Co jsou to rodiny ransomwaru? (A proč jejich znalost může vaší firmě pomoci vyhnout se útoku)

Je téměř nemožné používat počítač nebo síť k podnikání a nevědět o ransomwaru. Ale co rodiny ransomwaru?

Pokud se staráte o kybernetickou bezpečnost nebo vlastníte malou či střední firmu, je stále důležitější mít o ransomwaru více než jen povědomí. Musíte mít přehled o tom, jak ransomwarové programy, používané v naprosté většině kybernetických útoků, ochromují systémy firmy a zmocňují se jejích dat.

Počet útoků ransomwaru ve Spojených státech vzrostl za rok o 300 %, a 50 % a více incidentů připadá na malé podniky, říká ministr pro vnitřní bezpečnost Alejandro Mayorkas, který se o tyto údaje podělil na jaře 2021 na akci Americké obchodní komory.

Navzdory zintenzivněnému soukromému i veřejnému úsilí o identifikaci a zatýkání kybernetických zločinců, a zmaření útoků ransomwaru, je nepravděpodobné, že by se tato hrozba v dohledné době zmenšila.

Vzestup RaaS a rodin ransomwaru

Co mají "rodiny" společného s kybernetickými útoky?

"Rodiny přímo souvisí s moderním modelem RaaS," vysvětluje Martin Zugec, ředitel technických řešení ve společnosti Bitdefender. "Nákaza ransomwarem je jen posledním krokem; tyto moderní útoky si vyžadují určitý čas na přípravu a pachatelé se před zahájením útoku snaží důkladně připravit."

Většina kybernetických útoků bývá postavena na méně než dvou desítkách rodin ransomwaru. Rodiny ransomwaru představují společné signatury kódu, virové zátěže a škodlivé příkazy, které odvádějí špinavou práci, jakmile získají přístup do podnikových systémů. Sdílejí také podobný styl útoku a know-how - jakýsi návod k použití - pro partnery.

RaaS obvykle vede vyjednávání o výkupném, takže výzkumníci se často spoléhají na to, že při identifikaci rodiny (a podle toho reagují na probíhající útok) se bude jednat o výkupné. Více informací o tom, jak společnost Bitdefender dokázala identifikovat útoky REvil z vyděračských dopisů, najdete zde.

Celkově odborníci na kybernetickou bezpečnost předpokládají, že existuje zhruba 250 známých rodin ransomwaru.

Snažit se nasadit bezpečnostní nástroje, které by zmařily stovky typů jakékoli kybernetické hrozby, zní hrozivě. Ale protože ransomware je jen posledním krokem moderního útoku, stává se detekce a reakce na něj stále důležitější.

Poznání, jak fungují nejrozšířenější rodiny, a zavedení bezpečnostních nástrojů vyškolených na rozpoznávání rodinných signaturních kódů, může vaší firmě a bezpečnostnímu týmu pomoci se lépe bránit proti ransomwaru. Pomůže vám také identifikovat a posílit slabá místa a vektory hrozeb, které činí vaši firmu náchylnou k ransomwaru.

Jaké jsou nejvýznamnější rodiny ransomwaru?

V zářijové analýze 12,7 milionů detekcí malwaru identifikoval Bitdefender 220 rodin ransomwaru.

Počet zjištěných rodin ransomwaru se každý měsíc mění v závislosti na aktuálních kampaních ransomwaru po celém světě. Přitom pouze tři rodiny - WannaCryptor, Stop/DJVU a Phobos - se podílely na 59 % útoků spojených s 10 nejčastějšími rodinami ransomwaru v zářijové analýze.

Bitdefender Threat Debrief | září 2021

Nárůst počtu případů ransomwaru v posledních několika letech, zejména jako nástroje kyberzločineckých syndikátů a kyberzlodějů volně spojených s určitými rodinami ransomwaru, posunul tyto útoky mezi hlavní kybernetické hrozby na celém světě.

Zde je důvod: Ransomware je pro digitální zločince velký byznys.

Vezměme si nedávné zatčení a obvinění přidružených členů rodiny ransomwaru REvil/Sodinokibi, kteří se letos v létě podíleli na útocích na společnost Kaseya Software. Americké ministerstvo spravedlnosti získalo zpět 6,1 milionu dolarů z účtu pouhého jednoho muže, tedy peníze, které byly vylákány od obětí ransomwaru.

