- David Polách
Ransomware je typ škodlivého software s jediným cílem – zašifrovat vaše data. Za jejich opětovné zpřístupnění pak po vás útočník požaduje výkupné. Odtud také jeho název (ransom v angličtině znamená výkupné). Jak hackeři tenhle útok využívají? Proč je v poslední době stále častější? A jak se proti němu mohou společnosti bránit?
Ransomware je takový loupežník u cesty, který vám zkříží cestu a pokusí se vás obrat o peníze. Když zaplatíte nechá, vás být. Nikdy ale přesně nevíte, jak celý incident dopadne.
Cílem kybernetické bezpečnosti ve společnosti je zajištění funkcionality firemních IT systémů a ochrana dat. Nad tím vším stojí schopnost společnosti „normálně“ fungovat, poskytovat služby a podnikat, a to i v případech, kdy dojde ke kybernetickým útokům.
Útočníci se z různých důvodů snaží tyto cíle společností narušit. Nejčastěji proto, aby společnost drželi v šachu a donutili ji k zaplacení výkupného. O peníze jde až na prvním místě, a tak se ransomware stal jedním z nejrozšířenějších typů útoků, které společnosti postihují.
Jeho cílem je škodit. Hackeři chtějí proniknout do firemní sítě, rozšířit ransomware a následně zašifrovat soubory. Oběť je pak vyzvána k zaplacení výkupného, nebo se k datům již nedostane. Platí se tedy za opětovné umožnění přístupu k vlastním datům.
Je dobré si uvědomit, že útoky ransomware mohou mít za cíl také pouze vyhrožovat zveřejněním informací o zákaznících. Zvlášť, když jsou informace citlivé povahy.
Jak se lze proti němu bránit?
Abychom věděli, jak se můžeme proti ransomware bránit, je důležité vědět, kudy k nám může proniknout. Typický ransomware se skrývá ve phishingu – podvodném e-mailu nebo SMS, kdy útočník chce, aby oběť klikla na odkaz ve zprávě a zadala své citlivé údaje do stránky, která se tváří jako opravdová a povědomá. Anebo z ní něco stáhla, což může nastat jen jejím načtením. Jak se lze proti ransomware útokům bránit? Máme pro vás pár tipů.
- Protože útok směřuje na vaše data, je důležité primárně chránit je. Záloha a archivace jsou vašimi nejlepšími společníky. Jiná lokalita, jiné nosiče, ideálně 3 kopie dat. Když vám někdo bude vyhrožovat, že vám data neobnoví, už můžete obnovovat ze záloh.
- Při zasílání phishingů je první linií obrany antispamový filtr a firewall u vaší interní sítě. Jejich správné nastavení odbourá většinu nechtěné komunikace. Pokud i tak nějaký e-mail propadne až k uživateli, je potřeba se postarat o to, aby konkrétní zaměstnanec věděl, jak má zareagovat.
- Segmentací (rozdělením) sítě zúžíte možný dopad. Když budete mít síť rozdělenou do částí, typicky podle důležitosti nebo typu uživatele či zařízení které s v ní nachází, ransomware se nerozšíří dál. V případě úspěšného útoku ztratíte méně dat a méně peněz.
- Chrání vás i včasné aktualizace. Zveřejněním záplat (patchů) výrobcem je jasné, že existuje v systému nebo aplikaci slabé místo. Jakmile patch vyjde, ví o zranitelnosti i útočník. Pokud jeho instalaci odložíte, poskytnete útočníkovi čas, aby ji využil.
- A tady nastává velká výzva – vzdělávání zaměstnanců. Nová právní úprava zavádí společnostem povinnost zaměstnance pravidelně vzdělávat, vzdělávání plánovat dopředu a vést o vzdělávání záznamy. Realita však může být taková, že zaměstnanci během jednoho dne uslyší všechna možná školení, která za rok musí absolvovat. BOZP, požární školení, školení specifické pro práci u zaměstnavatele… a nakonec i kybernetickou bezpečnost. Kolik jim z toho ve finále zůstane v hlavě?
Pokud se společnosti chtějí před ransomware skutečně bránit, musí vzdělávání zaměstnanců věnovat čas.
Mezinárodní iniciativa proti ransomware
Prohlášení proti platbám výkupného za ransomware. Pod tímto názvem se skrývá společné prohlášení států a mezinárodních organizací o tom, že výkupné z ransomware platit nebudou. Proč něco takového vzniklo? Koho se závazek neplatit týká? A kdo za tím stojí?
Prohlášení je výsledkem jednání „International Counter Ransomware Initative“ (CRI). Jedná se o celosvětovou iniciativu s více než 50 členy. Je zastoupena na všech kontinentech a mezi členy patří například USA, Velká Británie, Německo, Austrálie, Indie, Kamerun, Spojené Arabské emiráty nebo Dominikánská republika. A samozřejmě Česká republika. Z velkých států nápadně chybí Čína a Rusko. Ze států notoricky známých tím, že ransomware používají k vylepšení státního rozpočtu Severní Korea.
Jaké jsou cíle CRI?
Budovat společnou odolnost proti útokům typu ransomware.
Omezit životnost byznys modelu ransomwarových útoků.
Mezinárodní spolupráce členů při napadení ransomware útokem.
Spolupráce se soukromým sektorem v boji proti ransomware.
Bojovat proti financování ransomware útoků a následné možnosti využití získaného výkupného.
Na základě iniciativy CRI byla založena Mezinárodní skupina pro boj proti ransomware koordinující společný postup CRI proti ransomwarovým gangům. Jejím cílem je postihovat gangy na operační úrovni – tedy reálné skupiny, které pomocí ransomware útočí.
Další činností byla snaha o potírání obchodního modelu ransomware gangů. Prostřednictvím analýz v oblasti kybernetického pojištění, chování obětí, zabavování a konfiskace virtuálních aktiv, plateb výkupného a best practice při hlášení incidentů a sdílení informací.
Z aktuálního setkání CRI vzešly další plány:
-
Rozvoj kybernetické bezpečnosti u členů iniciativy
Rozvoj schopností zahrnuje pomoc státům s méně vyspělou kybernetickou bezpečností. Budování kapacit kybernetické bezpečnosti (vzdělávání lidí), mentoringu (sdílení know-how a best practices), spuštění programu využívajícího umělou inteligenci v boji proti ransomware. Vše s pomocí zkušenějších členů. -
Nové postupy při sdílení informací
Sdílení informací zahrnuje spuštění platforem pro sdílení informací o ranswomare. Ty budou postaveny na Litevské platformě MISP, a platformě Izraele a Spojených Arabských Emirátů s názvem Crystal bowl. -
Nové metody pro „vracení úderu“
Prohlášení o neplacení výkupného bylo součástí poslední části. Stejně jako závazek poskytnutí pomoci členům CRI v případě, že budou ransomwarovým útokem zasaženy weby vlády anebo klíčových sektorů (voda, energetika, transport a komunikace).