Jak získat kontrolu nad ransomwarem?

1. 8. 2021

Sdílet

 Autor: Depositphotos
Zákony a předpisy zaměřené na boj proti ransomwaru budou vyžadovat globální spolupráci, prohlašují odborníci. Mezitím by oběti ransomwaru měly plně spolupracovat s úřady.

Ransomware sevyvinul z méně významného kyberzločinu do krize, která ohrožuje bezpečnost celépopulace. Incidenty jako například útok na Colonial Pipeline ukazují, že tentodruh zločinu může dopadnout nejen na konkrétní organizace, které nemají dobrébezpečnostní postupy, ale na každého občana. Mají potenciál narušit život azabránit lidem v přístupu k základním službám, včetně zdravotní péče.

Experti takzkoumají, jak udržet tento jev pod kontrolou. Protože se výkupné obvykle platí vkryptoměnách, je jednou z myšlenek lepší sledování těchto transakcí. To je ale obtížnýúkol, protože bitcoinové burzy je zřízené v různých zemích a často musídodržovat jen celkem volné předpisy.

Odborníci doufajív mezinárodní spolupráci, která by zajistila větší transparentnost transakcí arozkrývání působnosti zločineckých gangů. Ransomware byl i součástí programu nedávnéhoSummitu G7 ve Velké Británii, kde političtí vůdci vyzvali všechny státy, aby„urgentně identifikovaly a narušovaly ransomwarové kriminální sítě fungující najejich území.“

Během následujícíhosetkání v Ženevě předal prezident USA Joe Biden, ruskému prezidentovi VladimíruPutinovi seznam 16 kritických oblastí infrastruktury, na které by mělo být „nemyslitelné“útočit.

Bezpečnostnívýzkumníci tyto události vítají a uvádějí, že by do jisté míry mohly zpomalitrůst ransomwaru. Říkají však, že by organizace měly i nadále modernizovat svézabezpečení proti hrozbě ransomwaru.

Nové předpisy bymohly přesvědčit některé skupiny ve východní Evropě, aby zastavily své operace,jak se to již stalo v případě gangu Avaddon, který nedávno zpřístupnil všechnysvé dešifrovací klíče (2934 klíčů) a ukončil svou činnost. Ostatní však budoupokračovat.

Některé skupinymohou dokonce zvýšit svou ničivou aktivitu, „abyukázaly, co se stane zemím a firmám, když nebudou mít oběti možnost zaplatit.“Dmitry Smilyanets, expert na kybernetické hrozby ve společnosti Recorded Futurepovažuje ransomware spíše za agendu, se kterou je potřebné jednat diplomaticky.

Říká, že reakcegangů budou záviset na rozhodnutích světových vůdců. Dodává, že Západ budeschopen bojovat s kyberzločinem „pouze v případě, že vznikne politická vůleRuska stíhat své vlastní občany. Bez podpory zástupců zákona na území Ruskanení možné problémy kyberzločinu vyřešit.“

Tento výzkumníktvrdí, že ruský prezident Vladimir Putin byl ‚rozhněván‘ nedávnými útokyransomwaru zamířenými proti USA, a to prý pro kyberzločince přebývající v Ruskunevěstí nic dobrého.“

Smilyanets má sicepochybnosti, že by Putin umožnil vydání ruských zločinců do zámoří, protožeústava jeho země uvádí, že své občany nevydává, je však šance, že budou gangy vRusku transparentně stíhány, konstatuje Smilyanets.

Smilyanets věří,že mezi Kremlem a Bílým domem pravděpodobně začne nějaká forma spolupráce. Šéfruské tajné služby FSB Alexandr Bortnikov letos v červnu prohlásil přiMoskevské mezinárodní bezpečnostní konferenci, že Rusko bude spolupracovat sUSA na vystopování kyberzločinců, jak uvedla ruská informační agentura RIANovosti.

Dodal, že Ruskopřijme opatření projednávané oběma prezidenty a uvede je do praxe a očekává oddruhé strany totéž. „V takovém případě by mohly ransomwarové gangy v Ruskuvelmi rychle čelit tamějším bezpečnostním službám,“ dodává Smilyanets.

Účinnost předpisů

Na konci dubnazveřejnila Pracovní skupina zaměřená na ransomware (Ransomware Task Force) vInstitutu pro zabezpečení a technologie (Institute for Security and Technology)celkem 48 doporučení. Na práci se podílely desítky odborníků pracující probezpečnostní společnosti, pro policii, pro mezinárodní organizace a občanskéspolečnosti.

Jen Ellis,viceprezidentka pro veřejné záležitosti ve společnosti Rapid7, která také bylasoučástí této pracovní skupiny, uvádí, že jsou tato doporučení serióznímposunem vpřed a že největší užitek přinesou, pokud se zavedou společně. Některéz nich jsou však důležitější – například mezinárodní spolupráce.

Ellis doufá, žestáty G7 budou postupovat podle toho, co se dojednalo na summitu. „Světoví vůdci by si měli uvědomit, žeransomware není specifický technický problém, ale spíše významný společenskýproblém, který je potřebné řešit spoluprací na nejvyšší úrovni,“prohlašuje. „Pokrok nastane tehdy, ažnastane změna v zemích, které poskytují útočníkům bezpečné útočiště.“

Mezinárodníkomunikace by měla pokrývat směnárny kryptoměn, kiosky pro kryptoměny amimoburzovní obchodní místa, které by měly odpovídat již zavedeným zákonům,uvádí John Davis, viceprezident společnosti Palo Alto Networks, který bylčlenem předsednictva pracovní skupiny.

