Nedávno se v Praze uskutečnila odborná tisková konference s názvem Ransomware aneb zaplať, nebo…!, kterou pořádal celosvětový lídr v oblasti bezpečnostních řešení, společnost Trend Micro.
Setkání bylo zaměřené na problematiku ransomware. Proč je tak účinný, jak se změnil s časem, jaký má vliv na pouliční kriminalitu, a jakým způsobem si útočníci vybírají své oběti?
Ransom znamená anglicky výkupné a to je přesně to, o co hackerům při útocích jde. Za odblokování počítače a zpřístupnění uložených dat si žádají sumy v rozmezí stovek až desítek tisíc amerických dolarů. Ransomware tak pro počítačové podsvětí znamená skutečně výdělečný byznys. Nejčastěji žádají kyberzločinci částku 400 dolarů a platbu v Bitcoinech, aby ji nešlo vysledovat. Ransomware je v podstatě specializovaným druhem malware, který z více než 80 procent využívá techniku zašifrování dat v napadených systémech. Evolučně tím navazuje na ransomware, který pouze žádal o výkupné, vyhrožoval, ale data ještě nešifroval. Nejde přitom o ojedinělou záležitost, každý měsíc se totiž objevují stovky tisíc nových unikátních vzorků ransomware.
Ransomware funguje úplně jednoduše. Na obrazovce se vám objeví oznámení, že veškerá data ve vašem počítači byla zašifrována, a za jejich dešifrování musíte zaplatit. Součástí bývá návod na platbu v Bitcoinech, a někdy dokonce i chatovací okénko. V této chvíli je už váš počítač nakažen, a je dobré vyhledat odbornou pomoc.
Účastníky konference přivítal Michal Jarski, regionální obchodní ředitel Trend Micro pro oblast střední a východní Evropy. Ve svém úvodním slovu věnoval jak samotné podstatě ransomware, tak i vážnosti a širším souvislostem spojeným s tímto typem hrozby. Uvedl například, že jen reportované ztráty amerických uživatelů a organizací již dosáhly desítek miliónů dolarů. Realita bude ovšem s největší pravděpodobností mnohem horší, odhady totiž hovoří o přibližně 90 tisících nových úspěšných infiltrací denně.
Zpochybnil také falešnou představu o dlouhodobosti útoku ransomware. 60 procent zdrojů – webových stránek s tímto typem infekce, ve skutečnosti neexistuje déle než jednu hodinu. Svůj účel rychle splní a zaniknou. Počítačoví zločinci jsou tak v reálném bezpečí před odhalením a jasný nepoměr mezi rizikem a možným výdělkem hraje v jejich prospěch.
Řešení využívaná pro vývoj hrozeb typu ransomware jsou velmi flexibilní a umožňují rychle reagovat na změny podmínek. Pružnost je dokonce tak velká, že se dnes začíná objevovat i ransomware dostupný jako služba. Za pěti až dvacetiprocentní podíl jsou na černém trhu k dispozici platformy, které umožňují snadnou tvorbu a aplikovaní své vlastní varianty ransomware. Vedle rychlé a snadné tvorby nového ransomware patří mezi závažné důsledky tohoto trendu také velmi malá šance na odhalení skutečných aktérů bezpečnostního incidentu. Jinak řečeno, peníze zaplacené jako výpalné již s největší pravděpodobností vyjma zločinců nikdo nedohledá.
„V oblasti informačních technologií se pohybuji již více než patnáct let a mohu potvrdit, že v poslední době dochází k jasné změně v motivech hackerů. Počítačoví zločinci se stále častěji orientují na generování finančních zisků a ostatní dříve rozšířené motivy včetně touhy po uznání ustupují do pozadí. Bohužel ransomware je přesně tím typem hrozby, který tento trend umožňuje a podporuje,“ dodal Michal Jarski.
Předchozí slova potvrdil i Robin Bay, Sales Engineer společnosti Trend Micro a jeden z členů české pobočky této globální společnosti. Vedle konkrétních příkladů, mimo jiné na University of Calgary, kde zaplatili výkupné ve výši 20 tisíc dolarů, účastníkům konference podrobně popsal, jak ransomware funguje a zaměřil se i na možné reakce v případě úspěšných infiltrací. Vyvrátil zažitou představu, že ransomware cílí jen na lokální zdroje a upozornil, že k zašifrování může dojít i u dat uložených na sdílených síťových discích. Infiltrace navíc nejsou primárně zapříčiněné nedostatečnou softwarovou nebo hardwarovou ochranou, ale selháním lidského faktoru. Technické prostředky přebírají svůj díl viny až v dalších fázích, kdy zejména nedokáží včas nebo vůbec zachytit následnou komunikaci. Velmi důležitá je proto mnohovrstvá ochrana.
