Prognóza SophosLabs: žádná platforma není před ransomwarem imunní
Ransomware zpustošil Windows, ale v roce 2017 rostl i objem útoků na operační systémy Android, Linux a MacOS. Česká republika obsadila v Sophos seznamu zemí postižených ransomware 23. místo v Evropě a 60. místo celosvetově.
Společnost Sophos, celosvětový lídr v oblasti ochrany sítí a koncových bodů, zveřejnila svoji zprávu SophosLabs 2018 Malware Forecast. Tato studie rekapituluje stav ransomware a další trendy v oblasti počítačové bezpečnosti a vychází z dat získaných přímo z počítačů zákazníků společnosti Sophos po celém světě v období od 1. dubna do 3. října 2017. Jedním z klíčových zjištění je fakt, že ransomware se sice v posledních šesti měsících zaměřoval primárně na operační systémy Windows, útokům ale neušly ani platformy Android, Linux a MacOS.
“Ransomware se stal hrozbou, která není závislá na konkrétní platformě. Sice se většinou zaměřuje na počítače s operačním systémem Windows, ale tento rok jsme u našich zákazníků po celém světě zaznamenali zvýšené množství útoků na zařízení s různými operačními systémy,“ říká Dorka Palotay, bezpečnostní výzkumnice globální sítě pro zkoumání hrozeb SophosLabs a spoluautorka analýzy ve zprávě Malware Forecast pro rok 2018.
Zpráva se rovněž věnuje modelům růstu hrozeb ransomware, které naznačují, že WannaCry z letošního května je první hrozbou tohoto typu šířící se z počítačů běžných uživatelů, které se z pomyslného trůnu podařilo sesadit dlouhodobého vládce mezi ransomware – Cerbera, který se poprvé objevil na začátku roku 2016. Rodině WannaCry patřilo mezi veškerým ransomware zachycených sítí SophosLabs 45,3 procent, zatímco Cerber dosáhl na podíl 44,2 procent.
V České republice byl s 65,06 procenty nejúspěšnější ransomware Cerber následovaný rodinou Petya (30,12 procent). A ransomware WannaCry byl u nás jen zanedbatelnou hrozbou – síť SophosLabs jej v uvedeném období odhalila pouze na 1,81 procentech počítačů. Z pohledu celkového počtu zachyceného ransomware patří České republice 60. příčka (celosvětově, v rámci Evropy skončila ČR na 23. místě).
“Poprvé jsme byli svědky ransomware s podobnými vlastnosti, jako mají červi, a které přispěly k rychlému rozšíření hrozby WannaCry. Tento ransomware využil k infikování a šíření do počítačů známou zranitelnost operačního systému Windows, a bylo tak obtížné jej dostat pod kontrolu,“ uvádí Dorka Palotay. “Přestože jsou naši zákazníci proti tomuto ransomware chránění a WannaCry je na ústupu, stále ještě se s touto hrozbou díky jejím schopnostem šíření a útočení na počítače setkáváme. Očekáváme, že kybernetičtí zločinci budou těchto replikačních možností, které vidíme právě u WannaCry a NotPetya, využívat ve stále větší míře. Ostatně je to již evidentní v případě ransomware Bad Rabbit, který má s hrozbou NotPetya mnoho podobného.“
Zpráva SophosLabs 2018 Malware Forecast se věnuje prudkému nárůstu a následnému pádu hrozby NotPetya, tedy ransomware, který v červnu 2017 způsobil velký zmatek. Ransomware NotPetya se zpočátku šířil jako aktualizace ukrajinského účetního softwaru a jeho geografický dosah tak byl omezený. Sice se i tato hrozba, stejně jako WannaCry, mohla šířit díky exploitu EternalBlue, ale protože WannaCry již drtivou většinu ze zneužitelných počítačů napadl, měla NotPetya k dispozici jen malé množství neaktualizovaných a zranitelných strojů. Nejasný je motiv stojící za touto hrozbou, protože útok provázela řada chyb a selhání. Například e-mailový účet nutný pro kontaktování útočníků nefungoval a oběti tak ani nemohly svá data rozšifrovat a obnovit.
“Ransomware NotPetya vyrazil do světa zprudka, a protože na nakažených počítačích data mazal, způsobil firmám velké škody. Naštěstí k zastavení této hrozby došlo stejně rychle, jako začalo její šíření,“ dodává Dorka Palotay. “Máme podezření, že počítačoví zločinci pouze experimentovali nebo že jejich hlavním cílem nebylo vydírání, ale něco mnohem destruktivnějšího jako právě nenávratné smazání dat. Bez ohledu na jejich záměr společnost Sophos důrazně radí výkupné neplatit a doporučuje držet se místo toho osvědčených postupů včetně zálohování dat a pravidelného aktualizování.“
Nebezpečnou hrozbou i nadále zůstává Cerber, tedy ransomware kit prodávaný na tzv. temném webu (z anglického Dark Web). Autoři tento kit průběžně aktualizují a určují procentuální výši, kterou „prostředníci-útočníci“ od obětí obdrží. Díky pravidelným inovacím je Cerber nejen efektivním nástrojem pro kybernetický útok, ale také technologií, kterou mají kybernetičtí zločinci k dispozici opravdu dlouhodobě. „Tento obchodní model temného webu bohužel funguje a podobně jako v případě legální společnosti představuje zdroj příjmů pro další rozvoj kitu Cerber. Můžeme předpokládat, že jsou to právě zisky, které autory motivují k údržbě kódu,“ vysvětluje Dorka Palotay.
Pro kybernetické zločince je atraktivní i ransomware pro operační systém Android. Podle analýzy globální sítě pro zkoumání hrozeb SophosLabs se počet útoků na zákazníky společnosti Sophos, které využívají systém Android, letos zvyšuje takřka každý měsíc.
“Jen v září představoval ransomware celých 30,4 procent z veškerého malware pro operační systém Android zachyceného sítí SophosLabs. A očekáváme, že v říjnu tento podíl vzroste až na 45 procent,“ konstatuje Rowland Yu, bezpečnostní výzkumník globální sítě pro zkoumání hrozeb SophosLabs a další spoluautor zprávy Malware Forecast pro rok 2018. “Domníváme se, že jedním z důvodů pro rostoucí zastoupení ransomware v případě platformy Android je snadná cesta k přímému finančnímu výdělku, protože ransomware nevyžaduje sofistikované hackerské techniky, jako je tomu v případě krádeže kontaktů a SMS zpráv, vyskakovacích reklam nebo bankovního phishingu. Je důležité si ale uvědomit, že ransomware pro Android se vykytuje hlavně mimo oficiální obchod Google Play, což je další důvod, aby uživatelé věnovali velkou pozornost tomu, jaký typ aplikací a odkud do svých mobilních zařízení stahují.“
Zpráva SophosLabs uvádí dva typy útoků spojených s operačním systémem Android: zablokování telefonu bez šifrování dat a s jejich šifrováním. Většina ransomware na platformě Android uživatelská data sice nešifruje, nicméně i uzamčení s výzvou k zaplacení výkupného stačí ke způsobení problémů, obzvláště pak s ohledem na fakt, kolikrát během jediného dne k datům na osobním mobilním zařízení přistupujeme. „Společnost Sophos uživatelům doporučuje, aby si telefon pravidelně zálohovali. Podobně jako počítač. Cílem je chránit data a předejít platbám výkupného za účelem opětovného získání přístupu k zařízení. Očekáváme, že ransomware pro operační systém Android bude v příštím roce stále častější hrozbou a dominantním typem malware na této mobilní platformě,“ uzavírá Rowland Yu.
