Jedno z nejdůležitějších pravidel kyberbezpečnosti říká, že útok na vaši síť vždy nastane, ať už dříve či později. U ransomware, jedné z nejčastějších metod kyberútoků, to pak platí dvojnásob. Stejně jako u jiných hrozeb, i zde je nejúčinnější zbraní osvěta, připravenost a úroveň odolnosti. Nabízí se proto otázka – víte, co je to ransomware a jak mu čelit?
Poznejte svého nepřítele – co je ransomware?
Jedná se o složeninu dvou anglických slov: ransom (výkupné, přeneseně rovněž vydírání) a software. Již z tohoto názvu můžeme odvodit hlavní účel ransomwaru; vydírat svou oběť, typicky za účelem finančního zisku.
Útočníci, nejčastěji z řad organizovaných zločineckých skupin, při tomto druhu útoku proniknou do sítě cílové společnosti a zašifrují či jinak znepřístupní data společnosti. Následně po oběti požadují výkupné výměnou za opětovné zpřístupnění dat. Nejde přitom o žádnou novinku – první ransomware útok byl zaznamenán již v roce 1989 a v současnosti jde o jednu z nejčastějších kybernetických hrozeb. I proto se ČR stejně jako dalších 40 států připojila k prohlášení proti platbám výkupného při ransomwarových útocích.
„Nejlepší ochranou před ransomware útokem je připravenost. Počítat s tím, že k útoku dojde,” radí Dan Albrecht, Business Development Manager ve společnosti Seyfor. Přečtěte si celý rozhovor.
Ransomware není označení jednoho konkrétního způsobu útoku. Jde spíše jen o zastřešující pojem, pod kterým se skrývá více typů ransomware. Každý z nich má jiná specifika či způsoby, jak pronikne do systému oběti.
Ransomware a vektory útoku
Jak již bylo uvedeno, ransomware není označení jednoho konkrétního způsobu útoku, ale prostřednictvím různých vektorů útoků se dostane do počítače. Mezi tyto způsoby, jak se ransomware dostane do počítače uživatel může být:
- Phishingová zpráva,
- Zneužití neoprávněně získaných přihlašovacích údajů,
- Zneužití zranitelnosti služeb, systému nebo zařízení (např. neaktualizováním systémů/aplikací),
- Kompromitace prostřednictvím dodavatelského řetězce, atd.
Konkrétní postupy jsou uvedeny v další části, ale ať už si ale útočník vybere jakýkoliv způsob, jedno mají všechny společné: po úspěšném zašifrování, odcizení či jinému narušení dat je oběť kontaktována a požádána o zaslání předem daného finančního obnosu. Ten je často požadován v kryptoměnách kvůli jejich obtížné dohledatelnosti.
Kudy se útočník do sítě dostává?
Možností průniku do cizí sítě dnes bohužel existuje celá řada, a velká část z nich souvisí s nejslabším článkem každého počítačového systému – lidským faktorem. Právě člověk, ať už vinou nepozornosti či zlého úmyslu, představuje nejtradičnější bezpečnostní mezeru, kterou je velmi obtížné zacelit.
Jednou z nejčastějších metod útoku je zde tzv. phishing, neboli snaha vymámit z uživatelů osobní či přihlašovací údaje. Ty mohou útočníci získat i v případě, že uživatel používá příliš slabé a tudíž snadno prolomitelné heslo.
TIP: Zjistěte vše, co potřebujete vědět o phishingu.
Neméně častá je i infekce prostřednictvím malwaru, neboli škodlivého softwaru. Jedná se o program ukrytý v e-mailových přílohách či na internetových odkazech, který se po spuštění obětí automaticky stáhne do cílového počítače. Kromě lidského faktoru pak může ransomware využívat i zranitelností různých softwarových řešení v podobě nejrůznějších mezer a chyb.
Při obou uvedených způsobech útoku hraje svou roli i sociální inženýrství, kdy se útočník vydává za důvěryhodnou instituci ve snaze oběť oklamat. V současnosti se lze setkat například s velmi zdařilými padělky oficiálních e-mailů od pojišťoven, bank či kurýrních společností, kdy jsou přihlašovací data požadována pod záminkou obnovy uživatelského účtu či potvrzení předání (neexistující) zásilky.
TIP: Nevíte, co je to sociální inženýrství? Máme pro vás základní přehled.
Velmi rafinovanou metodou pak je tzv. drive-by download, kdy ke stažení ransomwaru dochází zcela bez vědomí oběti, například při návštěvě oblíbené webové stránky. Tento způsob je obzvláště zákeřný, neboť se jen velmi obtížně rozeznává a zachycuje.
Co následuje po průniku?
