Ransomware dnes představuje nejrychleji rostoucí typ hrozeb z hlediska bezpečnosti IT systémů. Tento trend bude pokračovat, pro podvodníky jde o velmi výnosné aktivity. Podniky by tedy při volbě bezpečnostního řešení měly zvážit, nakolik poskytuje ochranu i speciálně proti ransomwaru.
Aktuální čísla hovoří za vše. V prvním čtvrtletí 2016 předešla bezpečnostní řešení jen od Kaspersky Lab 372 602 útokům ransomwaru, z nichž 17 % mířilo na firemní sektor. Počet napadených uživatelů vzrostl oproti poslednímu čtvrtletí 2015 o 30 %. Experti společnosti Kaspersky Lab odhalili 2 900 nových modifikací ransomwaru. To je o 14 % více než v předchozím kvartálu. V současné době obsahuje databáze Kaspersky Lab přibližně 15 000 druhů ransomwaru a toto číslo neustále roste.
FBI v polovině loňského roku odhadla, že za více než rok své existence vygeneroval jediný typ ransomwaru CryptoWall svým tvůrcům asi 18 milionů dolarů. Za těchto okolností nelze čekat, že by podvodníci ztratili o tento typ kybernetické kriminality zájem.
Vznik komplexního ekosystému
S tím, jak se toto „podnikání“ stává pro podvodníky stále výnosnější, přibývá i nových cenových modelů. Ransomware je podobně jako jiné typy malwaru poskytován jako služba. Systémy mohou být automatizovány do té míry, že původní tvůrce ransomwaru si pouze strhává svůj podíl z plateb obětí – tedy za předpokladu, že výkupné se platí v měnách typu bitcoin. Průkopníkem tohoto obchodního modelu byl zřejmě ransomware Cerber.
Souvisejícím trendem je „profesionalizace“. Ransomware jako služba je často nabízen včetně technické podpory, průvodní kampaň podvodných e-mailů bývá lokalizována, někdy i včetně jazykové korektury. Současně dochází mezi tvůrci ransomwaru ke vzniku aliancí v mezinárodním měřítku. Další ze studií Kasperky Lab odhalila sdílení know-how mezi podvodníky, kteří cílí na Rusko a Brazílii, a to včetně společné infrastruktury řídicích serverů.
Podle firmy Endgame tvůrci ransomwaru také výrazně zrychlují vývoj a uvádění nových verzí. Tím jednak snižují pravděpodobnost detekce ze strany bezpečnostních systémů, současně jde o reakci na situaci, kdy stále více používaných šifrování je časem prolomeno – experti Kaspersky Lab takto nedávno např. dokázali pomoci obětem ransomwaru CryptXXX.
Také množství mobilního ransomwaru bylo podle statistik Kaspersky Lab v prvním čtvrtletí letošního roku 1,4 krát vyšší než v posledním čtvrtletí 2015. Trend ukazuje, že na mobilních zařízeních se už nachází dostatek cenných dat, za jejichž opětovné zpřístupnění budou oběti ochotny zaplatit (nebo to alespoň předpokládají útočníci). Na mobilních systémech jsou navíc mnohem méně často než na PC používána specializovaná bezpečnostní řešení. Sdílení ransomwaru přitom probíhá i na úrovni útoků proti jednotlivým operačním systémům, takže se objevily i akce směřující proti uživatelům Mac OS X.
Jak se chránit
Speciálně na ochranu před ransomwarem existuje celá řada jednoúčelových utilit, např. řešení, která upozorňují při šifrování většího množství souborů. Ty mohou pomoci, systematické řešení ovšem nepředstavují. Užitečná jsou řešení pro ochranu koncových bodů, a to včetně mobilních zařízení, totéž platí pro vhodné nastavení politik zálohování. Všechny tyto komponenty zabezpečení by však firmy měly používat tak jako tak i bez ohledu na ransomware.
Významnou rovinu pro ochranu před ransomwarem nicméně představuje samotný podnikový server, kde bývají uložena nejdůležitější data. Z pohledu klientských zařízení jde často prostě o sdílené disky/složky, takže infekce koncových bodů ohrožuje i server. Proto se vyplatí na server nasadit takové bezpečnostní řešení, které obsahuje i speciální ochranu proti ransomwaru.
Nová verze Kaspersky Security for Windows Server je navržena právě tak, aby poskytovala škálovatelné zabezpečení pro sdílená úložiště s minimálním dopadem na výkon. Řešení používá technologii Anti-Cryptor, která je založená na algoritmu patentovaném společností Kaspersky Lab. Pro odhalení šifrovacího malwaru používá behaviorální analýzu. V rámci řešení jsou k dispozici i další technologie pro ochranu sdílených složek.
Obětí přibývá
Bylo by zajímavé zjistit, v jaké míře výpalné za ransomware platí jednotlivci a v jaké firmy – v případě transakce v bitcoinech půjde spíše o druhý případ. Ransomware začínal jako metoda útoku na koncové uživatele, původně se vedle zašifrování dat používaly i výhrůžky typu „policie ví, že jste…“. Nyní jsou pro útočníky rozhodně lukrativnějším cílem podniky (výše uváděné statistiky – 17 % útoků na podniky – popisují cíle, nikoliv výnosy pro podvodníky). V minulosti už za opětovné zpřístupnění dat platily policejní útvary v USA, letos ransomware dokázal narušit fungování zdravotnických zařízení v USA a Německu, takže zvážení vhodné ochrany je zcela na místě.
Aleš Pikora je ředitelem divize DataGuard společnosti PCS.