Ransomware, zločinecký trend roku 2017; důležitá je prevence

31. 12. 2016

Sdílet

 Autor: Fotolia © Bacho Foto
Pátého února odstartovaly problémy s přístupem k síti v Hollywoodském presbyteriánském lékařském centru v Los Angeles; během příštích dní zaměstnanci zjistili, že se stali obětí ransomware útoku, který zašifroval mnoho dokumentů v několika počítačích.

Během dalších dnů musel personál této nemocnice zapisovat a zaznamenávat informace a události pomocí tužky a papíru, přičemž vedení nemocnice se rozhodlo útočníkům vyplatit 17 000 dolarů – ekvivalent 40 bitcoinů, které internetoví vyděrači požadovali. Pro nemocnici to byla nejrychlejší cesta k obnovení svých souborů a systému.

Tím započala dlouhá série ransomware útoků nejen v USA na podniky, nemocnice, veřejné služby, dopravní podniky, a dokonce i policejní stanice. Vlna vydírání tvrdě dopadla obzvláště na zdravotnické organizace ve Spojených státech.

Jde o důkaz nového, velice nebezpečného trendu: ransomware, tedy malware, který nutí uživatele zaplatit peníze pro přístup do systému nebo ke svým souborům, není novinkou. Avšak zatímco dříve cílil na koncové uživatele, běžného spotřebitele, nyní se přeorientoval na podniky, často velké a bohaté, nebo takové, které bez svých informačních systémů nemohou normálně fungovat – jako nemocnice, které navíc mnohdy trpí na nedostatečné zabezpečení.

Během posledních dvou let se zaměření ransomwaru dramaticky změnilo, říká Ed Cabrera, ředitel kybernetické bezpečnosti v antivirové firmě Trend Micro.

Ještě v roce 2014 zahrnovalo používání ransomware útoků z 80 % tradiční metody, např. zablokování plochy počítače s tím, že uživatel musí pro její odemknutí zaplatit poplatek. V roce 2015 však již podle statistik 80 % útoků naopak zahrnovalo pokročilý krypto-ransomware, tedy nakažené programy, které šifrují soubory v počítači.

„Další evolucí ransomwaru je přesun od spotřebitelů k podnikům,“ popisuje Cabrera. „Mnoho nových typů krypto-ransomwaru v roce 2016 cílilo na podniky, a to v dříve nevídaném rozsahu.“

Nejde o tak úplně neočekávanou proměnu – podniková data jsou ostatně významně cennější než osobní soubory a společnosti si mohou dovolit zaplatit vyšší „výkupné“ než běžní uživatelé. Jejich zabezpečení se navíc silně liší – záleží na lokaci, velikosti i průmyslovém odvětví podniku.

„Začali jsme si všímat, že se ransomware soustředí spíše na malé a střední podniky, protože je pravděpodobnější, že zaplatí vyšší cenu za odblokování systému než průměrný uživatel,“ říká Liviu Arsene, analytik e-hrozeb pro antivirovou firmu Bitdefender.

Nedávný průzkum IBM, kterého se zúčastnilo 600 majitelů podniků, zjistil, že polovina z nich zažila ransomware útok a až 70 % z nich zaplatilo požadovanou částku, aby získali zpět svá data.

E-maily distribuující ransomware činily až 40 % všech e-mailových spamů za rok 2016 a zločinci z tohoto typu malwaru za letošek vydělali již téměř miliardu dolarů, píše IBM X-Force.

Nejčastějším cílem ransomware útoků jsou oddělení lidských zdrojů a finance: malware lze jednoduše skrýt jako výpis nebo resumé. Pokud je obětí kupříkladu nemocnice, dopad je obrovský i na veřejnost, takže se společnosti snaží problém vyřešit co nejrychleji – vzrůstá tak šance, že útočníkům raději zaplatí.

U ransomwaru je prevence zcela klíčová, neboť poté, co se v systému vyskytne, téměř neexistuje možnost jak se jej zbavit mimo zaplacení útočníkovi – a ani to negarantuje zpětné získání svých dat nebo přístupu.

 

Metody útoku

Ransomware je nejtradičněji rozesílán formou e-mailu, existují však i jiné, inovativnější metody.

Druhá nejčastějši technika je tzv. exploit kit. Jde o webové nástroje, které zneužijí zranitelnosti v prohlížečích nebo plug-inech typu Flash Player, Adobe Reader, Java či Silverlight. Takovým útokům lze hůře přecházet.

Firmy se navíc neobávají jen o své pracovní stanice, útočníci stále častěji míří také na serverový software, aby pronikli do podnikové sítě.

„Předpokládáme, že se zvyšujícím se počtem ‚podnikového ransomwaru‘ uvidíme více technik na zneužití zranitelností a získání přístupu do interní sítě,“ říká Barry Shteiman, ředitel výzkumu hrozeb v Exabeam, bezpečnostní firmy, která k detekci ransomwaru využívá strojového učení. „V podstatě každý server má zranitelnosti, které mohou vést k phishingovým útokům nebo injektování kódu – to může napomoci rozšíření ransomwaru.“

Další oblíbenou metodou distribuce ransomwaru je ukradení přihlašovacích údajů pro vzdálenou administraci, např. oblíbený Teamviewer.