Jakmile útočník pronikne do sítě, jeho prvním krokem je obvykle zorientování se v prostředí. Mezi průnikem a samotným odcizením citlivých dat může uběhnout i několik měsíců, kdy útočník za pomoci automatizovaných nástrojů skrytě prozkoumává napadenou síť a hledá její slabiny.
Těch následně útočník využije k tzv. eskalaci přístupových práv, kdy si postupně udělí nejvyšší administrátorské oprávnění a získá tak přístup do celé sítě. Samotné zašifrování či odcizení dat následně představuje až pomyslné velké finále, kdy již mají pachatelé data dávno obhlédnutá či stažená. Pak jim stačí pouze data znepřístupnit, kontaktovat oběť a začít ji vydírat.
Pomyslná časová osa útoku ransomwarem by tak vypadala zhruba následovně:
- průnik do systému,
- průzkum napadené sítě,
- sběr, zašifrování a/nebo odcizení dat,
- zašifrování dat,
- požadavek na výkupné.
TIP: Doporučujeme záznam webináře Ransomware: Jak se bránit terorismu 21. století.
Jsem cílem ransomware. Co mám dělat?
Z výše uvedeného vyplývá, že ve chvíli navázání kontaktu s útočníkem je na prevenci pozdě – pachatel vaše data již má a vy můžete pouze minimalizovat škody. Zde přichází ke slovu dvě nejzásadnější rady: nezpanikařit, a především neplatit výkupné.
Pozor: I když totiž útočníkovi peníze pošlete, nemáte žádnou záruku, že dodrží své slovo. Zaplacením navíc dáváte najevo, že jste snadno vydíratelní, což může pachatele motivovat k zopakování útoku.
Prvním krokem je provést několik základních opatření, mezi které patří například následující:
- odpojit napadené zařízení od sítě a zajistit si bezpečnost záloh (např. dočasným odpojením ze sítě),
- odpojit síť od internetu, zastavit virtuální zařízení a po zjištění rozsahu útoku izolovat napadené síťové prvky, k vypnutí bylo dojít, pouze pokud je nedokážete izolovat a zabránit tak dalšímu šíření ransomware,
- shromáždit dokumentaci a dalších ukazatelů prozrazujících průnik zvenčí (např. logy, podezřelé IP adresy, spuštěné příkazy atd.),
- spojit se se správcem sítě, policií a vedením společnosti.
Jelikož pak vaše firma bude s největší pravděpodobností chtít co nejrychleji obnovit provoz, obnovte data ze záloh a zprovozněte základní služby potřebné k činnosti společnosti. Zálohy obnovujte v čistém (tj. neinfikovaném) prostředí a s potenciálně napadenými daty zacházejte jako se skutečně napadenými.
Pozor: Ani záloha vám nezaručí, že jste z nejhoršího venku. V poslední době totiž začali útočníci využívat tzv. vícenásobné vydírání, při němž stupňují tlak na oběť dalšími výhrůžkami. Ty nejčastěji zahrnují například zveřejnění firemních dat, narušení provozu samotné firmy (např. formou DDoS útoku) nebo poškození dobrého jména firmy zveřejněním úniku dat v médiích.
Prevence jako základ
Jak naznačuje předchozí odstavec, nejlepší ochranou před ransomware je stará dobrá prevence a připravenost neboli odolnost společnosti.
„Základní stavební kámen každé bezpečnostní strategie je prevence. Zde se zabýváme technologickými a organizačními opatřeními s cílem zvýšit odolnost organizace před kybernetickými útoky,“ dodává Milan Ryšavý z společnosti Seyfor.
Můžeme odkázat na Národní úřad pro kybernetickou a informační bezpečnost, který na svých stránkách nabízí souhrn základních preventivních opatření:
- Správné zálohování dat: zde můžeme zmínit pravidlo 3-2-1, kdy by měly mít soubory minimálně 3 kopie na 2 různých zařízení, z toho 1 mimo organizaci. Minimálně jedna záloha by rovněž měla být odpojená od internetu. Zálohy je třeba vytvářet pravidelně a na základě předem stanoveného plánu.
- Segmentace sítě: rozdělením sítě do několika navzájem oddělených částí můžete útočníkům práci výrazně ztížit. Správně nakonfigurovaná segmentovaná síť pak dokáže šíření ransomwaru pomocí malwaru zpomalit či úplně zastavit. Zde se doporučuje segmentace s ohledem na významnost poskytovaných služeb a dat a dále pak zakázat přístup do sítě všemu kromě předem určených služeb a zařízení, a i mezi nimi vytvořte pravidla pro komunikaci.
- Pravidelné aktualizace: jenom tak se vyhnete riziku, že útočníci využijí mezery ve starých či chybných verzích vašich systémů.
