Čtyři dobré důvody, proč neplatit při útoku ransomwaru

10. 6. 2017

Sdílet

 Autor: © auryndrikson - Fotolia.com
Útoky ransomwaru jsou, jak se zdá, stále na vzestupu. Zde jsou čtyři dobré důvody, proč byste neměli za získání vašich dat zpět platit, a také jeden důvod, proč to lidé dělají.

Když se v důležitém systému objeví požadavek na zaplacení peněz, máte jen krátký čas na rozhodnutí, zda zareagovat na útok ransomwaru.

On-line vydírání je na vzestupu, protože zločinci používají různé útočné vektory včetně sad exploitů, škodlivých souborů a odkazů ve spamových zprávách, aby infikovali systémy pomocí ransomwaru.

Jakmile jsou všechny soubory zašifrované, může se oběť buď sama pokusit obnovit soubory, nebo zaplatit výkupné. Přestože existují určité výjimky, oběti jen zřídka dokážou prolomit šifrování a obnovit přístup. Mnohem častěji vyvolá úspěšný útok ransomwaru úplné smazání dotčených systémů a rychlé obnovení všeho z čistých záloh.

Ať už organizace zaplatí, nebo ne, výkupné není bezpečnostním rozhodnutím. Je to rozhodnutí obchodní. Placení totiž podporuje zločince v tom, aby příště znovu zaútočili. Nezaplacení znamená ušlý zisk při čekání na obnovení souborů personálem IT.

Není to snadná volba, ale čtěte dál o důvodech, proč je dobré výkupnéne zaplatit.

 

1. Stanete se větším cílem

Jak se říká: Nekrmte trolly, jinak budou provokovat, aby vyvolaly reakci. Ransomware je trochu podobný. Platba výkupného jen útočníky povzbudí.

Zločinci spolu mluví. Řeknou ostatním, kdo zaplatil výkupné a kdo ne. Jakmile se zjistí, že oběť platí, nic nezabrání dalším, aby se také nepokusili získat nějaké výkupné.

Další nebezpečí: Stejní útočníci se mohou vrátit. Když jste zaplatili jednou, proč byste nezaplatili znovu?

 

2. Zločincům nelze věřit

Spoléhat na zločince, že dodrží své slovo, je riskantní pokus. Vypadá to jako jednoduchá výměna – peníze za dešifrovací klíč. Neexistuje však žádný způsob, jak zjistit, zda lze vyděračskému gangu věřit, že dodrží svou část dohody. Mnoho obětí zaplatilo výkupné a zpět přístup ke svým souborům nezískalo.

Platí to oběma směry: Proč platit, když nelze očekávat, že získáte svá data zpět? Na pověsti záleží, a to i ve světě zločinu.

Gang CryptoWall je dobře známý pro své vynikající služby zákazníkům, jako jsou poskytnutí prodloužené lhůty pro získání výkupného, poskytování informací, jak získat bitcoiny (preferovaná metoda platby) či rychlé dešifrování souborů po zaplacení.

Ostatní rodiny malwaru, jako TeslaCrypt, Reveton a CTB-Locker, mají horší pověst. Komu lze skutečně věřit? Zjišťovat odpověď zaplacením není nejlepší strategie.

 

3. Vaše příští výkupné bude vyšší

Vyděrači obvykle nepožadují přehnané částky. Průměrné výkupné je mezi 300 až 1 000 dolary. Jak podléhá více organizací, zločincům roste sebevědomí a požadují vyšší částky. Je těžké stanovit tržní cenu dat, když oběti skutečně potřebují získat své soubory zpět.

Například zdravotnické zařízení Hollywood Presbyterian Medical Center zaplatilo 17 tisíc dolarů za obnovení přístupu ke svým systémům s elektronickými lékařskými záznamy.

To je doslova almužna ve srovnání s potenciální ztrátou obratu cca 534 tisíc dolarů v době, kdy se oddělení IT snažilo obnovit data a pacienti museli cestovat do jiných nemocnic, uvádí hrubý odhad Andrew Hay, ředitel zabezpečení informací ve společnosti DataGravity.

Nyní to bylo 17 tisíc, ale tento gang by snadno mohl příští týden požadovat 50 tisíc dolarů atd.

Je to jednoduchá ekonomika. Prodávající nastaví cenu na základě toho, co je kupující ochoten zaplatit. Pokud oběti odmítají platit, útočníci nemají důvod zvyšovat částky výkupného.

