Jaké jsou nejnovější trendy v oblasti ransomwaru?

Ransomware je jednou z nejčastějších kybernetických hrozeb pro malé a střední podniky (SMB). Útoky proti databázím, webovým serverům a chytrým telefonům jsou podle našich dat na vzestupu. Přestože se snažíte firemní data adekvátně zabezpečit, útočníci neustále hledají jakékoli slabosti vaší obrany.

V roce 2019 se jedna z pěti SMB firem stala obětí ransomware a v průběhu koronavirové krize se objevily nové typy útoků. Podle zprávy Cybersecurity Ventures o globálních nákladech na řešení ransomware cílil v roce 2020 nějaký ransomware na firmy každých 11 vteřin.

I když se vám podaří chránit před těmito útoky zařízení, stále můžete prohrát boj s jinými vektory, například neopravenými zranitelnostmi. Špatně zabezpečený protokol RDP (Remote Desktop Protocol), příliš mnoho současně otevřených online služeb, neaktualizované operační systémy nebo zastaralé verze bezpečnostních řešení - to vše jsou rizikové faktory, které je třeba vzít v úvahu. Krom toho začali útočníci krást data a vyhrožovat jejich zveřejněním, což je asi největší trumf, který mají v rukávu.

Firmy často používají zastaralá bezpečnostní řešení, ve kterých mohou chybět některé zásadní ochranné vrstvy nezbytné k odražení ransomwaru.

Postupy útočníků se rychle mění, proto je na místě zvolit takové řešení, které nabídne vícero ochranných vrstev. Efektivní IT bezpečnostní řešení vyžaduje investice. Stále je ale levnější a efektivnější investovat do preventivních kroků, než řešit následky útoku.

Jedním z nejnebezpečnějších metod útočníků je doxing. Náš bezpečnostní expert Václav Zubr popsal jak funguje:

Náklady spojené s ransowmarem rostou

Ve zprávách vidíme příklady útoků velmi často. Posledním příkladem může být útok na americkou společnost Colonial Pipeline, výsledkem bylo vypnutí významného amerického ropovodu a omezení dodávek benzínu a nafty po východním pobřeží USA na několik dní. Výše výkupného byla astronomická, společnost za obnovení dat zaplatila 5 milionů dolarů. 

Nejrozšířenější forma ransomwaru - kryptoransomware - šifruje uživatelské soubory uložené na disku a sdílené síťové složky. Žádná společnost není pro tento typ kyber útoku příliš malá. Podle průzkumu společnosti Infrascale mezi 500 SMS společnostmi, bylo 46 % napadeno ransomwarem. Z infikovaných společností téměř tři čtvrtiny zaplatily výkupné.

Loni útočníci průměrně požadovali za dešifrovací klíče v průměru 170 tisíc dolarů (v roce 2019 šlo “pouze” o 80 tisíc dolarů), v případě ambiciózních skupin jako Maze nebo RagnarLocker se jednalo až o 1-2 miliony dolarů.

Evropská agentura pro kybernetickou bezpečnost (ENISA) uvádí, že v roce 2019 bylo na výkupném zaplaceno přes 10 miliard eur.

V posledních letech se náklady na škody způsobené ransomwarem dramaticky zvyšují.

Častými oběťmi jsou místní samosprávy, univerzity, letiště či hotely, protože běžně využívají neaktualizované nebo špatně konfigurované systémy. V roce 2019 napadli útočníci správu města Baltimore (USA), město muselo za obnovu dat nakonec uhradit 10 milionů dolarů a dalších 8 milionů za ušlý zisk (navzdory tomu, že nezaplatili ani dolar na výkupném). Mimochodem výkupné bylo tehdy stanoveno „jen“ na necelých 80 tisíc dolarů.

I v tomto odvětví existuje šedá zóna, kam se řadí firmy, které útok nenahlásí, a snaží se zabránit hrozícím pokutám ze strany úřadů a možnému poškození reputace. Často také nejsou ochotné připustit, že jejich zabezpečení obsahovalo kritické chyby.

Ransomwarové gangy zveřejňují jména svých obětí i uniklá data na darkwebu. Útočníci takto nutí firmy vyjednávat, protože útok prostě není možné utajit. Platí, že prevence je tou nejlepší obranou a také jedním z hlavních požadavků úřadů.

Útočníci jsou čím dál agresivnější

Než se ransomware začal zaměřovat na organizace, používali hackeři jako hlavní distribuční kanál spam. Když se podařilo kompromitovat zařízení obětí, požadovali útočníci výkupné v řádu několika stovek dolarů. Tento „obchodní model“ ale moc nevynášel.

Dnes se nejedná o izolované útočníky, ale velmi dobře organizované skupiny. Zaměřují se většinou na nesprávně nakonfigurované služby a slabě zabezpečený vzdálený přístup jejich obětí. Jednání o výkupné probíhá také jinak – ceny se obvykle určují až po infiltraci podle cennosti zašifrovaných a ukradených dat, každá společnost platí jinou cenu. K distribuci ransomwaru se dnes už běžně používají botnety.