Stručná anatomie útoku ransomwaru

Ransomware není nový fenomén. První ransomwarový útok se datuje do roku 1989, kdy se trojský kůň AIDS/PC Cyborg zaměřil na zdravotnické organizace.

Moderní ransomware se obvykle dělí do dvou kategorií: kryptografický a tzv. lockery.

• Kryptografický ransomware zašifruje soubory společnosti, takže k nim již nemá přístup.

• Ransomware Locker se chová přesně tak, jak byste možná očekávali, a zablokuje firmě některé nebo všechny její systémy a soubory.

V obou případech útočníci zabrání přístupu ke zdrojům, a za jejich uvolnění požadují platbu, obvykle v těžko dohledatelných kryptoměnách. Často je stanoveno časové okno, po jehož uplynutí útočník slíbí digitální majetek zničit.

V případě RaaS útočníci nejen blokují přístup a požadují výkupné - dvojnásobné, trojnásobné, a dokonce čtyřnásobné vydírání se stalo normou. Skupiny RaaS nechávají unikat proprietární data obětí a požadují další výkupné, aby přestaly. Pokud oběti odmítnou zaplatit, spustí útoky DDoS a začnou obtěžovat obchodní partnery a zákazníky, případně vytáhnou další nástroje ze svého hackerského arzenálu. Jen málo organizací je schopno bojovat proti útokům na tolika frontách.

"Moderní model RaaS umožňuje kyberzločincům stát se specialisty, a soustředit se na své oblasti odbornosti," říká Zugec. "To sice umožňuje útočníkům způsobit mnohem větší škody, ale zároveň to vede k větší standardizaci nástrojů a postupů, což dává firmám možnost studovat strategie útočníků a budovat adekvátní obranu."

Podívejte se například na Maze, široce používanou rodinu ransomwaru. Autoři Maze vyvinuli kód, který využíval Windows Management Instrumentation (WMI), infrastrukturu pro správu dat a operací v operačních systémech Windows. Ničí stávající i budoucí zálohy systému Windows.

Pochopením toho, jak může konkrétní rodina ransomwaru zneužít tak mimořádně běžný nástroj, jako je WMI, mohou společnosti připravit a nasadit zásady používání, které sníží riziko zneužití. Více se o tom můžete dozvědět ze zprávy Business Threat Landscape Report.

Je důležité spojit úsilí o zajištění obrany proti způsobu, jakým signaturní kódy rodiny ransomwaru působí škody, s úsilím o zabezpečení, které se zaměřuje na průnik - tedy na způsob, jakým ransomware proniká do firemních sítí. Zde obvykle hrají svou roli přidružené subjekty, které provozují spamové emailové kampaně, provádějí útoky hrubou silou a využívají neopravených zranitelností.

Znamená to zavést nezbytné osvědčené postupy zabezpečení: vícefaktorové ověřování (MFA), záplatování zranitelností téměř v reálném čase, neustálé školení povědomí o bezpečnosti.

Kyberzločinci se vyvíjejí, a proto by se měla vyvíjet i vaše obrana.

Stejně jako u všech bezpečnostních řešení, je i u výpočtu návratnosti investic do ochrany před ransomwarem nutné zdůvodnit tyto investice na základě scénářů "co kdyby".

Náklady, které stojí útoky ransomwaru, jsou mnohem vyšší, než jen hodnota výkupného, které firma zaplatí (pokud se rozhodne ho zaplatit):

• Náklady na prostoje v době, kdy se nepracuje a nejsou obsluhováni zákazníci.

• Náklady na obnovu, rekonstrukci a posílení systémů.

• Zvýšené náklady na pojištění.

• V neposlední řadě je to zásah do pověsti podniku, který může přetrvávat ještě dlouho poté, co všechny známky útoku zmizí.

"Útoky RaaS jsou sice ničivější, ale zároveň dávají obráncům více možností, jak probíhající útok odhalit a reagovat na něj," říká Zugec. "Hloubková obrana a vícevrstvé zabezpečení jsou klíčové."