Ransomware představuje už několik let jedno z nejpopulárnějších odvětví kybernetické kriminality. Pro podniky se stále jedná o značnou hrozbu. Ochranné prostředky se musí přizpůsobit stále sofistikovanějším technikám.
Řada statistik, které počítají výskyt jednotlivých typů malwaru, ransomware poněkud podceňuje. Na čele žebříčků se obvykle vyskytují buď obecné trojské koně, které mohou dále doručovat malware různého typu, nebo programy pro těžbu kryptoměn. Z pohledu možných finančních dopadů na podniky ale ransomware stále představuje vážné a nákladné riziko.
Cílení a předběžná analýza
Aktuální trendy v této oblasti popisují např. studie společností Fortinet a McAfee. Letos v létě vydaný Fortinet Global Threat Landscape Report uvádí, že ransomware je v některých případech pečlivě cílený a zločinci stojící za těmito kampaněmi stráví značný čas předběžnou přípravou. Zkoumají, jaká data by mohla pro podniky být nejcennější, takže malware poté začne šifrovat data až v určitém okamžiku, aby na sebe neupozornil předčasně. Některý ransomware (RobbinHood) dokáže provést i velké změny v nastavení systémů a tímto způsobem vyřadit ochranné mechanismy. Nově zaznamenaný ransomware Sodinokibi zase proniká do sítí pomocí zneužití zranitelností. K nákaze tedy vůbec není potřeba, aby někdo klikl na odkaz ve phishingovém e-mailu nebo spustil připojený soubor. Obecně se k šíření ransomwaru stále více využívají zranitelnosti ve službách pro vzdálený přístup, např. v protokolu RDP.
Malware je stále propracovanější i z hlediska své schopnosti vyhýbat se detekci. Např. malware Zegost, sloužící především ke krádeži informací, dokáže vymazávat i záznamy protokolů/událostí. Dnešní sofistikované hrozby dokáží odhalit i skutečnost, že se nacházejí v prostředí sandboxu. Tím pádem se např. vůbec neaktivují nebo se alespoň nepokouší kontaktovat command center útočníka. Zákazníkům proto doporučujeme vícevrstvé metody ochrany a nástroje pro detekci hrozeb založené na analýze chování. Útočníci hledají nejslabší místa sítí, proto je důležité, aby oddělení IT dokázalo zjistit plnou viditelnost infrastruktury. To dnes znamená jak vlastní IT infrastrukturu, tak i různé cloudy a zařízení IoT nebo průmyslové řídicí systémy (ICS/SCADA).
RDP a VNC namísto phishingu
Aktuální je rovněž studie McAfee Labs Threats Report z letošního léta. Vzestup ransomwaru se zde po jeho přechodném poklesu na konci loňského roku pokládá za vůbec hlavní trend – počet zachycených vzorků vzrostl od minulého čtvrtletí o 118 %, nejpočetnější rodiny byly Dharma/Crysis, GandCrab a Ryuk. Studie upozorňuje na to, že v několika případech zasáhly úspěšné útoky i velké firmy.
Nutno je taktéž podotknout, že ransomware se stále více šíří i jinak než pomocí sociálního inženýrství, kromě RDP i v souvislosti s technologií VNC (virtual network computing). Řada infekcí byla provedena pomocí prolomení sítě na nějakém přístupovém bodě. Podvodníci si na černém trhu kupují příslušné exploity nebo se dokonce snaží k přístupovým údajům dostávat i hrubou silou. Zajímavé také je, že pro řízení kampaní včetně samotné komunikace s obětí se stále více používají anonymní e-mailové služby namísto řídicích (Command-and-Control) serverů. Je to zřejmě kvůli tomu, že policejní složky nebo bezpečnostní firmy dokázaly několikrát z takových řídicích serverů získat šifrovací klíče a posléze vytvořit nástroje umožňující obnovu dat.
Bohužel, i přes osvětovou kampaň stále přetrvávají společnosti, které jsou za slib znovuzpřístupnění svých dat vyděračům ochotny zaplatit. Přitom ovšem neexistuje žádná záruka, že podvodníci data opravdu dešifrují. Zaplacení výkupného navíc celý ekosystém udržuje v chodu – bez toho by podvodníci tento druh útoků rychle opustili. Přece jen jde o kriminalitu nápadnou, ve srovnání např. s kryptominery se při tom samotní podvodníci vystavují mnohem většímu riziku. Iniciativa NoMoreRansom pravidelně zveřejňuje dešifrovací klíče. Europol např. oznámil, že pomocí takového nástroje si jen za první čtvrtletí tohoto roku mohlo až 14 000 obětí odemknout své soubory zašifrované ransomwarem GandCrab. Opět rostoucí zájem podvodníků o ransomware však vedl k vytvoření nových verzí, u nichž nástroje pro obnovení dosud k dispozici nejsou.
Stoupající zájem vykazují i programy pro těžbu kryptoměn či krádeže z peněženek kryptoměn z Applu (hlavně CookieMiner). Celkově však množství mobilního malwaru kleslo. Jiné studie (Eset) upozorňují na vzestup reklamního malwaru (adwaru) pro Android, což je však aktivita pro podniky relativně méně nebezpečná.
Aleš Pikora, ředitel divize DataGuard, spol. PCS
