Jak si udržet náskok před ransomwarem



Ransomware je stále oblíbeným programem kyberzločinců, kteří pomocí něj blokují obětem přístup k datům a hrozí jejich zveřejněním, pokud nebudou splněny jejich požadavky. V současné době aktéři ransomwarových hrozeb fungují téměř výhradně jako služba a dělí se o povinnosti a zisky napříč hierarchickými úrovněmi. Jak je bohužel vidět na nedávném útoku na amerického provozovatele palivového potrubí, který zaplatil výkupné ve výši pěti milionů USD, "byznys" vzkvétá. Podle nedávné analýzy centra IC3 FBI způsobil organizovaný ransomware zaměřený na americké subjekty v loňském roce rekordní škody. Celosvětově se náklady na ransomware snadno pohybují ve stovkách milionů a pravděpodobně i v miliardách.


Tým Bitdefender Labs se aktivně zabývá výzkumem ransomwaru a pomohl orgánům činným v trestním řízení zlikvidovat velké skupiny kyberzločinců, jejichž hodnota se odhaduje na stovky milionů, například GandCrab, Hansa, Sipulimarket, Wall Street Market a Silkkitie. Jen ransomwarový dekryptor GandCrab společnosti Bitdefender ušetřil obětem více než 76 milionů dolarů na výkupném.



Dvojí vydírání, dvojí škoda


Ransomware existuje v mnoha variantách - každá z nich je pravidelně nabízena jako služba konkurenčními zločineckými skupinami a skupinami národních států - a ransomwarové gangy mají tendenci se vzájemně živit, kdykoli jedna skupina učiní inovativní průlom. Dnes již neexistující skupina Maze Team byla průkopníkem techniky dvojího vydírání, která nutila oběti k placení tím, že jim před zašifrováním ukradla data, a pak hrozila jejich zveřejněním, pokud nebudou požadavky na výkupné splněny. Fungovalo to tak dobře, že v průběhu roku 2020 začali agresoři používající ransomware kmenů jako Sodinokibi, Ryuk, DopplePaymer a Egregor používat toto nové donucovací schéma k vydírání svých obětí.


Autoři Maze však pro svůj úspěch udělali ještě více. V nedávné zprávě společnosti Bitdefender vysvětlujeme, jak Maze ničil zálohy vytvořené systémem Windows, například stínové kopie svazků. Dotazem na třídu Win32_ShadowCopy WMI Maze našel stínové kopie a odstranil je. (Tato technika je uvedena v rámci MITRE ATT&CK pod označením T1490 - alias Inhibit System Recovery.)


Vzhledem k tomu, že v sázce je tolik peněz, organizace se snaží zajistit, aby se nestaly další obětí, a mnohé se obracejí na kybernetické pojištění jako na prostředek ochrany před některými dopady incidentu. Takové kybernetické pojištění však obvykle pokrývá pouze přímé škody a neřeší dopady na podnikání a pověst v důsledku ztráty dat a skutečné náklady na zaměstnance, kteří se musí zotavit.


Tento přístup se nedoporučuje. Podle Lindy Cameron, nové výkonné ředitelky britského Národního centra pro kybernetickou bezpečnost, "pojištění kybernetické bezpečnosti" může skutečně pomoci pokrýt náklady, ale nemůže nahradit lepší základní kybernetickou bezpečnost a co nejvíce ztížit útoky ransomwaru. Přinejmenším jedna významná pojišťovna kybernetické bezpečnosti nedávno uvedla, že přestane vyplácet pojistné plnění obětem ransomwaru jen proto, aby ve zjevné odvetě zjistila, že část jejích operací byla napadena ransomwarem.



Prevence je nejlepší lék


Nejlepší strategií, jak ransomwaru předejít nebo alespoň snížit jeho dopad, je pravidelné vyhodnocování bezpečnostních rizik a průběžné záplatování podpořené technologickými kontrolami.


Ransomware je velmi přizpůsobivý. Jeho tvůrci pečlivě navrhují jednotlivé moduly malwaru tak, aby se vyhnuly odhalení technologiemi kybernetické bezpečnosti. Jak však ukázala historie, i malé zpoždění při detekci může poskytnout dostatek času k tomu, aby došlo k potenciálně nevratnému zašifrování souborů. Obrana proti ransomwaru proto vyžaduje vícevrstvý přístup založený na preventivní ochraně.



Bitdefender GravityZone pro ochranu před ransomwarem


Vzhledem k tomu, že ransomwarové útoky téměř vždy zahrnují různé vektory útoku, vyžaduje dobrá strategie proti ransomwaru ostražitost na více frontách.


GravityZone je navržena tak, aby zajistila účinnou ochranu proti ransomwaru, která je založena na pochopení celého řetězce kybernetických útoků a mapování obrany odpovídající jednotlivým fázím útoku:



1. Řízení rizik a snížení plochy pro útoky


GravityZone využívá více vrstev pro zmírnění rizik, a to na úrovni systému, zařízení i uživatele.


Patch Management pomáhá organizacím udržovat operační systémy a aplikace aktuální v celé instalační základně systému Windows, včetně stolních a přenosných pracovních stanic, fyzických serverů a virtuálních serverů.


Co se týče chybných konfigurací, nesprávně nakonfigurované systémy nechávají dveře otevřené útokům ransomwaru, včetně nastavení zabezpečení prohlížeče,


Nastavení sítě a pověření, nastavení zabezpečení operačního systému, jako jsou otevřené porty, nedůležité služby a povolené nástroje pro správu skriptů (např. PowerShell). GravityZone vyhledává chybné konfigurace systému a dokáže automaticky vzdáleně aktualizovat mnoho nastavení chybně nakonfigurovaných počítačů a zároveň upozornit správce, aby obnovili ostatní nastavení.


Správa rizik a analýza (Risk Management and Analytics) nepřetržitě skenuje koncové body na zranitelnosti aplikací a vydává doporučení pro stanovení priorit a nápravu. Zastaralé aplikace se známými zranitelnostmi (CVE) mohou být zneužity autory ransomwaru ke zneužití funkcí programu nebo ke stažení škodlivého obsahu z internetu. GravityZone skenuje zranitelnosti CVE a řadí zranitelnosti aplikací podle závažnosti, aby správci mohli okamžitě přijmout nápravná opatření.


Nástroj Human Risk Analytics sleduje, kde si uživatelé prohlížejí stránky, jaké soubory otevírají, k jakým umístěním souborů přistupují, jak a kde se přihlašují na rizikové webové stránky, a sleduje hygienu a opakované používání hesel, aby bylo možné rizikové chování napravit.