Černému trhu zde výrazně napomáhá existence anonymizovaných plateb v systémech typu bitcoinu; pro podvodníky jde vzhledem k tomu o jednu z nejjednodušších metod, jak přímo vydělat na infekci cizích počítačů. Funguje zde rozsáhlý ekosystém, kde se najde místo jak pro samotné tvůrce, tak pro ty, kdo poskytují nebo používají ransomware v podobě služby.

Petya a WannaCry

V poslední době jsme zaznamenali dva značně medializované útoky spojené s šířením ransomwaru: kampaně Petya a WannaCry, přičemž mezi oběma globálními epidemiemi uplynuly pouhé dva měsíce.

V prvním (novějším) případě patřila k postiženým zemím především Ukrajina a nefunkčnost platebního mechanismu dokonce vzbudila podezření, že šlo ve skutečnosti primárně o útok na kritickou ukrajinskou infrastrukturu. Starší kampaň WannaCry zasáhla rovněž především Ukrajinu, dále i Rusko, Španělsko, Indii, Tchaj-wan či Filipíny a ochromila také některá zdravotnická zařízení ve Velké Británii. ČR byla v obou případech postižena relativně nevýznamně.

Už fakt, že se dnes možná některé útoky za ransomware pouze maskují, ukazuje, že se jedná o dominantní formu počítačové kriminality - "počítačové" v širším slova smyslu, protože ransomware stále častěji zamyká i mobilní zařízení. Lze očekávat, že ransomware se bude také stále více zaměřovat na uzamykání průmyslových systémů (ICS, SCADA, PLC...) a zařízení z kategorie internetu věcí (IoT). Co se týče jednotlivých zasažených trhů (sektorů podnikání), podvodníci šíří ransomware cíleně i plošně. V poslední době k obětem patřila právě zdravotnická zařízení, v minulosti ale stejně tak i např. státní správa. Relativně odolné jsou v tuto chvíli snad jen banky/finanční služby, které disponují robustním zabezpečením i kvalifikovaným personálem. V jiných oborech však bezpečnost IT bývá podfinancována na úrovni nasazených technologií i lidského faktoru. Z téhož důvodu jsou ransomwarem značně ohroženy spíše menší a střední než velké firmy.

 

81 %

Takové procento IT profesionálů podle průzkumu Barkly věří, že data ze záloh dokážou plně obnovit. U firem zasažených ransomwarem se to ve skutečnosti ale podařilo méně než polovině z nich.

Jednoduché i sofistikované útoky

Čísla za loňský rok (podrobněji viz letošní květnová příloha, kde jsme o tom už psali) jsou dostatečně výmluvná; s ransomwarem se během roku setkalo 20 % podniků, ransomware byl mezi nejčastějšími typy malwaru vůbec, celkové škody přesahovaly miliardu dolarů atd. Všechno nasvědčuje tomu, že tyto hodnoty letos dále porostou. Podle loňského průzkumu Verzionu je hlavním vektorem pro šíření ransomwaru v tuto chvíli obyčejný e-mail. ProofPoint pak dodává, že až 96 % podvodných e-mailů se dnes snaží přímo či nepřímo právě o distribuci ransomwaru. Podvodné weby, které se pokoušejí distribuovat ransomware (pomocí tzv. exploit kitů může k infekci dojít už při návštěvě stránky bez toho, aby uživatel něco dalšího stahoval a spouštěl), svým provozovatelům vydělávají tolik, že se na ně snaží přilákat oběti i pomocí placených reklamních kampaní.

V některých případech je ransomware stále sofistikovanější, když se např. snaží poznat, kde se aktuálně uchytil, a podle toho přizpůsobuje výši požadované částky. Protože podvodníci mají zájem na tom, aby jim oběti platily, dělají tento proces uživatelsky co nejjednodušší, poskytují návody, a dokonce i on-line obdobu asistenčních linek a technické podpory. Zejména při útoku na server ransomware nemusí data pouze šifrovat, ale také si je stáhnout; podvodníci pak navíc vyhrožují, že ukradené důvěrné informace vystaví na internetu nebo zkusí prodat konkurenci.

Podle řady průzkumů pokročilý ransomware dokáže často obejít běžné antiviry/antimalwarová řešení. Nebývá proti němu účinný firewall, mnohdy nepomůže ani filtrování e-mailu/webový štít. Právě vzhledem k tomu ani velký objem investic do zabezpečení sám o sobě ještě neznamená, že firma je před ransomwarem účinně chráněna. Na druhé straně bývají stále účinné i útoky celkem primitivní, kdy použitý ransomware třeba jen imituje nějakou pokročilejší kampaň.

 

Tipy pro ochranu před ransomwarem

- Vytvořit chráněné oblasti (segmenty sítě, servery, databáze, úložiště, složky...), kde podobné operace nelze vůbec provádět.
- Nasadit specializovaná řešení, která odhalí hromadné šifrování souborů a proces rychle zastaví (povolí pokračování pouze se svolením uživatele apod.).
- Uživatelé mají mít pouze taková oprávnění, která potřebují pro svou práci (to může zahrnovat např. i plošný zákaz maker, whitelisting apod.).
- Vylepšit ochranu cest, kudy ransomware do organizace proniká (obrana proti exploit kitům z webu, přílohám a odkazům v e-mailu).
- Samozřejmostí by měla být funkční politika zálohování; ransomware se ale snaží infikovat i zálohovací agenty, takže mnohdy dokáže zničit i zálohy.
- Vytvořit plány obnovy a zajištění kontinuity podnikání; pravidelně tyto plány/scénáře testovat.
- Zvážit geoblokaci, tj. zákaz komunikace s určitými oblastmi, doménami apod.

Když už dojde k incidentu, vyděračům by se nemělo platit. Důvodů existuje celá řada: není žádná záruka, že se organizace dostane zpět k datům. Platit zločincům znamená, že se organizace dostane do jejich hledáčku jako možný příští/opakovaný cíl.

Řada dodavatelů zabezpečení poskytuje zdarma nástroje, které umožní zašifrovaná data opět odemknout. Dešifrovací klíče bývají publikovány např. v rámci projektu NoMoreRansom, na němž se podílí hned několik organizací.

 

Článek byl publikován v ICT revue 9/2017.