Hrozba zvaná ransomware

Hrozba zvaná ransomware

Hit dnešní počítačové kriminality se týká každého

Nedávno se v Praze uskutečnila odborná tisková konference s názvem Ransomware aneb zaplať, nebo…!, kterou pořádal celosvětový lídr v oblasti bezpečnostních řešení, společnost Trend Micro.

Setkání bylo zaměřené na problematiku ransomware. Proč je tak účinný, jak se změnil s časem, jaký má vliv na pouliční kriminalitu, a jakým způsobem si útočníci vybírají své oběti?

Ransom znamená anglicky výkupné a to je přesně to, o co hackerům při útocích jde. Za odblokování počítače a zpřístupnění uložených dat si žádají sumy v rozmezí stovek až desítek tisíc amerických dolarů. Ransomware tak pro počítačové podsvětí znamená skutečně výdělečný byznys. Nejčastěji žádají kyberzločinci částku 400 dolarů a platbu v Bitcoinech, aby ji nešlo vysledovat. Ransomware je v podstatě specializovaným druhem malware, který z více než 80 procent využívá techniku zašifrování dat v napadených systémech. Evolučně tím navazuje na ransomware, který pouze žádal o výkupné, vyhrožoval, ale data ještě nešifroval. Nejde přitom o ojedinělou záležitost, každý měsíc se totiž objevují stovky tisíc nových unikátních vzorků ransomware.

Ransomware funguje úplně jednoduše. Na obrazovce se vám objeví oznámení, že veškerá data ve vašem počítači byla zašifrována, a za jejich dešifrování musíte zaplatit. Součástí bývá návod na platbu v Bitcoinech, a někdy dokonce i chatovací okénko. V této chvíli je už váš počítač nakažen, a je dobré vyhledat odbornou pomoc.

Screen Shot 2016-06-22 at 20.25.12Screen Shot 2016-06-22 at 20.26.04Screen Shot 2016-06-22 at 20.26.15

Po útoku ransomware rozhodně nic neplaťte!

Účastníky konference přivítal Michal Jarski, regionální obchodní ředitel Trend Micro pro oblast střední a východní Evropy. Ve svém úvodním slovu věnoval jak samotné podstatě ransomware, tak i vážnosti a širším souvislostem spojeným s tímto typem hrozby. Uvedl například, že jen reportované ztráty amerických uživatelů a organizací již dosáhly desítek miliónů dolarů. Realita bude ovšem s největší pravděpodobností mnohem horší, odhady totiž hovoří o přibližně 90 tisících nových úspěšných infiltrací denně.

Zpochybnil také falešnou představu o dlouhodobosti útoku ransomware. 60 procent zdrojů – webových stránek s tímto typem infekce, ve skutečnosti neexistuje déle než jednu hodinu. Svůj účel rychle splní a zaniknou. Počítačoví zločinci jsou tak v reálném bezpečí před odhalením a jasný nepoměr mezi rizikem a možným výdělkem hraje v jejich prospěch.

Zločince lze dohledat je velmi obtížně

Řešení využívaná pro vývoj hrozeb typu ransomware jsou velmi flexibilní a umožňují rychle reagovat na změny podmínek. Pružnost je dokonce tak velká, že se dnes začíná objevovat i ransomware dostupný jako služba. Za pěti až dvacetiprocentní podíl jsou na černém trhu k dispozici platformy, které umožňují snadnou tvorbu a aplikovaní své vlastní varianty ransomware. Vedle rychlé a snadné tvorby nového ransomware patří mezi závažné důsledky tohoto trendu také velmi malá šance na odhalení skutečných aktérů bezpečnostního incidentu. Jinak řečeno, peníze zaplacené jako výpalné již s největší pravděpodobností vyjma zločinců nikdo nedohledá.

„V oblasti informačních technologií se pohybuji již více než patnáct let a mohu potvrdit, že v poslední době dochází k jasné změně v motivech hackerů. Počítačoví zločinci se stále častěji orientují na generování finančních zisků a ostatní dříve rozšířené motivy včetně touhy po uznání ustupují do pozadí. Bohužel ransomware je přesně tím typem hrozby, který tento trend umožňuje a podporuje,“ dodal Michal Jarski.

Předchozí slova potvrdil i Robin Bay, Sales Engineer společnosti Trend Micro a jeden z členů české pobočky této globální společnosti. Vedle konkrétních příkladů, mimo jiné na University of Calgary, kde zaplatili výkupné ve výši 20 tisíc dolarů, účastníkům konference podrobně popsal, jak ransomware funguje a zaměřil se i na možné reakce v případě úspěšných infiltrací. Vyvrátil zažitou představu, že ransomware cílí jen na lokální zdroje a upozornil, že k zašifrování může dojít i u dat uložených na sdílených síťových discích. Infiltrace navíc nejsou primárně zapříčiněné nedostatečnou softwarovou nebo hardwarovou ochranou, ale selháním lidského faktoru. Technické prostředky přebírají svůj díl viny až v dalších fázích, kdy zejména nedokáží včas nebo vůbec zachytit následnou komunikaci. Velmi důležitá je proto mnohovrstvá ochrana.

Můžeme si za to částečně sami

Robin vyzdvihl i souvislost počítačové kriminality s „běžně známou“ zločinností. Díky novým možnostem online kriminality dochází k poklesu klasické kriminality a naopak k nárůstu té kybernetické. Upozornil také na to, že hackeři již dávno nejsou pouze teenageři v přítmí sklepení, ale najdou se mezi nimi i vysoce vzdělaní lidé s  rozsáhlými IT znalostmi.  Dále se věnoval také psychologickému pohledu na úspěšnost tohoto typu hrozby, která je vysoká díky zaměření na strach obětí – například zaměstnanci často nechtějí přiznat, že o data přišli, a tak raději zaplatí. Strach působí i u soukromých uživatelů, kterým kyberzločinci mnohdy vyhrožují, že zveřejní jejich intimní fotografie, citlivé osobní údaje, účetnictví apod. Psychologii útočníci využívají i při jednání o výši výkupného, kdy obětem dávají určitý čas na rozmyšlenou a cenu s přibývajícím časem zvyšují.

Boj s ransomware mají ale stále ve svých rukou samotní uživatelé. Vedle technických prostředků mohou plány hackerů zmařit zejména zálohováním v režimu 3-2-1 (3 kopie na 2 různých zařízeních s 1 geograficky oddělenou zálohou nepřipojenou do primární síťové infrastruktury), prováděním aktualizací, definováním i prosazováním bezpečnostních politik i zvyšováním bezpečnostního povědomí uživatelů. Ale pravděpodobně nejdůležitější je výkupné nikdy neplatit! Jednak existují případy, kdy zaplacení obětem nepomohlo, jednak úhradami ransomware nezmizí – právě naopak.

Screen Shot 2016-06-22 at 20.27.08

Množí se útoky na nemocnice

„Stále častějším cílem ransomware jsou dnes bohužel i státní instituce a sektor veřejných služeb včetně zdravotnictví. Je to pochopitelné, protože například ve zdravotnickém zařízení je obhajitelnější nákup léčebného přístroje než kvalitní ochrany proti počítačovým hrozbám. Jen ve Spojených státech amerických se loni s úspěšným incidentem tohoto typu setkala více než polovina nemocnic,“ upozornil Robin Bay. „V českém prostředí takto přesnou statistiku nemáme, protože většina státních institucí i soukromých firem napadení ransomware a případně i zaplacení výkupného tají. To by ovšem měla změnit nová směrnice Evropské unie, která nařizuje závažné bezpečnostní incidenty oznamovat,“ dodal Robin Bay.

nemocnice

Zero Day Initiative

Poslední část konference byla věnovaná problematice neznámých hrozeb, na kterou se zaměřil Jiří Gogela, vedoucí české pobočky bezpečnostní laboratoře DVLabs. Tato laboratoř je součástí společnosti Trend Micro díky akvizici firmy Tipping Point z října loňského roku. Pobočka této laboratoře byla založena právě v Praze z několika důvodů. Praha nabízí vzdělané IT profesionály pracující za nižší platy než jejich kolegové v západní Evropě, i když tento rozdíl se již pomalu stírá. Za druhé je Praha nádherným místem k životu a tudíž i lákavou destinací pro vývojáře z okolních zemí, na rozdíl třeba od zvažované Sofie. Jako poslední a možná nejzajímavější důvod je relativní politická stabilita českého prostředí. DVLabs pracuje s velmi citlivými údaji, jejichž kompromitování například jinou vládou by mohlo mít fatální důsledky.

Jiří dále účastníky seznámil s fungováním programu Zero Day Initiative (ZDI), který slouží k podpoře nezávislých bezpečnostních výzkumníků v jejich úsilí o identifikaci dosud neznámých zranitelností a za poskytnuté informace nabízí lákavou finanční odměnu. Díky svým aktivitám zajišťuje DVLabs ochranu před slabinami systémů a infrastruktur již tři měsíce před zveřejněním konkrétní zranitelnosti. Na závěr pak nechyběla ani ukázka toho, jak DVLabs dokáže v některých případech zpětně zachytit proces kódování a odšifrovat zamknuté soubory bez nutnosti platit „výkupné“.

zero_day_iniciatochrana

Další příspěvky
John Wick 4 je skoro tříhodinová akční jízda
John Wick 4 je skoro tříhodinová akční jízda
Kdo by řekl,  že ze zastřeleného psa gangstera na odpočinku se nakonec vyklube globální akční bitva Johna Wicka (opět Keanu...
Canon EOS R8 a R50, dva nové fotoaparáty
Canon EOS R8 a R50, dva nové fotoaparáty
Plnoformátová kvalita v lehkém těle  Fotoaparát EOS R8 je vybavený plnoformátovým snímačem typu CMOS s rozlišením 24,2 milionu bodů, který...
Das Filmfest 2022 – nejnovější německy mluvené filmy
Das Filmfest 2022 – nejnovější německy mluvené filmy
Přichystány jsou na tři desítky nejnovějších filmů z Německa, Rakouska a Švýcarska, navíc i retrospektiva díla Rainera Wernera Fassbindera. Vše...