Ako zvrátiť čas, keď útočí ransomvér?

ESET Blog 3. apríla 2025

Niekedy sa stane, že útočníkom sa podarí nasadiť do firemnej siete ransomvér aj napriek solídnemu zabezpečeniu. Ani v takomto prípade však citlivé súbory nemusia byť ohrozené. Nová funkcia Ransomware Remediation ochráni vybrané údaje, keď sa spoločnosť stane obeťou útoku.

Nepríjemnou vlastnosťou ransomvéru je jeho schopnosť zašifrovať a zablokovať používateľov firemných počítačov a narušiť tak dôležité pracovné procesy. Výsledok? Podľa správy spoločnosti IBM o nákladoch súvisiacich s únikom údajov za rok 2024 sú priemerné výdavky na ransomvérový útok 4,91 milióna USD, pričom rastú na základe toho, či boli zapojené aj orgány činné v trestnom konaní.

Okrem spôsobenia finančných ťažkostí môže obnova prevádzky po útoku trvať dni, mesiace či dokonca roky v závislosti od faktorov, ako je napríklad pretrvávanie hrozby v napadnutých systémoch alebo pripravenosť bezpečnostného tímu.

Obnova prevádzky a súvisiace výdavky teda predstavujú problém – niekedy to dokonca dospeje až do bodu, že podnik zaplatí výkupné a spolieha sa na dobrú vôľu útočníka, že mu poskytne dešifrovací kľúč. Firmy sa tak môžu ľahko ocitnúť v ruinách svojich bezpečnostných zlyhaní. Čo keby však existoval spôsob, ako uniknúť z pazúrov takýchto nákladných šifrovacích schém?

Ransomvér strašiakom pre firmy všetkých veľkostí

Vzhľadom na rozvíjajúcu sa povahu škodlivého kódu typu ransomvér a existenciu zahraničnými vládami podporovaných útočníkov vyzerá prostredie hrozieb pre malé a stredné organizácie, veľké firmy aj štátnu infraštruktúru rozhodne nepriaznivo, keďže miera jeho výskytu neustále rastie (podľa spoločnosti Verizon predstavuje ransomvér v súčasnosti 23 % všetkých narušení zabezpečenia). 

Situácia týkajúca sa malých a stredných firiem je obzvlášť zložitá z dôvodu nižšieho rozpočtu vyčleneného na kybernetickú bezpečnosť. Tieto podniky sú konzistentne v hľadáčiku ransomvérových útočníkov (spoločnosť ESET zistila, že v ázijsko-pacifickom regióne bol 1 zo 4 útokov na malé a stredné firmy spôsobený práve ransomvérom).

Hrozby, ako je ransomvér, sú založené na tom, že nútia obete zaplatiť vysoké výkupné za obnovenie systémov. Okrem toho sa útočníci môžu pokúsiť vymazať zálohy údajov, aby obnova bez ich pomoci nebola možná. Avšak spoliehať sa pri obnovovaní systému na dobrú vôľu kybernetických zločincov je asi také rozumné, ako keby ovca verila vlkovi, že ju nezožerie, keď je hladný.

Najlepšou možnosťou, ako zastaviť ransomvér, je mu preto v prvom rade predísť. Spoločnosť ESET si uvedomuje, že prevencia kybernetických hrozieb je kľúčom k bezpečnosti. Potvrdilo sa to aj na konferencii ESET Technology Conference 2024, kde sa prezentovali úspešné príbehy spojené s našou službou ESET Managed Detection and Response (MDR). V jednom prípade bezpečnostné tímy ESET zastavili ransomvér Mallox v jeho počiatočnom štádiu ešte skôr, ako stihol spôsobiť akékoľvek škody. Podobne aj modul ESET Ransomware Shield, ktorý bol vyvinutý ako súčasť nášho systému HIPS (Host-Based Intrusion Prevention System), je schopný detegovať a neutralizovať ransomvér v reálnom čase.

