Kterak ransomware u nás nepochodil

Na škodlivý odkaz ve firmě klikla pouze jedna osoba, ale své soubory měla řádně zálohované. Vypadá to, že zaměstnanci možná nakonec nejsou noční můrou správce zabezpečení.

Kterak ransomware u nás nepochodil


Lidé se rádi ptají manažera zabezpečení: „Co ti v noci nedá spát?“ Moje obvyklá odpověď je „zaměstnanci“. A je k tomu dobrý důvod. Přibližně 95 % reakcí mého oddělení na bezpečnostní incidenty je důsledkem toho, že pracovníci udělali něco, co udělat neměli, ať už jsou to kliknutí na škodlivý odkaz v e-mailu, instalace škodlivého programu nebo zaslání citlivého dokumentu mimo naši společnost.

Někdy, když udělají něco špatného, je ve skutečnosti nemůžete vinit. A občas dostanete důkaz o tom, že zaměstnanci opravdu pozorně naslouchají, když jim vysvětlujete, aby nedělali věci, které by s vysokou pravděpodobností mohly vést k problémům.

Vyskytl se u nás případ ransomwaru (a nakonec to ani neskončilo moc špatně) a musím přiznat, že způsob, jak k tomu došlo, byl celkem pochopitelný. Jeden člověk se snažil zefektivnit aspekty své práce, které opravdu nevyžadovaly jeho pozornost, a další osoba mu důvěřovala. Popíšu vám, co se přihodilo.

 

Problém automatického přeposlání

Ředitel našeho obchodního oddělení dostával od zákazníků hodně e-mailů obsahujících faxy (nebo odkazy na faxy uchovávané u poskytovatele faxové služby). Tyto faxy mohly obsahovat nákupní objednávky, smlouvy a další dokumenty související s naší firmou.

Tento člověk nebyl za nic z toho odpovědný, takže jednoduše e-maily pouze přeposílal lidem, kteří to měli na starost.

V jednu chvíli však už byl z toho tak unavený, že začal používat automatické přeposílání všech e-mailů obsahujících slovo „fax“ v předmětu zprávy na předdefinovaný distribuční seznam. A fungovalo to dobře – až do minulého týdne.

Došlo k tomu v okamžiku, když kolegyně z obchodního oddělení, uvedená v distribučním seznamu zmíněného automatického přeposílání, dostala od šéfa e-mail s odkazem na Dropbox. A protože obdržela zprávu od někoho, komu důvěřovala, dospěla k závěru, že je to v pořádku, a na odkaz klikla s očekáváním, že se jí zobrazí příslušný faxový dokument.

Namísto toho došlo k malé pauze následované významným problémem s výkonem jejího počítače. Nakonec se jí zobrazil dialog vysvětlující, že všechny soubory na jejím pevném disku byly právě zašifrované a že kvůli obnovení přístupu k nim musí nainstalovat program, který jí umožní zaplatit poplatek k odemknutí souborů.

Samozřejmě že když zavolala na linku technické podpory a zapojil se do toho bezpečnostní personál, bylo již příliš pozdě.

Naštěstí si udržovala synchronizovanou kopii souborů ze svého počítače na sdíleném síťovém disku, kterého se tato událost nedotkla. Rozhodli jsme se tedy bezpečně smazat celý její počítač a obnovit její soubory ze sdíleného síťového disku. Žádná platba v důsledku vyděračského ransomwaru tedy nebyla nutná.

Mezitím jsme zkontaktovali ostatní lidi z distribučního seznamu obchodního ředitele, abychom zajistili, že se nikdo další nestane obětí tohoto ransomwarového podvodu.

Také jsme prohledali náš e-mailový archiv, zda neobsahuje nějaké e-maily s klíčovými slovy odpovídajícími tomuto konkrétnímu útoku. Nakonec jsme našli asi 25 uživatelů, kteří dostali e-maily s tímto nebezpečným odkazem na Dropbox.

Tuto zprávu otevřelo jen pár z nich a nikdo z nich na dotyčný odkaz neklikl. Jak vysvětlit tak nádherný výsledek? Všichni si vzpomněli, co se učili na školení ohledně zvyšování povědomí o bezpečnosti!

Dalším příjemným překvapením bylo, že krátce na to samotná služba Dropbox problematický odkaz odstranila.

 

Kde se stala chyba?

Stále jsme však měli znepokojivou otázku: Jak tento e-mail mohl proniknout přes naše filtry chránící před spamem? Zřejmě tým starající se o e-maily vypnul nastavení Sender Policy Framework, které ověřuje, zda příchozí e-mail pochází z autorizovaných domén.

Pokud má například e-mail údajně původ z domény computerworld.cz, ale e-mailové záhlaví obsahuje doménu zdroje, která není autorizovaná přes computerworld.cz jako platný název domény, dojde k zablokování takového e-mailu.

Tým pro e-maily tuto funkci vypnul v rámci odstraňování vážného problému s doručováním e-mailů. Není nutné dodávat, že jsme tuto funkci zase rychle aktivovali.

Také jsme poslali dotaz našemu dodavateli antivirového softwaru, proč se tento ransomware nedetekoval. Jsem si celkem jistý, že příčinou byl exploit nultého dne, ale otázku bylo nutné položit.

Také jsem zkontaktoval dodavatele naší pokročilé detekce malwaru s dotazem, proč nedošlo k detekci a zablokování, protože všechny stahované soubory by se měly spustit ve zkušebním prostoru, otestovat a v případě zjištění malwaru by mělo dojít k zablokování. Myslím si, že to všechno jsou dobré otázky, a bude mě opravdu zajímat, co na to dodavatelé odpovědí.

V tomto případě jsme však měli štěstí. Ne, to je špatně řečeno. Zdá se, že naší spásou se stalo dobré povědomí o bezpečnosti zaměstnanců. Zafungovalo to přesně tak, jak má.

 

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

 

Tento příspěvek vyšel v Computerworldu 10/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © olly - Fotolia.com



Vyšlo v Computerworldu 10/2015








Komentáře