Nedávný ransomwarový incident společnosti Colonial Pipeline, který mnozí označují za "kybernetický útok roku", způsobil více než jen narušení fungování firmy - způsobil značné ekonomické škody a připomněl nám, jak křehká je naše digitální infrastruktura.
Tento útok byl sice nejznámějším ransomwarovým incidentem roku 2021, ale zdaleka ne jediným. V květnu ochromil masivní ransomwarový útok irský zdravotnický systém, zatímco k podobnému incidentu došlo v australském Severním teritoriu, kde musela být počátkem roku na tři dny uzavřena vláda.
Proč je tedy ransomware v současnosti tak rozšířený, a proč jsou kritické vládní infrastruktury tak často terčem útoků? Odpověď možná nesouvisí ani tak s vývojem technologií, jako spíše s příležitostmi pro pachatele, protože útoky ransomwaru se rychle stávají nejlukrativnějším typem kybernetické kriminality.
Od jednorázových akcí k ransomwaru jako službě (RaaS)
Až donedávna byly útoky ransomwaru většinou jednorázové, a zločinci se zaměřovali na méně významné společnosti, které si nemohly dovolit ztratit data nebo čelit následné negativní medializaci. S rozšířením digitální ekonomiky se však osamocené útoky změnily v rozsáhlé vyděračské operace. Tak se ransomware pomalu přesunul k tomu, co modeloví analytici nazývají "Ransomware jako služba" neboli RaaS (Ransomware-as-a-Service). Ransomware jako služba (RaaS) je model založený na předplatném, který umožňuje zprostředkujícím hackerům používat již vyvinuté nástroje ransomwaru k provádění útoků ransomwaru. Partneři získávají procenta z každé úspěšné platby výkupného. Ransomware jako služba (RaaS) je adaptací obchodního modelu Software jako služba (SaaS).
Vznik společnosti Darkside a dalších provozovatelů RaaS
Díky vytvoření těchto obchodních modelů RaaS nyní skupiny, jako je Darkside, pronajímají své technologie ransomwaru přidruženým společnostem, místo aby samy prováděly útoky na vysoké úrovni. Na podporu svých snah využívá Darkside vlastní tiskové středisko, které tyto vysoce prestižní útoky oznamuje, a zároveň získává nové spolupracovníky pro podporu své činnosti. Aby to bylo ještě složitější, tito dodavatelé RaaS také využívají obskurní společnosti pro "obnovu dat", které usnadňují zpracování plateb za ransomware, aby zahladily stopy za všemi zúčastněnými v tomto podvodném schématu.
Ačkoli útok na Colonial Pipeline přiměl úřady k přijetí opatření, je nepravděpodobné, že by těchto útoků ubylo. Vládní infrastruktura, stejně jako velké společnosti, mají jednu společnou vlastnost, která je činí pro kyberzločince atraktivními: je u nich vysoká pravděpodobnost vyjednávání. Pro takové společnosti (například finanční instituce) může každý den offline vést ke zbytečným ztrátám, které jsou větší než jakékoli výkupné. Proto výzkumníci odhadují, že téměř dvě třetiny loňských útoků ransomwarem byly ve skutečnosti RaaS, přičemž každý měsíc se objevují nové ransomwarové programy, včetně nových hrozeb, jako je Avaddon, a revidovaných verzí pro "klasické" platformy Ryuk a REvil.
Proč jsou útoky RaaS pravděpodobně úspěšné?
Ačkoli většina bezpečnostních řešení má pokročilé funkce proti transomwaru, tyto typy útoků jsou jen zřídka zaměřeny na jeden systém. Rozsáhlé sítě serverů, které pohánějí dnešní systémy vzdálené ekonomiky, ve skutečnosti fungují jako katalyzátor pro útočníky, kteří využívají každé dostupné slabé místo, aby se dostali do systému. Dalším důležitým aspektem, který je třeba vzít v úvahu, je lidský faktor. Jednotlivci jsou nejzranitelnější vůči útokům prostřednictvím cílených spamových/phishingových kampaní a sociálního inženýrství.
Hrozby typu ransomware, které často působí jako APT, tedy pokročilé přetrvávající hrozby, využívají více metod, jak se dostat do systému a zůstat tam:
E-mail je stále poměrně populární u poskytovatelů RaaS, kteří používají skripty, archivy, formátovací exploity a makra, aby obešli ostražitost některých systémů.
Škodlivé adresy URL mohou obsahovat sady exploitů, stejně jako legitimní, ale kompromitované webové stránky. Běžnou metodou nahrávání takových sad do sdílených systémů je také malvertising.
Běžným způsobem šíření ransomwaru se staly také soubory a aplikace na sociálních sítích. Tyto systémy jsou často z důvodu ochrany soukromí jednotlivých zaměstnanců méně sledovány.
Mezi další metody patří infikovaná paměťová média (USB ovladače, externí HDD), a také přímé útoky na zranitelné počítače, včetně těch, na kterých běží nezabezpečené servery HTTP. Velké cloudové systémy často obsahují starší koncové body, které jsou při pravidelných bezpečnostních kontrolách opomíjeny.
Většina ransomwaru se po vstupu do systému neprojeví okamžitě. Vytvoří celý ekosystém založený na šifrování cenných souborů z vašich systémů, generování dešifrovacích klíčů pro ně a připojení ke zpracovateli plateb, který zprostředkuje výkupné. Novější platformy ransomwaru, například ty, které se používají v RaaS, mají často nejnovější verze svých binárních souborů otestované proti více antivirovým programům. Díky této technologii je pak software schopen vypočítat, kdy udeřit, přičemž zohledňuje jak dobu, za kterou AV enginy zjistí jejich přítomnost, tak dobu, za kterou analytici pochopí způsob šifrování.
Doporučené strategie obrany RaaS
Nejdůležitějším krokem je zvýšit schopnost včasné detekce bezpečnostního řešení. Toho lze dosáhnout několika způsoby:
Použití služby filtrování adres URL
Zařízení pro filtrování URL neustále blokují nejen škodlivé adresy URL, ale také IP adresy domén a serverů, které za nimi stojí. Pokročilé služby filtrování adres URL mohou, i když již byla adresa URL navštívena, zastavit komunikaci s hlavním serverem veškerých dat nebo souborů, které z ní pocházejí. V případě ransomwaru tak lze účinně zabránit šifrování souborů a generování klíčů.
Pokročilá kontrola hrozeb (ATC)
ATC pomáhá proaktivně odhalovat ransomware i hrozby zero-day. Na základě pokročilé heuristiky a strojového učení fungují systémy ATC na základě "předpokladu nulové důvěryhodnosti" a trvale monitorují zranitelné aplikace a procesy. ATC se spoléhá spíše na charakteristiky chování než na signatury a binární detekci.
To znamená, že malwaru a ransomwaru je nejen zabráněno v proniknutí, ale také v jednání, pokud byly do systému nějakým způsobem "pozvány". Únosy aplikací, injektování kódu do jiných procesů, přístup k omezenému serveru nebo diskovému prostoru a vytváření položek automatického spouštění v registru, jsou jen některé z akcí specifických pro malware, které jsou blokovány.
Pokročilý anti-malware
Pokročilý antimalware je naprostou nezbytností každého bezpečnostního řešení. Přestože mnoho uživatelů již antimalwarový engine má, vyplatí se poohlédnout se po několika funkcích, které pomohou i v proaktivním boji proti malwaru. Patří mezi ně emulace procesů, proaktivní detekce a průběžné monitorování, stejně jako možnost nasazení řešení na více operačních systémech a infrastrukturách.
Naše řešení
Kromě bezchybných výsledků a nesčetných ocenění, se společnost Bitdefender významně podílí na ochraně firem před ransomwarem a jeho ničivými účinky. Na začátku letošního roku náš tým oslovil společnosti postižené ransomwarem a nabídl jim pomoc v podobě bezplatných dešifrátorů a zmírnění škod.
Naše řešení zahrnují ve své třídě nejlepší platformu pro sledování stavu URL (URL Status), která dokáže zpracovat více než 15 000 požadavků na URL za sekundu s průměrnou dobou odezvy pod 100 milisekund. Naše sada SDK pro pokročilou kontrolu hrozeb navíc dokáže rozšířit stávající obranu a výrazně snížit riziko úspěšných útoků. Obě tato řešení mohou snadno doplnit náš známý Antimalware SDK, který lze bezproblémově integrovat se všemi bezpečnostními produkty.
Zjistěte více o tom, jak rozšířit možnosti zabezpečení pomocí licenčních technologických řešení společnosti Bitdefender.