Důsledná kontrola přístupových práv: běžní uživatelé by nikdy neměli mít přístup ke správě systému. Stejně tak administrátoři by neměli své účty používat k běžným pracovním činnostem. - Silná hesla: důsledně dbejte na to, aby uživatelé používali co možná nejsilnější hesla. Podle doporučení NÚKIB by mělo mít heslo běžného uživatele minimálně 12 znaků (u administrátorů ještě o 5 znaků více). V ideálním případě by mělo jít o náhodnou kombinaci písmen, čísel a speciálních znaků, zároveň by mělo být periodicky měněno. Heslo by pak mělo doplňovat vícefaktorové ověřování.
- Lidský faktor: vedle výše uvedeného rovněž dohlédněte na pravidelné školení zaměstnanců v základech kybernetické bezpečnosti. Důležité je vaše lidi seznámit s hrozbami, naučit se je rozpoznávat a stanovit ve firmě procesy a postupy pro zaměstnance, jak se v těchto situacích mají chovat.
Kyberbezpečnost chytře a s rozvahou
Někteří ze čtenářů možná v tuto chvíli začínají hledat na internetu dodavatele technologických řešení pro kyberbezpečnost v naději, že pořízením pokročilého softwaru snadno zacelí všechny mezery. Tímto krokem ale určitě nezačínejte!
Již řada firem doplatila na to, že považovala bezpečnostní software za „magickou krabičku“, která veškerou práci udělá za ně. Pravdou ovšem je, že bez znalosti aktuálního stavu a správně nastavených procesů vám nepomůže ani sebelepší technologie.
Jak tedy s ochranou začít?
Prvním krokem by měla být analýza současného stavu, vč. na příklad testů zranitelností. Ta vám poskytne komplexní informace o aktuální konfiguraci vaší sítě, identifikuje možné slabiny a poskytne podklady pro jejich řešení. Zjištěný stav je poté dobré porovnat s relevantními bezpečnostními standardy. Zároveň je v této analýze ověřit, zdali disponujete aktuálním a funkčním plánem kontinuity činností (BCP) a havarijním plánem (DRP). To může hrát při obnově po incidentu zásadní roli ve schopnosti reagovat a zajistit optimální průběh kontinuity činností a obnovy po havárii.
Následně je potřeba identifikovat vaše nejcennější data (tzv. aktiva), která budete chtít chránit, a na něž budou navázána podpůrná aktiva, tj. technologie. Tyto vazby vám pomohou sestavit vhodný BCP a DRP, kde budou stanoveny RTO (Recovery Time Objective), tj. doba obnovy provozu, a RPO (Recovery Point Objective), tj. množství dat, které je ochotna ztratit od okamžiku výpadku po poslední platnou zálohu.
„Každá organizace je unikátní a je tak potřeba individuálně identifikovat a posoudit rizika, která ohrožují její fungování, aby bylo možné následně cílit zdroje (finanční a lidské) správným směrem,“ dodává Karel Čapek, Account Manager / Security ve společnosti Seyfor.
V další fázi začněte nastavovat podnikové procesy pro prevenci, hlášení a nápravu bezpečnostních incidentů jako jsou ransomwarové útoky. Tato fáze úzce souvisí se zaškolením uživatelů, které jsme již zmiňovali výše. A sestavování nebo aktualizace BCP a DRP tak, aby odrážely reálný stav. Zároveň až pak je vhodné vybírat konkrétní bezpečnostní řešení na základně zjištěných zranitelností. Zde stejně jako v případě vzdělání zaměstnanců platí, že jde o důležitou investici, která se při správném provedení mnohonásobně vrátí.
Jak vám pomůže Seyfor?
Výše uvedenou analýzu současného stavu i další návazné kroky můžete samozřejmě provádět i svépomocí. Zde se ale vystavujete riziku provozní slepoty, kdy můžete v duchu výroku „Dělalo se to tak vždy,“ snadno přehlédnout klíčovou zranitelnost. To nejlepší, co můžete udělat, je proto vložit důvěru v externího odborníka schopného vaši firmu posoudit nezaujatě.
TIP: Uvažujete nad outsourcingem bezpečnostních rolí? Srovnali jsme pro vás výhody a nevýhody tohoto řešení.
Právě zde přichází ke slovu služby společnosti Seyfor. V oblasti kyberbezpečnosti vám totiž nabídneme tým zkušených odborníků, který pro vás vybuduje kompletní bezpečnostní řešení, od analýzy a identifikace rizik přes detekci a reakci na útoky až po samotné zabezpečení a průběžné vzdělávání uživatelů. Kontaktujte nás a my pro vás nalezneme ideální řešení.