Vliv by mohl míttlak na velké hráče, aby zajistili dodržování legislativy, popisuje MikeSentonas, technologický ředitel společnosti CrowdStrike. „Směnárny kryptoměn jsou problematické v tom, že mnoho z nich fungujeglobálně a nemají zájem dodržovat předpisy platné v jiné zemi. Klíčové bytedy bylo získat globální konsensus ohledně předpisů platných pro legitimnísměnárny. Pokud mluvíme o částkách 20 milionů dolarů za platby výkupného,neexistuje mnoho směnáren, které umožňují výběr takových sum, takže jesnadnější je regulovat a sledovat tyto transakce týkající se ransomwaru.“

Během schůzekpracovní skupiny Ransomware Task Force přišli někteří odbornícis myšlenkou větší přísnosti včetně zákazu všech plateb výkupného neboúplného zákazu kryptoměn. Obecným závěrem podle Ellis ale bylo, že by takovépředpisy „pravděpodobně přinesly víceškody než užitku.“

„Pokudby došlo k zákazu platit výkupné, pravděpodobně by se útočníci zaměřili naorganizace, které by s nižší pravděpodobností zvládly odolat útokům a nemohlyby si dovolit narušení svého provozu,“ varuje Ellis.

„Vněkterých případech by došlo k tomu, že by oběti – v zoufalé snaze zachránitsvůj provoz – platily tajně, takže by byly ještě více zranitelné vůči vydíráníze strany útočníků.“Dodává, že zákaz transakcí s kryptoměnami by také „nespravedlivě poškodil subjekty využívající kryptoměny k legitimnímúčelům.“

Zákaz kryptoměnnení řešením – přestože je to konceptuálně jednoduché, je to však takénemožné. Podle Nicholase Weavera z Kalifornské univerzity v Berkeley, jesnadnější alternativou „pouze narušit trhy s kryptoměnami.“

V oblastikryptoměn mají zločinci mnoho možností, jak policii ztížit sledování peněz: Mohourozdělit výkupné do menších transakcí, nebo mohou měnit blockchainy akonvertovat Bitcoin na Monero a na Ethereum – a pak zpět na Bitcoin.

Přesto však vurčitém okamžiku, protože existuje jen omezený počet věcí, které lze koupit zaBitcoin, potřebují zločinci převést kryptoměnu na tradiční peníze. K tomutoúčelu potřebují směnárnu, která je propojená s bankovním systémem.

Weaver tvrdí, žese tyto směnárny obvykle snaží zjistit, kdo jejich zákazníci jsou a žepravděpodobně budou spolupracovat s policií. Konverze kryptoměny na tradičnípeníze vyžaduje „velký rozsah běžnýchaktivit, aby se zabránilo odhalení,“ uvedl.

V případěransomwarového incidentu Colonial Pipeline dokázala FBI sledovat digitálnípeníze. Speciální agent sledoval ve veřejně viditelné účetní knize Bitcoinu,jak zločinci převedli peníze do jiných peněženek.

V určitém okamžikuskončilo 64 ze 75 Bitcoinů zaplacených společností Colonial Pipeline vpeněžence, ke které se podařilo FBI získat privátní klíč. „Vyděrači tyto peníze už nikdy neuvidí,“ prohlásila StephanieHinds, právnička ze Severní Kalifornie.

Ellis uvádí, žetrasování kryptoměnových transakcí je potřebné k potlačení ransomwaru. Dodává,že boj s kyberzločinci vyžaduje větší rozsah opatření, takže čím více nápadůsvět technologií přinese, tím lépe. „Kpotlačení ransomwaru budou potřebné různé akce. A mnoho z nich nebude mítpodobu legislativy,“ prohlašuje.

Každý nápad byvšak měl být důkladně vyhodnocený odborníky z různých oborů. „Řešení se může skrývat v detailech,“konstatuje Nicolas Christin, odborný asistent na Carnegie Mellonově univerzitě.

Platby přiživují problém

V současné doběnení otázka, zda zaplatit či nezaplatit výkupné, tak triviální, jako bývala. Obětipotřebují pečlivě posoudit situaci a zjistit, kdo je útočník. Poslání penězsubjektům, na které jsou uvalené nějaké sankce, je může dostat do problémů,protože tím poruší zákon.

To, co se jevíjako správné v krátkodobém horizontu, se může vymstít z dlouhodobého pohledu. Platbyvýkupného totiž přiživují větší problém. V posledním roce lze vidět, jak početa částky výkupného exponenciálně rostly. Je to proto, že zločinci získávají voblasti ransomwaru další motivaci.“

Podle průzkumuState of ransomware 2021, který letos skutečnila společnost Sophos, bylo v loňskémroce napadeno tímto typem malwaru celkem 37 % všech organizací. Ve více nežpolovině případu způsobil takový útok zašifrování firemních dat. Avšak pouzedvě třetiny firem, které zaplatily výkupné, dostaly svá data zpět, tvrdíSophos.

Platby výkupného v témžeroce vzrostly o 341 % na celkových 412 milionů dolarů, uvádí zase firmaChainalysis zaměřená na výzkum blockchainu. Také mnoho pojišťoven zvýšilo cenypojistného pro kyberútoky.

bitcoin_skoleni

Nejméně polovinafirem nyní platí o 10 až 30 % více a některé dokonce o 50 % více, uvádícitace výsledků průzkumu od amerického vládního úřadu GAO (GovernmentAccountability Office).

„Nejefektivnějšía nejdůležitější je, aby všechny podniky více investovaly do zabezpečení, abytak dokázaly předejít své protivníky,“ radí Sentonas. „Mnoho podniků má zastaralé systémy nebo existuje závislost nazastaralých technologiích z 90. let, které se příliš nezměnily. Tyto systémy jepotřebné zaktualizovat, aby bylo možné rychle zjistit jakoukoli škodlivouaktivitu.“