Za ransomwarem stojí dobře organizované skupiny, které o výkupném vyjednávají.

Změnil se i způsob, jakým útočníci žádají výkupné. Namísto komplexního vzkazu se všemi informacemi včetně výše výkupného, dostane oběť jenom jednoduchý textový soubor, který ji přesměruje na vstupní stránku nebo e-mailovou adresu, kde musíte vyjednat cenu za dešifrování a smazání ukradených dat. Zkušenější ransowmare skupiny mají někdy k dispozici i vlastní technickou podporu, která pomůže firmám s nákupem a převodem bitcoinů.

Další velký trend se objevil v listopadu 2019, skupina Maze prvně použila doxing (někdy se také označuje jako dvojité vydírání). Jde o techniku, kdy útočníci odcizí citlivé informace a vyhrožují jejich zveřejněním.

Útočníci tak mají páku na neplatící firmy, protože pokuty za porušení GDRP mohou být enormní, nemluvě o publikování odcizených citlivých informací, interní komunikace nebo i patentů společnosti. Doxing se ukázal jako velmi efektivní a převzali jej další skupiny.

Trendy, které ovlivňují ransomware útoky

Otevřené porty - zejména protokol vzdálené plochy (RDP) - byly klíčovým vektorem pro útoky ransomwaru. Hackeři aktivně prováděli brute-force útoky na RDP, ale zneužívali i zranitelnosti v dalších řešení například Fortinet VPN nebo Microsoft Exchange. S prolomenými přístupy k RDP se také čile obchoduje.

Ransomwarové útoky jsou stále sofistikovanější. Kromě zašifrování a krádeže dat mohou útočníci nyní také zahájit útok DDoS na váš web, což zvyšuje tlak na zaplacení výkupného.

Gangy firmám neumožní utajit incident, aby si zachránily reputaci. Naopak – se je pokusí co nejvíce zostudit, zveřejní na darkwebu jména obětí a eventuálně i ukradená data. V neposlední řadě se s daty obchoduje v aukcích, kde je může také získat konkurence.

Aby se zvýšil tlak, některé ze skupin ransomwaru využívají tzv. print-bombing. Útočníci přinutí všechny dostupné tiskárny v síti společnosti tisknout žádosti o výkupné.

Od srpna 2020 skupiny navolávají firmy (tzv. cold-calling), které se snaží platbě vyhnout. Tyto hovory se většinou uskutečňují prostřednictvím smluvních call center.

Útočníci kontaktují také přímo zákazníky napadené firmy a tvrdí, že právě jejich data mohla být součástí úniku. Zvyšují tak nepřímý tlak na oběť a ještě víc tak poškozují její reputaci.

Ztráty způsobené ransomwarem mohou firmy i zničit

Cena ransomwaru nekončí zaplacením výkupného. Dodatečné náklady se projeví, pokud dojde ke snížení produktivity nebo výpadku ve výrobě. Je nutné uvážit také náklady na případné pokuty od Úřadu na ochranu osobních údajů.

Jakmile ransomware udeří, může být velmi obtížné obnovit IT systémy a dobré jméno společnosti. Můžete strávit dlouhé hodiny nápravnými pracemi, aniž by se firma z incidentu zcela zotavila.

Novým trendem, který ještě více zvyšuje riziko, je kombinace šifrování dat s exfiltrací dat. Útočníci nejen šifrují, a tím odepírají přístup k prototypům nebo patentům či výzkumu, ale mohou také tyto informace exfiltrovat a prodávat na darkwebu.

Vývojáři ransomwaru Sodinokibi v rozhovoru pro ruský technologický blog OSINT tvrdili, že za rok 2020 vydělali přes 100 milionů dolarů. Podle odhadů FBI získali operátoři Ryuku mezi lety 2013 a 2019 bitcoiny v hodnotě kolem 150 milionů dolarů.

Jak se před ransomwarem chránit?

Nečekejte, až se u vás nějaký incident objeví. Chraňte svůj RDP silným heslem a vícefaktorovým ověřováním.

Pravidelně zálohujete data a operační systémy. Alespoň jednu plnou zálohu nejcennějších dat uchovávejte offline.

Udržujte veškerý software a aplikace - včetně operačních systémů - aktuální. Implementujte správně nakonfigurované, spolehlivé vícevrstvé bezpečnostní řešení, které je opravené pro nejlepší ochranu před ransomwarem.

Pomůže také nasadit EDR systém (Endpoint Detection and Response), který dokáže včas zareagovat na nestandardní dění na jakékoliv koncové stanice a předejít případnému šíření infekce.

Pravděpodobnost útoku prostřednictvím nové nebo neznámí hrozby snížíte také tím, že přidáte další ochrannou vrstvu – izolovaný cloudový sandbox. Ten v bezpečném virtuálním prostředí mimo vaši síť spustí podezřelé soubory a vyhodnotí, zda jsou rizikové.

V neposlední řadě doporučujeme školit pravidelně zaměstnance, aby dokázali sami kybernetické hrozby identifikovat a naučte je jak reagovat na nestandardní chování.

Podívejte se na články z dalších kategorií: