Ransomware vítězí do tří sekund

Lukáš Kříž, 02. září 2016 16:00 6 komentářů
Ransomware vítězí do tří sekund

Ztratit všechna data nebo zaplatit nejisté výkupné? Tuto otázku řeší v posledních letech oběti úspěšných ransomwarových útoků. A rozhodně nejde jen o uživatele mobilních telefonů, kteří se se ztrátou smíří relativně snadno. Tvůrci ransomwaru cílí i na SMB.

Ransomware patří aktuálně k nejdiskutovanějším tématům počítačové bezpečnosti. Tento typ škodlivého kódu se ale neobjevil nově, zažívá spíše renesanci. První zdařilé útoky proběhly podle odborných zdrojů zhruba před jedenácti lety. Proč jsou tak úspěšné a rozšířené?

Protože jsou velmi výnosné a současně efektivní. Slovo ransom označuje v anglickém originále výkupné. A právě útočníky požadovaný obnos představuje v lepším případě to, co dělí oběť od jejího zařízení nebo systémů.

Dvě skupiny ransomwaru

Historicky se vyvinuly dvě skupiny ransomwaru. První šifruje obsah na napadeném zařízení, druhá uzamyká operační systém řádnému uživateli. Po zaplacení požadované částky obdrží oběť dešifrovací klíč, s jehož pomocí se opět dostane ke svým datům. Objevují se ale i případy, kdy výkupné ke kýženému cíli nevede. Útočníci si tak vzájemně „kazí byznys”, protože ochota platit se díky těmto případům snižuje.

Novodobé typy ransomwaru kombinují velmi vyspělé formy distribuce, které počítají s předpřipravenou infrastrukturou nebo s nástroji označovanými termínem „crypter”, které slouží k ochraně, skrytí škodlivých kódů před bezpečnostním softwarem. Populárním se stává také zapojení off-line šifrovacích metod, při nichž ransomware využívá legitimních prvků v počítačových systémech, jako je například CryptoAPI firmy Microsoft. V podobných případech odpadá nutnost komunikace škodlivého kódu s tradičním centrem C2 – Command and Control.

Ohroženy jsou i SMB

Oborová média věnují pozornost především velkým organizacím, jež čelily infekci ransomwaru. Ve Spojených státech šlo jen v roce 2016 velmi často o zdravotnická zařízení, například MedStar nebo Hollywood Presbytarien Medical Center. Jak ale upozorňují experti společnosti Arctic Wolf Networks, hrozbu ransomwaru nesmějí podceňovat ani malé a středně velké podniky (SMB). Vzhledem k omezeným rozpočtům mohou být podstatně zranitelnější než korporace.

Za první letošní pololetí zaznamenali experti firmy Arctic Wolf mezi svými SMB klienty 433procentní meziroční nárůst četnosti ransomwarových útoků. A v násobcích uvádí svá zjištění na toto téma i společnost Kaspersky Labs. Ve sledovaném, blíže nespecifikovaném dvanáctiměsíčním, období let 2014 a 2015 zaznamenala globálně přes 131 tisíc pokusů o infekci ransomwarem. O rok později to bylo již 718 tisíc útoků.

V podstatě každý kybernetický útok ohrožuje provoz, jméno a budoucnost napadené organizace. Úspěšný atak ransomwaru ale dokáže celý byznys okamžitě zastavit. Organizace ztratí přístup k souborům, serverům, zařízením. Pokud na takovou situaci není připravena, což menší podniky nebývají, přestává na neurčitou dobu fungovat.

Jak ransomware funguje

Jak ransomware do podniku pronikne? Podobně jako řada jiných druhů škodlivých kódů se tak děje prostřednictvím e-mailu, obvykle phishingového. Uživatel otevře legitimně působící zprávu, klikne na doporučený odkaz a nainstaluje kód do svého systému. V tomto okamžiku se ale podle expertů firmy Arctic Wolf projeví jedinečná vlastnost ransomwaru. Na rozdíl od jiných typů škodlivých kódů, které se skrývají a nijak rychle se po infikování systému neprojevují, přistoupí ransomware k akci bez prodlení. Okamžitě po instalaci se zaktivuje a zažádá vzdálený server (nebo místní službu) o klíč, s jehož pomocí napadené prostředí zašifruje.

Analytici firmy Arctic Wolf došli ke zjištění, dle kterého mezi přijetím phishingového e-mailu a zahájením šifrování systému uplynou v ideálním případě tři vteřiny. Ransomware obvykle nebývá navržen pro své další šíření na jiné počítače. Má rychle zahájit akci a způsobit škodu. Uživatelé si ovšem „důležité” e-maily běžně přeposílají, čímž infekce nabývá na intenzitě.

Ransomware se podobně jako jiné škodlivé kódy stal dobrým byznysem i pro jeho tvůrce. Lawrence Abrams, expert na bezpečnost, objevil na tzv. temném webu stránku s názvem „Peklo ransomwaru”. Na ní si potřebné nástroje mohl za dva tisíce dolarů pořídit i naprostý začátečník. Obchodní modely se však vyvíjejí. Existují i nabídky, které nástroje pro infikování a odemknutí nabízejí bezplatně, posléze však jejich tvůrci vyžadují podíl na zisku. Ve své podstatě jde o obchodní model „Malware-as-a-Service”.

Ransomware se sice obvykle nešíří ale v podnikovém prostředí, zejména v menších organizacích, dokáže díky běžným sdíleným síťovým diskům napáchat nemalé škody.

Ochrana proti ransomwaru

Experti firmy Arctic Wolf doporučují v případě včasného zpozorování nákazy zasažený počítač okamžitě vypnout. Jakkoli nejde o ideální řešení, zvyšuje šanci na záchranu podnikových dat. Modernější formy ransomwaru podnikají jednu relativně nenápadnou, ačkoli zdrojově náročnější akci. Stáhnou obsah napadeného počítače, který posléze smažou nebo zašifrují. Paleta útoků se díky tomu značně rozrůstá.

Jak se ransomwaru bránit? Experti firmy Arctic Wolf sestavili čtyři kroky či opatření, díky nimž se riziko v podobě ransomwaru může významně snížit.

  1. Zálohujte data, soubory. Pravidelné a časté zálohy umožní obnovu systémů a vyhnutí se platbě výkupného.

  2. Pečlivě monitorujte síť. Ransomware mohou zachytit bezpečnostní nástroje v různých fázích jeho průchodu a aktivace. Čím dříve bude infikovaná stanice odpojena, tím lépe pro celou organizaci.

  3. Školte uživatele. Chyby uživatelů představují klíčovou součást úspěšného ransomwarového útoku. Když už k nim dojde, měli by zaměstnanci alespoň disponovat znalostmi pro rychlou reakci.

  4. Udržujte aktualizovanou obranu perimetru. Mnoho podniků investuje do ochranných nástrojů pro odhalování malwaru. Ne vždy jsou ale tyto obranné prvky náležitě aktualizovány a nastaveny.

Ing. Lukáš Kříž je externím spolupracovníkem redakce.


Komentáře

detedoprdele #0
detedoprdele 02. září 2016 20:33

dete do prdele

Jamicon #1
Jamicon 03. září 2016 07:48

Najúčinnejšie je nepoužívať wydle od M$.

Honza #5
Honza 06. září 2016 14:43

Pokud by nebyl OS Windows, ale jen Linux ..myslíte, že by to bylo lepší? Nenechte se vysmát. Každý systém je děravý a čím ho používá více lidí, tím lukrativní je tvořit tyto programy.

Xavier Vomáčka #2
Xavier Vomáčka 04. září 2016 14:03

Jaký doprdele? Vždy je to pravda, wydle od M$ jsou opravdu nejúčinnějším nástrojem pro šíření veškerého malware.

Kolonoskop #3
Kolonoskop 05. září 2016 09:28

Nojo, je treba nepouzivat pocitac, kdyz to neumim a neznam. Kdyz nemam ridicak, take nejezdim, protoze ohrozim ostatni. Kdyz neumim s pocitacem, nezapinam ho a neohrozim podnik svoji blbosti

xbcmcf #4
xbcmcf 06. září 2016 12:40

M$ Wincek je pouze runtime pro viry, on to tak Blill naprogramoval. Takže se systém chová korektně jak autor zamýšlel. Nevím, proč se tedy uživatelé diví, že jejich systém plní svou hlavní úlohu (runtime pro viry) zcela perfektně a brání se tomu pomocí hloupých antivirů.

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Malware Stantinko napadl více než půl milionu uživatelů ve východní Evropě

Pavel Houser , 25. červenec 2017 10:36

Těžce identifikovatelný nový kmen malwaru se šíří prostřednictvím dvou plug-inů pro prohlížeč Chrome...

Více 0 komentářů

Čeští technici měli omylem přístup k tajným databázím Švédska

ČTK , 25. červenec 2017 10:23

Při předávce systémů švédský úřad nedodržel bezpečnostní postupy....

Více 0 komentářů

Zisk Googlu kvůli pokutě z EU klesl o 28 %

ČTK , 25. červenec 2017 10:16

Příjmy Googlu stouply o 20 % na 18,4 miliardy dolarů. Cena za proklik u Googlu klesla o 26 %. ...

Více 0 komentářů

Starší zprávičky

Roboty využívá téměř čtvrtina českých menších firem

ČTK , 24. červenec 2017 10:00

Důvodem investic do robotizace nesmí být všeobecný trend, ale faktická potřeba. ...

Více 0 komentářů

Začne platit nový zákon, který má šetřit náklady na budování sítí

ČTK , 24. červenec 2017 09:00

Provozovatelé vodovodních, energetických i kanalizačních sítí budou muset umožnit přístup zájemců o ...

Více 1 komentářů

Šéfem nového úřadu pro kyberbezpečnost by měl být Navrátil

ČTK , 24. červenec 2017 08:00

Úřad měl dostat vlastní rozpočtovou kapitolu. ...

Více 0 komentářů

China Unicom má slíbeno od investorů 12 miliard dolarů

ČTK , 23. červenec 2017 10:14

Připravovaná investice je součástí snahy čínské vlády oživit státní giganty soukromým kapitálem. ...

Více 0 komentářů