomínali vyššie, ransomvér predstavuje problém, ktorému je jednoduchšie predísť, ako mu čeliť. Na minimalizáciu možnosti úspešného zásahu ransomvérom odporúčame dodržiavať nasledovné postupy:
- Aktualizácie: Uistite sa, že všetky systémy sú pravidelne aktualizované na najnovšie verzie. Zraniteľnosti v softvéri môžu byť zneužité útočníkmi, preto je dôležité ich mať zaplátané. Túto pracnú agendu môžu IT správcovia najnovšie delegovať na nástroj Vulnerability and Patch Management, ktorý je súčasťou riešení od spoločnosti ESET.
- Antispam a antiphishing: Implementujte antispamové a antiphishingové riešenia, ktoré pomáhajú identifikovať a blokovať nebezpečné e-maily a webové stránky, cez ktoré by do vašej firmy útočníci mohli zaniesť ransomvér.
- Tréning zamestnancov: Poskytnite pravidelný tréning zamestnancom, aby boli schopní rozpoznať a vyhnúť sa phishingovým útokom a iným druhom sociálneho inžinierstva.
- Správa prístupov: Zabezpečte, aby verejne dostupné systémy boli obmedzené na tie, ktoré sú pre daných zamestnancov nevyhnutné, a že majú dostatočnú ochranu (silné heslá, dvojfaktorovú autentifikáciu, prípadne sú dostupné len s použitím firemnej VPN).
- Riešenie na ochranu všetkých koncových zariadení: Nasaďte spoľahlivý bezpečnostný softvér na všetky koncové zariadenia vrátane počítačov, notebookov a mobilných telefónov. ESET nedávno posilnil ochranu firiem so zariadeniami s platformou Intel o detekciu ransomvéru na úrovni hardvéru.
- Detekcia a reakcia: Používajte nástroj rozšírenej detekcie a reakcie XDR na podrobné monitorovanie podozrivej aktivity v celej sieti.
- Spolupráca s MSP: Ak nemáte dostatok interných zdrojov na zabezpečenie a správu systémov, môžete spolupracovať so spoľahlivým MSP (Managed Service Provider) partnerom, ktorý vám poskytne potrebnú podporu a zabezpečenie.
- Plán na obnovenie prevádzky a zálohovanie: Vypracujte si jasný plán pre prípad ransomvérového incidentu, ktorý zahŕňa obnovu prevádzky (business continuity) a obnovu dát (disaster recovery). Pravidelne vykonávajte zálohy dôležitých údajov a overujte ich funkčnosť.
4. Hybridná práca – nástrahy režimu po pandémii
Koniec pandémie priniesol návrat zamestnancov do kancelárií, no mnohí môžu aj naďalej pracovať z domu. Kým pracovníci tento nový normál vítajú, pre IT oddelenia ide o výzvu. Zlé zabezpečenie domácej siete, vzdialené prístupy či presúvanie sa s firemnými zariadeniami ohrozuje bezpečnosť firiem.