Nové triky tvůrců ransomwaru

23. 9. 2020

Sdílet

 Autor: PCS
Analytická společnost Gartner do svých trendů nedávno zařadila tzv. BYOPC. Po vzoru BYOD, což se týkalo mobilních zařízení, jde tentokrát o osobní počítače ve vlastnictví zaměstnanců. Tento problém má větší dopad než BYOD, protože zatímco soukromý mobilní telefon slouží spíše pro přístup k datům v případě nezbytnosti, soukromé PC je standardní pracovní nástroj.

Během pandemie sice některé kyberkriminální skupiny deklarovaly přerušení nebo omezení aktivit (ransomwarem nebudou napadat zdravotnická zařízení apod.), vyděračský software je tu s námi stále. Útočníci zde navíc mnohdy nespoléhají jen na samotné šifrování, ale vydírají svou oběť i tím, že citlivá data zveřejní, eventuálně je zkusí dále prodávat. Jinak řečeno, ještě před samotným zašifrováním si navíc pořídí jejich kopii.

Podle studie SophosLabs 2020 Threat Report se ransomware ve stále větší míře automatizuje a kombinuje s dalšími známými zranitelnostmi, např. takovými, které umožňují eskalaci uživatelských oprávnění. Následně pak stačí kompromitovat i účet s relativně nízkými přístupovými oprávněními, které má např. běžný zaměstnanec přistupující ke kritickým podnikovým systémům z domova.

Společnost Kaspersky zjistila, že ransomware se nově zařadil i do arzenálu skupin, které provádějí pokročilé útoky (APT). Příkladem je skupina Lazaurus, která se jinak specializuje na špionáž, sabotáže a nově i na finanční instituce. K šíření ransomwaru skupina Lazaurus používá platformu Mata. Již loňská studie Fortinet Global Threat Landscape Report uvádí, že ransomware je v některých případech pečlivě cílený a podvodníci stráví značný čas předběžnou přípravou. Zkoumají, jaká data by mohla pro podniky být nejcennější, takže malware poté začne šifrovat data až v určitém okamžiku, aby na sebe neupozornil předčasně. Některý ransomware dokáže provádět i velké změny v nastavení systémů a tímto způsobem vyřadit ochranné mechanismy.

Systematicky se vývojem ransomwaru zabývá společnost Sophos ve studii „The State of ransomware 2020“, která vychází z průzkumu mezi 5 000 manažery IT ve 26 zemích. Ukázalo se, že útoky ransomwaru zaznamenalo 51 % firem. 94 % z postižených organizací svá data nakonec nějak získalo zpět, častěji využitím záloh (56 % obětí) než zaplacením výkupného – 26 % obětí, což je stejně docela vysoké číslo. Pouze 1 % podniků zaplatilo výkupné, a přesto data nezískaly. Nicméně i přes poměrně malý poměr se tento postup nedoporučuje. Studie mj. ukázala, že při zaplacení výkupného jsou náklady na obnovu dat v průměru dvakrát vyšší. Zajímavá je i problematika ransomwaru a pojištění: 84 % organizací mělo pojištění kybernetické bezpečnosti, to ale pouze v 64 % případů pokrývalo i ransomware.

Nakonec poměrně kuriózní případ. Dokonce, i když podniky útočníkům zaplatí výkupné a podvodníci v tomto případě jsou ochotni data opět uvolnit, může dojít k problémům. Ransomware Prolock při šifrování souborů začíná po prvních 8 192 bajtech. Výsledkem jsou soubory, které jsou částečně čitelné a z části zašifrované. To mohlo přispět k tomu, proč dešifrovací klíč, který oběti obdrží po zaplacení výkupného, ve skutečnosti zašifrované soubory poškodí. Může se pak stát, že data budou ztracena nebo jejich obnova bude ještě nákladnější.

bitcoin_skoleni

Aleš Pikora, ředitel divize DataGuard, PCS, spol. s r.o.