Organizácie, pre ktoré prevencia nepredstavuje hlavný a konečný cieľ obrannej stratégie, by sa stále mali za každých okolností vyhnúť obnove systémov s pomocou útočníkov, a teda nezaplatiť výkupné, ale zamerať sa na zlepšenie plánov nápravy.

Ransomvér: boj bez šance na výhru?

Na zašifrovanie systémov ransomvérom môžete reagovať tromi spôsobmi:

  1. Obnoviť systémy zo zálohy.
  2. Čakať na zverejnenie dešifrovacieho kľúča, ktorý často poskytujú výskumníci z oblasti kybernetickej bezpečnosti.
  3. Zaplatiť výkupné a dúfať v získanie dešifrovacieho kľúča.

Problémom je, že žiadny z týchto prístupov nie je ideálny. Po prevencii je zálohovanie druhou najlepšou alternatívou – ide o dobrú voľbu v prípade, keď je potrebné obnoviť systém do pôvodného stavu po malvérovom útoku, chybnej aktualizácii alebo dokonca pri prechode na nové zariadenie. Zálohovanie však prináša vlastné problémy: ani správna konfigurácia nezaručuje zachovanie všetkých údajov.

Ďalšou kategóriou sú voľne dostupné kľúče. Je síce dobré, že bezpečnostní výskumníci, napríklad tí, ktorí sa podieľajú na iniciatíve No More Ransom (vrátane spoločnosti ESET), využívajú reverzné inžinierstvo na boj proti ransomvéru, ale tento prístup si vyžaduje veľa času a úsilia. Z dôvodu obnovy prevádzky by firma mohla stráviť roky s nepoužiteľnými systémami, čo je celkom nepriaznivý scenár z pohľadu zárobkov.

Bezpečnostní pracovníci radia výkupné vôbec neplatiť. Ak je však firma natoľko zúfalá, že peniaze pošle, mala by tak urobiť v prítomnosti orgánov činných v trestnom konaní a inštitúcie poskytujúcej poistenie kybernetických rizík s cieľom zaistiť náležité vedenie záznamov a riadenie zodpovednosti.

Keby sa dal pri ransomvéri vrátiť čas…

Pozrime sa bližšie na zálohovanie. Hoci je užitočné, môžu sa naň zamerať aj útočníci. Vymazanie alebo modifikovanie firemných záloh má za následok, že sa podnik nebude môcť vrátiť k normálnej prevádzke, čo zvyšuje pravdepodobnosť, že zaplatí výkupné za obnovenie systémov.

Odborníci ESET z tímu MDR nedávno odhalili útočníka, ktorý chcel zneužiť zraniteľnosť v softvéri na zálohovanie a obnovu s cieľom vymazať dané zálohy. Podobnou taktikou je, keď sa útočníci snažia poškodiť alebo zašifrovať zálohy, čo sa deje v 94 % prípadov. Firmy s nechránenými zálohami čelia oveľa vyšším nákladom spojeným s obnovou, a to takmer dvojnásobne.

Každá hrozba si vyžaduje špecifický prístup, najmä ak sa neustále vyvíja. Keďže ransomvér sa čoraz viac zameriava na zálohy, spoločnosť ESET nezaostáva a rozširuje modul Ransomware Shield o ďalšiu technológiu v podobe funkcie Ransomware Remediation (Oprava po útoku ransomvérom), ktorá zaistí vašu budúcnosť prostredníctvom minulosti.

Čo je nástroj Ransomware Remediation od spoločnosti ESET?

Minimalizácia následkov prípadného ransomvérového útoku na vašu firmu je kľúčová. Ransomware Remediation spája prevenciu a nápravu do jedného celku a poskytuje komplexný viacstupňový prístup k boju proti šifrovaniu.

