Ransomware zůstává významnou kyberbezpečnostní hrozbou pro všechny typy organizací, protože ransomwaroví útočníci stále vyvíjejí metody, jak uniknout odhalení. Konečným cílem útočníků už není pouze exfiltrovat a zašifrovat data, aby donutili oběti zaplatit výkupné, ale zcela zlikvidovat schopnost organizace zotavit se z takového útoku.
K dosažení tohoto cíle nyní útočníci využívají nové přístupy, například znesnadňují odhalení svých průniků, nebo přidávají nové cíle, jako jsou zálohy dat, aby organizaci zcela ochromili.
Na ochranu před některými z těchto taktik musí organizace vyvinout robustní strategie zálohování dat, které umožňují rychlou a úplnou obnovu dat, a neměnné pohotovostní plány, které zajistí zmírnění potenciálních ransomwarových útoků.
Šifrování menších částí
Ransomwarové skupiny, které chtějí proniknout do systémů, řeší několik problémů. Jakmile najdou a využijí zranitelnost, musí získat a zašifrovat co největší množství dat, než spustí ransomwarový útok nebo než je odhalí bezpečnostní zařízení systému. Zašifrování dat ale trvá dlouho a čím déle je útočník v síti, tím větší je pravděpodobnost, že bude odhalen. Nová technika přerušovaného šifrování tento problém zmírňuje. I zašifrováním pouze části dat dostatečně malých na to, aby se vyhnuli odhalení, mohou útočníci způsobit, že bude soubor pro organizaci bez dešifrovacího klíče nepoužitelný. Dělají to tak, že zašifrují každých 12 nebo 18 bajtů dat a mění denní dobu své aktivity i množství zašifrovaných dat, takže se mohou vyhnout automatickým detekčním nástrojům a zůstat v síti déle.
Krádež zálohy
Jakmile útočníci zašifrují dostatek dat pro spuštění ransomwarového útoku, mohou zvýšit své šance na zaplacení tím, že zaútočí také na záložní úložiště organizace. Pravděpodobným cílem jsou zálohy uchovávané v otevřené síti nebo v síti se slabými přihlašovacími hesly a bez vícefaktorového ověřování. Pokud jsou například zálohy autorizovány primární doménou Active Directory, budou se útočníci snažit kompromitovat tuto doménu, aby získali přístup k zálohám i produkčním datům. Takové útoky se často zaměřují na finanční služby, zdravotnictví a veřejný sektor, kde může ransomwarový útok ovlivnit kritickou infrastrukturu.
Zabezpečení dat v reakci na vývoj ransomwaru
I když se taktiky ransomwaru vyvíjejí, nejlepšími metodami kybernetické bezpečnosti zůstávají ty nejtradičnější – kvalitní správa záplat softwaru a vzdělávání v oblasti kybernetické hygieny. Obě strategie pomohou snížit riziko vystavení organizace ransomwaru, zejména v prostředí práce na dálku.
Silná strategie správy softwarových záplat omezuje zranitelnosti softwaru, které mohou útočníci využít k ransomwarovému útoku, a komplikuje útočníkům život ještě předtím, než se dostanou do systému. Rychle nasazené softwarové záplaty a aktualizace snižují pravděpodobnost, že útočníci budou schopni získat přístup k datům v síti. Ačkoli se tato taktika zdá být jednoduchá, často se jedná o oblast, kterou mohou organizace zlepšit. Kromě toho je třeba zlepšit i kybernetické vzdělávání. Zaměstnanci jsou často nejslabším článkem, který umožní zahájení útoku. Každý v organizaci by měl být schopen rozpoznat běžné postupy infiltrace, jako jsou phishingové e-maily nebo taktiky sociálního inženýrství. Skutečností ale je, že i po zlepšení v těchto oblastech, bude k ransomwarovým útokům docházet i nadále. S vývojem ransomwaru roste význam zejména strategie zálohování. Když se ale cílem stávají samotné zálohy, zkratkovitý přístup k zálohování už nestačí.
Organizace musí důkladně vypracovat a naplánovat své strategie zálohování a ochrany dat. To znamená zavést strategii, která zohlední vyvíjející se taktiky a procvičí plánované kroky, které je třeba podniknout v případě ransomwarových nebo jiných kyberbezpečnostních incidentů. Jedině nácvik umožní identifikovat potenciální nedostatky v tomto plánu, seznámit zúčastněné strany s jejich rolemi a technologiemi, které mohou potřebovat používat, a zajistit, aby se pod stresem reakce na skutečný kyberútok tento scénář plán nečetl poprvé.
Silné strategie správy dat lze shrnout pomocí čísel 3-2-1-1-0, které reprezentují tento význam: udržujte tři kopie důležitých dat; alespoň na dvou různých typech médií; přičemž alespoň jedna z těchto kopií musí být mimo pracoviště; včetně jedné zálohy dat, která je offline nebo neměnná, protože hackeři nemohou ohrozit to, k čemu se nemohou dostat. Při automatickém testování zálohování a ověření obnovitelnosti dat by pak nemělo docházet k žádným chybám. Organizace by měly zavést plán pro více krizových situací, aby zajistily, že jejich data mohou být obnovena bez ohledu na ransomwarový útok.
Dokud budou útočníci nacházet způsoby, jak profitovat z ransomwaru a dalších kyberbezpečnostních exploitů, není pochyb o tom, že se jejich taktiky budou nadále vyvíjet. A zatímco jsou ransomwarové skupiny inovativní a přizpůsobivé, organizace musí dosáhnout toho samého. Kombinace důsledné základní kybernetické hygieny, vzdělávání zaměstnanců a promyšlené strategie správy a zálohování dat slouží jako nejsilnější obrana proti dynamickým kybernetickým útokům.
Autor: Rick Vanover, Senior Director, Product Strategy, Veeam