 

4. Povzbuzujete zločince

Vezměte to z dlouhodobého hlediska. Zaplacení výkupného umožní organizaci obnovit data, ale tyto peníze nepochybně podpoří další kriminální aktivitu. Útočníci mají více peněz na vývoj pokročilejších verzí ransomwaru a důmyslnějších mechanismů dodávek.

Mnoho gangů kyberzločinu funguje jako legitimní společnosti s více zdroji obratu a různými produktovými řadami. Peníze ze schémat ransomwaru lze použít k financování dalších útočných kampaní.

„Vždy je zde kus odpovědnosti za to, na co se peníze použijí,“ uvedl William Noonan, zástupce zvláštního agenta kybernetických operací tajné služby USA na přednášce Verizon RISK Team během nedávné konference RSA v San Francisku.

Placení výkupného problém přiživuje.

 

Jeden důvod zaplatit

Všechny argumenty uvedené výše jsou naprosto platné. Existuje však pádný důvod, proč mnoho obětí nakonec zaplatí: Potřebují své soubory zpět. A nemají na výběr.

Když ransomware zasáhne všechny spisy na policejním oddělení, není čas čekat na někoho, kdo by se pokusil prolomit šifrování a soubory obnovil. Když probíhá aktivní vyšetřování, může obnovení ze záloh trvat příliš dlouho.

Pomiňme příslovečné coby, kdyby. Když organizace nemá zavedenou dostatečně robustní zálohovací strategii pro obnovení souborů (nebo jsou zálohy poškozené též),  je kázání o důležitosti prevence mimořádně neužitečné.

Mnoho obětí se může také rozhodnout zaplatit ze strachu, že pokud tak neučiní, může útočník způsobit v rámci odvety ještě větší škody.

Organizace, které se rozhodnou platit, nejsou samy. V nedávné studii Bitdefenderu polovina obětí ransomwaru uvedla, že zaplatily, a dvě pětiny respondentů uvedly, že by zaplatily, kdyby se do takové situace někdy dostaly.

Oborové odhady naznačují, že gang CryptoWall od června 2014 vymohl od svých obětí více než 325 milionů dolarů.

 

Pár gramů prevence...

Nelze dostatečně zdůraznit, že nepřetržité zálohy usnadňují organizacím obnovu po infikování ransomwarem bez nutnosti platit zločincům. Dobrá strategie zálohování obsahuje platformy Linux, Mac OS X i Windows.

Není to totiž jen záležitost systému Windows, protože došlo ke zjištění ransomwaru pro všechny tři operační systémy. A ani mobilní zařízení nejsou imunní. Přemýšlejte holisticky a nezávisle na platformách. 

  • Pravidelně zálohujte a udržujte nedávnou záložní kopii mimo lokalitu a off-line. Zálohování na sdílené svazky nefunguje, pokud jsou připojené místně k počítači – ransomware dokáže k těmto souborům přistupovat také.

Po vytvoření zálohy odpojte USB disk, aby ransomware nemohl infikovat dané úložné zařízení. Pravidelně testujte zálohování, abyste zajistili, že jsou soubory archivované správně.

Období následující po infekci ransomwarem není časem pro zjišťování, že kritické soubory nebyly uložené a úlohy nebyly spuštěné včas.

 

  • Mnoho útoků ransomwaru spoléhá na škodlivé přílohy e-mailů a na odkazy ve spamových e-mailech. Zajistěte, aby všichni, od řadových zaměstnanců přes IT personál až po nejvyšší manažery, znali základy: Neklikat na odkazy bez ověření, že jde o legitimní e-mail.

Dobré je také ověřit zprávu před otevřením přílohy, a pokud dokument požaduje povolení maker, tak to neumožnit.

Mohl by být dobrý nápad  nainstalovat prohlížeče dokumentů Microsoft Office, aby bylo možné zkontrolovat soubory bez jejich otevření v aplikacích Word a Excel – ztíží to tak spouštění škodlivého kódu.

 

  • Udržujte veškerý software v aktuálním stavu. Mnoho kitů pro tvorbu exploitů spoléhá na neopravené zranitelnosti v populárních aplikacích, jako jsou Microsoft Office, Internet Explorer a Adobe Flash.

Nainstalujte tyto aktualizace, jakmile to bude možné. Pro útočníky zvyšte obtížnost instalace ransomwaru do počítače prostřednictvím útoku typu drive-by-download.

bitcoin_skoleni

 

Tento příspěvek vyšel v Security Worldu 2/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.