Teoreticky by nikdo neměl vyděračům využívajícím ransomware platit žádné peníze. Nemáme snad všichni v současné době zálohy? I spotřebitel má přístup k široké řadě bezplatných či levných zálohovacích služeb.
Zprávy jsou ale plné informací o institucích, jako jsou nemocnice, které by měly používat plány pro zajištění nepřetržitého provozu a využívat solidní zálohovací strategie.
Přesto však bylo podle FBI jen v USA zaplaceno více než 209 milionů dolarů v platbách za ransomware v průběhu prvních tří měsíců roku 2016, což je oproti pouhým 25 milionům dolarů za celý rok 2015 citelný nárůst.
Co se děje? Proč zálohy nefungují? Z důvodu finančních úspor některé organizace nezahrnují všechny své důležité soubory do svých záloh nebo nezálohují dostatečně často. Jiní zase své zálohy netestují a zjistí, že systémy nefungují, až když je příliš pozdě.
A konečně, některé společnosti ukládají své zálohy na síťové jednotky, kde je dokáže ransomware snadno najít a zašifrovat.
Jaký rozsah zálohování stačí?
Vždy je zde kompromis mezi cenou a bezpečností a většina organizací upřednostní své výdaje.
„Historicky bylo možné na klientském trhu v oblasti zálohování klientských dat vidět, že když oddělení IT viděla náklady na úložiště pro ukládání všech dat, moc se jim do takových investic nechtělo,“ uvádí David Konetski ze společnosti Dell.
To však podle něj platilo před exponenciálním snížením cen úložišť v období před pěti až deseti lety. „Nyní žijeme ve světě skutečně levných úložišť a cloudových úložišť,“ tvrdí Konetski.
Navíc by nemuselo stačit zálohovat jen důležitá data a dokumenty. Může být potřeba zazálohovat celé počítače, pokud jsou důležité pro podnikání.
Například ve zdravotnickém zařízení Hollywood Presbyterian Medical Center, kde nedávno zaplatili kyberzločincům ekvivalent 17 tisíc dolarů, ransomware nejenže zašifroval důležité soubory, ale rovněž vážně poškozoval provoz po dobu deseti dnů a přinutil personál vrátit se zpět k papírovým záznamům a faxům.
Místní zpravodajské organizace oznámily, že někteří pacienti s potřebou naléhavé péče byli převezeni do jiných nemocnic.
„Tento malware uzamkl přístup k některým počítačovým systémům a zabránil nám elektronicky komunikovat,“ uvedl výkonný ředitel Allen Stefanek této instituce v dopise veřejnosti. Pro nemocnici byla podle něj nejrychlejším způsobem obnovení systémů platba výkupného.
Ne vždy to však problém vyřeší. Objevily se i zprávy, že nemocnice například zaplatily výkupné a slíbené klíče nedostaly nebo se vznesl požadavek na ještě vyšší částku.
Pokud by byly okamžitě k dispozici čisté bitové kopie pro infikované počítače, mohla by nemocnice zcela smazat infikovaný hardware a obnovit na něm poslední dobrou verzi.
Organizace nemusejí ukládat několik kompletních kopií každého systému – přírůstkové zálohovací systémy jsou velmi efektivní, protože uloží jen poslední změny.
„Pokud dojde ke kompromitaci celého systému, můžete se vrátit zpět k holému hardwaru,“ vysvětluje Stephen Spellicy, šéf produktového managementu, ochrany podnikových dat a správy mobilních informací ve společnosti HPE.
Otestování záloh
Vytvoření komplexní strategie zálohování je komplikovaný proces, zejména pro velké podniky s více typy dat, souborů a systémů, které je potřeba chránit.
Tato komplexnost je jedním z důvodů, proč zálohy nefungují, upozorňuje Stephen Cobb, výzkumník z Esetu. Dalším důvodem je, že zálohy nemusejí proběhnout nebo může být proces obnovy příliš obtížný.
„Největší problém, se kterým se společnosti setkávají, když dojde k jejich napadení ransomwarem, spočívá v tom, že v nedávné době neudělaly test svého procesu obnovy,“ popisuje. „Zálohovaly, ale netrénovaly obnovení – existuje k tomu vtipný důkaz, když se někteří správci ptají: ‚Kolik trápení způsobí obnova ze zálohy ve srovnání s platbou výkupného?‘“
Mnoho firem nevykonává řádné testování svých záloh, potvrzuje Spellicy z HPE. „Jedním z hlavních důvodů, proč se nám daří najít zákazníky, je, že se neúspěšně snažili využít obnovení od jiného dodavatele a nyní hledají nové řešení. Když to potřebujete, musí to fungovat. Je to velmi kritické – pokud nemůžete zálohu využít, potom je bezcenná.“
Skrytí zálohy před zločinci
Kybernetičtí vyděrači vědí, že zálohy jsou jejich nepřítel číslo jedna, a přizpůsobují svůj ransomware tak, aby je vyhledával.