Celý proces začína modulom ESET Ransomware Shield, ktorý sa spúšťa pri podozrivých akciách. Podobne ako iné systémy zamerané na detekciu správania, napríklad HIPS, pracuje v súčinnosti s technológiami ESET LiveSense, pričom rozoberá a analyzuje malvér až k jeho jadru. Ak Ransomware Shield určí, že proces je pravdepodobne ransomvér, označí ho príznakom a spustí proces nápravy.

Komplexná procesná štruktúra pre ESET Ransomware Shield (RS) a Ransomware Remediation (RR)

  1. Spustenie procesu (PROC)
    •  predpokladajme, že je podozrivý alebo neznámy
  2. Ransomware Shield (RS) upozornený
  3. Oprava po útoku ransomvérom (RR) aktivovaná
  4. Spustenie PROC súborovej operácie
  5. RR ju preruší a vytvorí kópiu
  6. RR odovzdá kontrolu späť PROC
  7. PROC zašifruje súbory a vymaže originály
  8. RS analyzuje
  9. RR požiada RS o rozhodnutie
  10. RS rozhodne, že proces je v poriadku
    • RR vymaže zálohu a ukončí sa
    • RS neupozorní používateľa/správcu
  11. RS rozhodne, že proces je škodlivý, ukončí ho
    • RR vráti súbory zo zálohy a ukončí sa
    • RS upozorní používateľa, obnoví súbory (ponechá aj šifrované), vytovrí report pre správcu

Ransomware Remediation následne začne vytvárať zálohy súborov pre všetky súborové operácie, ktoré sú ovplyvnené procesom označeným príznakom (predtým, ako tento proces vykoná akékoľvek zmeny). Deje sa tak dovtedy, pokiaľ Ransomware Shield nerozhodne, že proces je v poriadku, a následne sa záloha vymaže. Ak Ransomware Shield vyhodnotí proces ako škodlivý, ukončí ho, pričom súbory sa vrátia zo zálohy.

Galéria: Ransomware Remediation je možné podrobne nakonfigurovať. Pridanie alebo odstránenie typov súborov, ktoré je potrebné zálohovať, vám uľahčí celý proces.

Takýto proces zálohovania je oveľa komplexnejší, keďže na rozdiel od riešení založených na tieňových kópiách nejde o lokálnu službu, ktorú by mohli útočníci zneužiť. Ransomware Remediation má na disku vlastnú chránenú časť úložiska, v ktorej nie je možné súbory upraviť ani poškodiť a útočník takisto vytvorenú zálohu nedokáže vymazať, čím rieši a aktívne blokuje jednu z najčastejších chýb bežného zálohovania po útoku ransomvérom.

Stret budúcnosti s minulosťou

Úlohou správcu v tomto procese je pochopiť schopnosti tejto funkcie a pridať typy súborov do filtra, ktorý Ransomware Remediation následne aplikuje pri vytváraní záloh. Jediným obmedzením záloh je veľkosť disku (a maximálna veľkosť 30 MB na súbor).

Hoci je ESET Ransomware Shield veľmi výkonný, stále je dobré mať v rukáve aj iné zálohy, ako popisuje pravidlo 3-2-1. Vždy pamätajte na tri rôzne kópie údajov (vrátane originálu), dva rôzne typy médií (disk, páska) a jednu kópiu uloženú mimo firemných priestorov (cloud).

Ransomvér môže byť pomerne sofistikovaný a nepríjemný, ale stále sa s ním dá bojovať. Vďaka zabezpečeným zálohám už cestovanie v čase nie je také sci-fi. Viac informácií o tom, ako Ransomware Remediation funguje, nájdete na našej stránke.

Odporúčané články

BVF OT MDR ilustracny obrazok
ESET Blog 7. marca 2025
Tajomstvo bezpečnej výroby: MDR ako kľúč k ochrane prevádzkových technológií
BVF AI a kyberodolnost ilustracny obrazok
ESET Blog 18. februára 2025
Kyberodolnosť a AI: rozšírené možnosti na ochranu firmy