Robin vyzdvihl i souvislost počítačové kriminality s „běžně známou“ zločinností. Díky novým možnostem online kriminality dochází k poklesu klasické kriminality a naopak k nárůstu té kybernetické. Upozornil také na to, že hackeři již dávno nejsou pouze teenageři v přítmí sklepení, ale najdou se mezi nimi i vysoce vzdělaní lidé s rozsáhlými IT znalostmi. Dále se věnoval také psychologickému pohledu na úspěšnost tohoto typu hrozby, která je vysoká díky zaměření na strach obětí – například zaměstnanci často nechtějí přiznat, že o data přišli, a tak raději zaplatí. Strach působí i u soukromých uživatelů, kterým kyberzločinci mnohdy vyhrožují, že zveřejní jejich intimní fotografie, citlivé osobní údaje, účetnictví apod. Psychologii útočníci využívají i při jednání o výši výkupného, kdy obětem dávají určitý čas na rozmyšlenou a cenu s přibývajícím časem zvyšují.
Boj s ransomware mají ale stále ve svých rukou samotní uživatelé. Vedle technických prostředků mohou plány hackerů zmařit zejména zálohováním v režimu 3-2-1 (3 kopie na 2 různých zařízeních s 1 geograficky oddělenou zálohou nepřipojenou do primární síťové infrastruktury), prováděním aktualizací, definováním i prosazováním bezpečnostních politik i zvyšováním bezpečnostního povědomí uživatelů. Ale pravděpodobně nejdůležitější je výkupné nikdy neplatit! Jednak existují případy, kdy zaplacení obětem nepomohlo, jednak úhradami ransomware nezmizí – právě naopak.
„Stále častějším cílem ransomware jsou dnes bohužel i státní instituce a sektor veřejných služeb včetně zdravotnictví. Je to pochopitelné, protože například ve zdravotnickém zařízení je obhajitelnější nákup léčebného přístroje než kvalitní ochrany proti počítačovým hrozbám. Jen ve Spojených státech amerických se loni s úspěšným incidentem tohoto typu setkala více než polovina nemocnic,“ upozornil Robin Bay. „V českém prostředí takto přesnou statistiku nemáme, protože většina státních institucí i soukromých firem napadení ransomware a případně i zaplacení výkupného tají. To by ovšem měla změnit nová směrnice Evropské unie, která nařizuje závažné bezpečnostní incidenty oznamovat,“ dodal Robin Bay.
Poslední část konference byla věnovaná problematice neznámých hrozeb, na kterou se zaměřil Jiří Gogela, vedoucí české pobočky bezpečnostní laboratoře DVLabs. Tato laboratoř je součástí společnosti Trend Micro díky akvizici firmy Tipping Point z října loňského roku. Pobočka této laboratoře byla založena právě v Praze z několika důvodů. Praha nabízí vzdělané IT profesionály pracující za nižší platy než jejich kolegové v západní Evropě, i když tento rozdíl se již pomalu stírá. Za druhé je Praha nádherným místem k životu a tudíž i lákavou destinací pro vývojáře z okolních zemí, na rozdíl třeba od zvažované Sofie. Jako poslední a možná nejzajímavější důvod je relativní politická stabilita českého prostředí. DVLabs pracuje s velmi citlivými údaji, jejichž kompromitování například jinou vládou by mohlo mít fatální důsledky.
Jiří dále účastníky seznámil s fungováním programu Zero Day Initiative (ZDI), který slouží k podpoře nezávislých bezpečnostních výzkumníků v jejich úsilí o identifikaci dosud neznámých zranitelností a za poskytnuté informace nabízí lákavou finanční odměnu. Díky svým aktivitám zajišťuje DVLabs ochranu před slabinami systémů a infrastruktur již tři měsíce před zveřejněním konkrétní zranitelnosti. Na závěr pak nechyběla ani ukázka toho, jak DVLabs dokáže v některých případech zpětně zachytit proces kódování a odšifrovat zamknuté soubory bez nutnosti platit „výkupné“.