„Několik rodin ransomwaru ničí všechny stínové kopie (Shadow Copy) a body obnovení v systémech Windows,“ uvádí Noah Dunker, ředitel bezpečnostních laboratoří společnosti RiskAnalytics. „Mnoho typů ransomwaru se zaměřuje na všechny připojené disky a šifruje také zálohy, přestože to možná není promyšlený záměr.“
Každý souborový systém připojený k infikovanému počítači je potenciálně zranitelný stejně jako připojené externí pevné disky a zasunuté USB Flash disky.
Tipy pro spolehlivější zálohy
1. Každodenní zálohy
Používejte on-line službu pro synchronizaci souborů, která nepřetržitě zálohuje soubory, na nichž zaměstnanci pracují. Další možností je zapnout synchronizaci ve vlastní síti, ale pomocí proprietárních protokolů, aby záloha nebyla viditelná pro útočníky.
Nebo pokud není k dispozici nic jiného, by zaměstnanci měli začít používat starou metodu a navyknout si jednou nebo dvakrát denně zazálohovat své důležité soubory na externí disk, který bude jinak odpojený.
Pokud by ransomware vyřadil jejich počítač, mohou zaměstnanci pokračovat v práci z jiného místa, zatímco by docházelo k obnově funkce jejich počítače.
2. Střednědobé zálohy
Ukládejte pravidelné zálohy uživatelských počítačů na snadno dostupných zařízeních pro ukládání dat, která jsou logicky izolována od zbytku sítě. Použijte je k rychlému obnovení uživatelských počítačů do posledního funkčního stavu.
3. Dlouhodobé zálohy
Používejte off-line úložiště, fyzicky izolované od zbytku vaší společnosti, pro méně časté, ale komplexní zálohování všeho, co vaše firma potřebuje obnovit v případě nouze.
„Aby vaše zálohy odolaly ransomwaru, měli byste použít disky nepřipojené ke konkrétní pracovní stanici,“ prohlašuje Sam McLane ze společnosti ArcticWolf Networks. „Například můžete přenášet data přes síť na jinou pracovní stanici nebo úložné zařízení pomocí zálohovací aplikace. Zajistěte, aby toto úložné řešení zůstalo chráněné a nebylo dostupné uživatelským pracovním stanicím, zejména pokud mají přístup k internetu.“
Je potřeba používat bezpečnostní kontroly, které oddělí uživatele od záloh, radí Todd Feinman, výkonný ředitel společnosti Identity Finder, která se zabývá utajením dat. Dobrou praxí je také používat dobře zabezpečené a šifrované zálohování do jiné lokality.
„Není potřebný každodenní přístup – tyto zálohy jsou určené jen pro případ nouze, když vše ostatní selže,“ uvedl.
Pro každodenní použití, například když zaměstnanci nechtěně smažou důležité soubory a potřebují je obnovit, existuje mnoho služeb synchronizace souborů, dodává Feinman.
Tyto systémy budou neustále sledovat změny v souborech. Pokud se však do počítače dostane malware a zašifruje všechny soubory, bude toto zašifrování zrcadlené zálohovacím systémem také.
Naštěstí se obvykle uchovávají předchozí verze souborů. „Jakmile jsou aktuální soubory zašifrované, budou zašifrované i jejich zálohy. Firma tedy bude muset udělat obnovu pomocí předchozí zálohy, která zakódovaná není,“ říká Craig Astrich, ředitel společnosti Deloitte Cyber Risk Services.
Samotný ransomware se však může skrývat i v šifrovaných souborech, když dochází k jejich zálohování.
„Pokud dojde k zazálohování zakódovaného souboru v rámci zálohovacího procesu, může znovu zašifrovat prostředí po jeho obnovení,“ varuje Scott Petry, spoluzakladatel a výkonný ředitel společnosti Authentic8.
To by podle něj mohlo dostat uživatele do smyčky neustálého obnovování zálohy a zašifrování. Každý proces zálohování by se tedy měl dělat společně se skenováním na přítomnost malwaru, aby se odhalily tyto nebezpečné soubory před zálohováním či obnovením.
Netýká se to jen dat
Pokud ztráta souborů a zablokování systémů zásadně důležitých pro provoz nestačí, může ransomware napáchat ještě více škody. Může zakrývat další útoky.
„Pokrokoví hackeři využívají ransomware jako sekundární formu infekce nebo jako obranu proti reakci na incidenty,“ prohlašuje Tom Kellermann, výkonný ředitel společnosti Strategic Cyber Ventures.
Útočníci se mohou dokonce zmocnit firemní komunikace či webu, aby více rozšířili infekci ransomwarem.
Tento příspěvek vyšel v Security Worldu 4/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU