Ransomvér sa kedysi vyznačoval tým, že útočník zašifroval citlivý obsah, ku ktorému sa obeť dostala až po zaplatení výkupného. Dnes si útočníci nechávajú otvorené zadné dvierka pre prípad, že by obeť útoku odmietla zaplatiť za sprístupnenie dát, ktoré má zálohované inde. Aby hackeri vedeli aj v takom prípade vymáhať peniaze, súbory si kopírujú v predstihu s cieľom vydierať ich zverejnením. To si vyžaduje, aby pomocou sofistikovaných metód dlhšiu dobu nepozorovane sliedili v zariadeniach napadnutých osôb alebo firiem. Pred týmito hrozbami dokážu používateľov ochrániť riešenia na detekciu a reakciu na útoky na koncové zariadenia (EDR - Endpoint Detection and Response), vrátane nášho sofistikovaného nástroja ESET Enterprise Inspector.
Mnohé podoby ransomvéru
Počas svojej evolúcie od konca 80. rokov minulého storočia mal ransomvér mnohé podoby. Najprv cez infikované diskety napádal počítače, kde ukrýval adresáre a šifroval názvy súborov na harddisku. Používateľa vírus vyzval, aby si obnovil licenciu zaslaním 189 dolárov do poštovej schránky na Paname. Známe sú aj prípady, keď útočníci zablokovali celé zariadenia, bez toho aby niečo zašifrovali. Výnimkou nie je ani uzamknutie obrazovky či zobrazovanie pornografických materiálov. Spoločným menovateľom všetkých nepríjemných situácií je vymáhanie výkupného.
Zablokovanie obsahu útočníkom už nestačí
Mnohé firmy sa rokmi z útokov poučili. Zaviedli ochranné technológie, vytvorili si odolné zálohy a sú čoraz menej ochotné platiť hackerom za sprístupnenie údajov. Útočníci sa však svojich príjmov vzdať nechcú a preto čoraz častejšie siahajú po Pláne B. Nespoliehajú sa už iba na šifrovanie a blokovanie súborov. Citlivé dokumenty si rovno kopírujú. Obetiam sa následne vyhrážajú, že ich v prípade nezaplatenia zverejnia. Nejde pritom o novú techniku vydierania, no tak ako upozorňuje správa ESET Cybersecurity Trends 2021, týchto útokov pribúda čoraz viac.
Takýto postup je zdĺhavejší a vyžaduje si, aby útočníci disponovali arzenálom špecifických zručností, no taktiež dávkou trpezlivosti. Do siete sa musia hackeri dostať potichu, pričom im nestačí rozposlať jednoduché phishingové maily a dúfať, že nepozorný zamestnanec vpustí do systému ransomvér. Vstupnými bránami pre takéto útoky bývajú napríklad aj zraniteľnosti protokolov na vzdialený prístup, útoky zamerané na krádež prístupových údajov ale aj tradičné techniky sociálneho inžinierstva.
Akonáhle sa útočníkom podarí preniknúť do firemnej siete, musia sa v nej pohybovať bez povšimnutia. V tejto fáze zbierajú informácie a ďalšie prístupové údaje, ktoré im zabezpečia zotrvanie v systéme aj po odstrihnutí pôvodnej prístupovej cesty. Zmapovanie firemných dokumentov je časovo náročné. Hackerské skupiny totiž cielia na dáta, ktoré majú pre firmy cenu zlata. Útočníci idú po súboroch, ktorých zablokovanie alebo zverejnenie by spoločnostiam spôsobilo kolosálne škody. Až keď ich potajomky získajú, prechádza útok do otvoreného vymáhania peňazí.
Astronomické výkupné
Nutnosť financovania sofistikovanejších taktík sa premietla aj do cenníkov hackerských skupín. Nárast požadovaného výkupného je astronomický. Pre ilustráciu, v roku 2018 zasiahol americkú Atlantu tradičný ransomvérový útok. Hackeri zašifrovali servery kľúčovej infraštruktúry a požadovali od mesta 51 000 dolárov. Atlanta reagovala správne, odmietla zaplatiť a infraštruktúru si vybudovala nanovo za 9 a pol milióna dolárov. Rok na to útočníci zasiahli mestá Lake City a Riviera Beach City na Floride, ktoré sa rozhodli hackerom vyhovieť a obe zaplatili 500 000 a 600 000 dolárov.
Od austrálskej spoločnosti na výrobu nápojov žiadali útočníci miliónové výkupné, firma však zaplatiť odmietla. Po Kalifornskej univerzite v San Franciscu chceli hackeri až tri milióny dolárov, škola im nakoniec zaplatila viac ako milión. V porovnaní s týmito sumami vyzerá výkupné požadované pred troma rokmi od Atlanty ako zanedbateľné. Všetko však nasvedčuje tomu, že zvyšovanie výkupného bude pokračovať aj naďalej.
S pribúdajúcimi útokmi cez domovské programy treba držať krok Zistiť viac
Ako sa chrániť?
Spoločnosti, ktoré sa rozhodnú investovať do prevencie, sa katastrofického scenára o nútenom vyplácaní sedemciferných súm nemusia obávať. Proti sofistikovaným ransomvérovým útokom totiž existuje účinná ochrana, konkrétne nástroj na detekciu a reakciu na útoky na koncové zariadenia (EDR). Spoločnosť ESET je so svojim riešením ESET Enterprise Inspector o krok pred útočníkmi. Tento EDR nástroj dokáže odvrátiť už prvú skrytú fázu ransomvérového útoku, ktorú neodhalil základný bezpečnostný softvér. ESET Enterprise Inspector umožňuje detailnú analýzu podozrivých aktivít v počiatočnom štádiu útoku, čím zabráni hackerom dostať sa hlbšie do systému. EDR riešenie nepretržite v reálnom čase monitoruje siete a aktivity na koncových zariadeniach. Ransomvéry tak proaktívne vyhľadáva včasnou detekciou skrytých vnútorných hrozieb či phishingu.
To, že sa dá na EDR riešenie od spoločnosti ESET naozaj spoľahnúť, potvrdzuje aj nezávislá testovacia organizácia AV-Comparatives vo svojej správe Endpoint Prevention and Response (EPR) Comparative Report. V jednom z najkomplexnejších testov, ktoré skúmajú EDR riešenia, bol ESET menovaný za strategického lídra, čo predstavuje najvyššiu certifikáciu v danom hodnotení.
Zaregistrujte sa k prijímaniu ESET newslettra
Odborné články, bezpečnostné upozornenia, pozvánky na konferencie či špeciálne ponuky. Prihláste sa k odberu noviniek a získajte jedinečný obsah priamo do vašej e-mailovej schránky.