Co se týče e-mailů, ransomware se skrývá ve spustitelných .exe souborech, schovaných v zipech a rarech, dále v makrech Wordových dokumentů a také v Javascriptových přílohách.

 

Co dělat, když ransomware zasáhne?

Nejdůležitější je co nejrychleji oddělit infikovaný systém od zbytku sítě, aby se nerozšířil. Doporučuje se rovněž pokud možno vypnout nenakažené počítače, než se situace vyřeší. Ihned na to by firmy měly kontaktovat bezpečnostní agentury nebo policii.

Dalším krokem by mělo být zálohování zašifrovaných dat a vyčištění hodnot a souborů v registrech, které si ransomware vytvořil, aby se nenačetl znovu při opětovném spuštění počítače. Dobré je rovněž změnit přístupová hesla k síťovým službám – útočníci totiž již mohou mít původní hesla ve svých rukách.

Pak přichází to nejtěžší rozhodnutí: zaplatit kriminálníkům nebo ne? Bezpečnostní odborníci a agentury ve valné většině nedoporučují výkupné platit, neboť to zločince utvrdí v jejich činnosti a navíc neexistuje garance, že dešifrovací klíč uživateli či podniku zašlou.

Dle zpráv bezpečnostní firmy Kaspersky Lab, slavné i pro svůj pokročilý antivirus, jedna z pěti společností nikdy svá data nedostane zpět – a to mluvíme o těch, které výkupné zaplatí. Někdy však organizace nemá na výběr, pokud nebyla na ransomware připravena – zaplatit zkrátka musí.

Dále jde rovněž o zhodnocení nákladů. Pokud má podnik větší ztráty z nedostupnosti dat nebo je dokonce dražší jejich samotné obnovení, pak mu nezbývá než zaplatit. Je to však až ta úplně poslední možnost, kdy všechny ostatní varianty jsou již vyčerpány, vysvětluje Shteiman.

 

Budoucnost ransomwaru je bohužel růžová

Podnikové sítě nejsou konečným cílem ransomwaru. Je možné, že zamíří výš: na industrální sítě, říká Guy Caspi, generální ředitel firmy zaměřené na kybernetické zabezpečení Deep Instinct. „V březnu byla pod útokem třetí největší elektrická a vodní technická infrastruktura v Michiganu – Lansing Board of Water & Light. Stala se první elektrickou veřejnou službou, kterou zasáhl ransomware.“

Podle Caspiho budou dalším krokem v evoluci ransomwaru programy, které po vytvoření kopie dat původní data smažou, místo, aby je zašifrovaly.

Arsene z firmy Bitdefender se odlišně domnívá, že s rozvojem internetu věcí budou právě tato zařízení dalším logickým cílem.

„Scénář, ve kterém vydírání probíhá pomocí chytrého zařízení není až tak nerealistický, i vzhledem k předpokládanému masivnímu nárůstů takových zařízení v několika příštích letech,“ myslí si. „Pokud útočníci shodí podnikovou síť senzorů, mohlo by to být opravdu problematické.“

ICTS24

 

Prevence infekce ransomwarem

  • Cvičební programy pro zaměstnance, celkové zvýšení povědomí o ransomwaru; jak rozpoznat phishing a infikované přílohy.
  • Silný antispamový filtr a implementace technologií typu Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) a DomainKeys Identified Mail (DKIM).
  • Nastavení síťového zabezpečení a firewallu k blokaci známých škodlivých IP adres včetně Toru; mnoho ransomware serverů hostuje právě Tor.
  • Aktualizovaný software na pracovních stanicích, počítačích a serverech; je dobré mít i systém na správu aktualizací.
  • Dobrý antivirový program, který dokáže dlouhodobě dobře detekovat ransomware; dobré je rovněž pravidelné proskenování systému.
  • Co nejméně možností a privilegií pro lokální účty. Pokud uživatelé nepotřebují možnost zapisovat v síti, nedávejte jim ji.
  • Zrušení možnosti spouštět makra v kancelářském balíčku Office. Co nejvíce omezit spouštění skriptů typu JavaScript, Powershell a VBScript ve Windows.
  • Deaktivace plug-inů v prohlížeči, které nejsou nutně potřeba. Hodí se také využít EMET toolkit Microsoftu.
  • Zamezit programům možnost používat dočasné složky a jiná běžná umístění, které využívá malware.
  • Spouštět potenciálně riskantní soubory ve virtualizovaném prostředí; zauvažovat nad možnosti whitelistingu.
  • Pravidelně data zálohovat, ověřovat integritu zálohy a fyzické separování nejdůležitějších síťových segmentů.
  • Vytvořit několik záloh offline i online, například také v cloudu. Počítače by neměly být permanentně připojeny k místu zálohy.