Dekorativní pozadí stránky

Ransomware dnešních dní – zbraň hromadného ničení

Ransomware dnešních dní – zbraň hromadného ničení

Kybernetická kriminalita stále roste, v roce 2019 bylo v ČR spácháno o 25 % trestných činů víc než v roce 2018. V případě trestných činů v oblasti neoprávněného přístupu k počítačovému sytému byl nárůst ještě dynamičtější (34 %). Celosvětově je počítačová kriminalita v současné době nejrychleji rostoucím druhem nelegální činnosti. Z rozsáhlého průzkumu společnosti Accenture zveřejněného v roce 2017 vyplývá, že přibližně jeden ze tří kyberútoků vede ke skutečnému narušení bezpečnosti, přičemž většina oslovených společností (75 %) byla přesvědčena, že jsou před kyberútoky dostatečně zabezpečeni. Ale je vůbec možné dostatečně se ochránit v roce 2020, kdy je k internetu připojeno něco kolem 200 mld. chytrých zařízení (jen pro srovnání – v roce 2006 to byly „pouhé“ 2 mld.)?

Jak je obecně známo, útoky ransomware využívají slabých stránek konfigurace sítě a zranitelných služeb k nasazení viru. Medializace útoků se ve většině případů soustředí především na samotné dopady útoku, ochromení fungování společnosti, nemožnosti vyrábět nebo poskytovat služby a z toho plynoucí finanční ztráty, v lepším případě zmiňují alespoň to, o jaký typ viru jde a jakým způsobem byl do napadeného prostředí nasazen. Ale to všechno jsou jen zjevné devastující důsledky něčeho, co se v napadeném prostředí chystalo delší dobu. A to „něco“ bylo řízeno člověkem na druhé straně. Člověkem, o kterém nikdo neví, co z napadeného prostředí vytěžil, jaké přístupové údaje či oprávnění získal, jaká data z napadené sítě exfiltroval, kam je uložil a hlavně, co s nimi plánuje dál.

Podrobné shrnutí současných útoků prostřednictvím ransomware zveřejnil Tým ochrany před hrozbami společnosti Microsoft začátkem března 2020 v materiálu, který se zabývá podrobným popisem tří hlavních skupin ransomware dnešní doby – Parinacota, Doppelpaymer, Ryuk. Poukazuje na rozdíly mezi nimi a každému se věnuje, od průlomu např. přes cílený pishing, přes průnik malware až do pamětí (registrů), kde s využitím krádeže přístupových údajů a ovládnutím administrátorského účtu nakonec dochází ke kontrole mnoha koncových jednotek a následného zašifrování disků. Většina útoků je dnes vedena přes využití a zneužití vzdáleného administrátorského přístupu prostřednictvím otevřeného portu nebo přes otevřenou (zapomenutou) administrátorskou VPN linku. Hackeři ohrožují účty s vyššími oprávněními, zdánlivě legitimními postupy stupňují svá privilegia, díky čemuž se nepozorovaně infiltrují do cílových prostředí. Ransomware kampaně řízené člověkem často začínají „komoditním malwarem“, jako jsou bankovní trojské koně nebo „neofistikované“ útočné vektory, které obvykle spouštějí více detekčních výstrah; nicméně jsou postaveny tak, aby byly detekovány jako nevýznamné, a proto jim často není věnována náležitá pozornost. Útočníci si navíc často sami přidělí administrátorskou roli a výstrahy deaktivují. I novodobé kyberútoky primárně využívají slabiny zabezpečení k nasazení destruktivních útoků, rozdíl je v tom, že oproti útokům „starého“ střihu, které v síti žily svým vlastním životem, u ransomware dnešních dní je na druhé straně člověk, který operativně reaguje, vidí, chápe a vnímá význam, a hlavně hodnotu toho, k čemu se v napadeném prostředí dostane.

Co s tím? Nejprve je třeba udělat alespoň základní opatření. A to nejen odstraněním technických nedostatků, mezi které patří především nedostatečná segmentace sítě, nedostatečná správa přístupových oprávnění, vystavování služeb do internetu bez řádného důvodu, nedostatečný monitoring sítě a ignorování best practices, ale taky odstraněním nedostatků manažerských, kdy ve většině firem není dodržováno pravidlo minimálního nutného přístupu, nejsou rozděleny a následně akceptovány kompetence, zaměstnanci nejsou dostatečně proškoleni, chybí formalizace krizových postupů a nejsou zavedeny nástroje k odstranění zbytné komunikace mezi koncovými uživateli.

A pak to hlavní – zatímco v IT komunitě jsou výše popsaná opatření moc dobře známa a hovoří se o nich neustále, když v podstatě tytéž požadavky onálepkujete značkou GDPR, okamžitě se ostatní manažeři obrní myšlenkou na „zbytečnou evropskou regulaci“. Předcházení novodobým kyberútokům a boj proti nim vyžaduje kromě důsledného pochopení všech mechanizmů v rámci jednotlivých kroků útoku především posun v myšlení lidí na té „správné“ straně sítě.

Zdroje článku

Související články