Po útoku ransomware rozhodně nic neplaťte

Praha, 23. června 2016 – V Praze 16. června 2016 se uskutečnila odborná tisková konference s názvem Ransomware aneb zaplať, nebo…!, kterou pořádal celosvětový lídr v oblasti bezpečnostních řešení, společnost Trend Micro. Setkání s mírně provokativním názvem bylo zaměřené na problematiku ransomware. (TZ)

Ransom znamená anglicky výkupné a to je přesně to, o co hackerům při útocích jde. Za odblokování počítače a zpřístupnění uložených dat si žádají sumy v rozmezí stovek až desítek tisíc amerických dolarů a ransomware tak pro počítačové podsvětí znamená skutečně výdělečný byznys. Nejčastěji žádají kyberzločinci částku 400 dolarů zaplacenou v Bitcoinech. Ransomware je v podstatě specializovaným druhem malware, který z více než 80 procent využívá techniku zašifrování dat v napadených systémech a evolučně navazuje na ransomware, který pouze žádal o výkupné, ale data ještě nešifroval. Nejde přitom o ojedinělou záležitost, každý měsíc se totiž objevují stovky tisíc nových unikátních vzorků ransomware.

Účastníky konference přivítal Michal Jarski, regionální obchodní ředitel Trend Micro pro oblast střední a východní Evropy, který se ve svém úvodním slovu věnoval jak samotné podstatě ransomware, tak i vážnosti a širším souvislostem spojeným s tímto typem hrozby. Uvedl například, že jen reportované ztráty amerických uživatelů a organizací již dosáhly desítek miliónů dolarů. Realita bude ovšem s největší pravděpodobností mnohem horší, odhady totiž hovoří o přibližně 90 tisících nových úspěšných infiltrací denně.

Michal upozornil i na to, že drtivá většina útoků, až 90 %, je vytvořena s cílem napadnout jeden konkrétní přístroj, ať už stolní počítač, notebok nebo mobilní telefon. Jde o sofistikované bezpečnostní incidenty, které využívají velmi dobrou znalost cílového prostředí s cílem vydírat konkrétní organizace. Zpochybnil také falešnou představu o dlouhodobosti útoku ransomware. 60 procent zdrojů – webových stránek s tímto typem infekce, ve skutečnosti neexistuje déle než jednu hodinu. Svůj účel rychle splní a zaniknou. Počítačoví zločinci jsou tak v reálném bezpečí před odhalením a jasný nepoměr mezi rizikem a možným výdělkem hraje v jejich prospěch.

Řešení využívaná pro vývoj hrozeb typu ransomware jsou velmi flexibilní a umožňují rychle reagovat na změny podmínek. Pružnost je dokonce tak velká, že se dnes začíná objevovat i ransomware dostupný jako služba – za pěti až dvacetiprocentní podíl jsou na černém trhu k dispozici platformy, které umožňují snadnou tvorbu a aplikovaní své vlastní varianty ransomware. Vedle rychlé a snadné tvorby nového ransomware patří mezi závažné důsledky tohoto trendu také velmi malá šance na odhalení skutečných aktérů bezpečnostního incidentu. Jinak řečeno, peníze zaplacené za výpalné již s největší pravděpodobností vyjma zločinců nikdo nedohledá.

„V oblasti informačních technologií se pohybuji již více než patnáct let a mohu potvrdit, že v poslední době dochází k jasné změně v motivech hackerů. Počítačoví zločinci se stále častěji orientují na generování finančních zisků a ostatní dříve rozšířené motivy včetně touhy po uznání ustupují do pozadí. Bohužel ransomware je přesně tím typem hrozby, který tento trend umožňuje a podporuje,“ dodal Michal Jarski.

Předchozí slova potvrdil i Robin Bay, Sales Engineer společnosti Trend Micro a jeden z členů české pobočky této globální společnosti. Vedle konkrétních příkladů, mimo jiné na University of Calgary, kde zaplatili výkupné ve výši 20 tisíc dolarů, účastníkům konference podrobně popsal, jak ransomware funguje a zaměřil se i na možné reakce v případě úspěšných infiltrací. Vyvrátil zažitou představu, že ransomware cílí jen na lokální zdroje a upozornil, že k zašifrování může dojít i u dat uložených na sdílených síťových discích. Infiltrace navíc nejsou primárně zapříčiněné nedostatečnou softwarovou nebo hardwarovou ochranou, ale selháním lidského faktoru. Technické prostředky přebírají svůj díl viny až v dalších fázích, kdy zejména nedokáží včas nebo vůbec zachytit následnou komunikaci. Velmi důležitá je proto mnohovrstvá ochrana.

Robin vyzdvihl i souvislost počítačové kriminality s „běžně známou“ zločinností. Díky novým možnostem online kriminality dochází k poklesu klasické kriminality a naopak k nárůstu té kybernetické. Upozornil také na to, že hackeři již dávno nejsou pouze teenageři v přítmí sklepení, ale najdou se mezi nimi i vysoce vzdělaní lidé s  rozsáhlými IT znalostmi.  Dále se věnoval také psychologickému pohledu na úspěšnost tohoto typu hrozby, která je vysoká díky zaměření na strach obětí – například zaměstnanci často nechtějí přiznat, že o data přišli, a tak raději zaplatí. Strach působí i u soukromých uživatelů, kterým kyberzločinci mnohdy vyhrožují, že zveřejní jejich intimní fotografie, citlivé osobní údaje apod. Psychologii útočníci využívají i při jednání o výši výkupného, kdy obětem dávají určitý čas na rozmyšlenou a cenu s přibývajícím časem zvyšují.

Boj s ransomware mají ale stále ve svých rukou samotní uživatelé. Vedle technických prostředků mohou plány hackerů zmařit zejména zálohováním v režimu 3-2-1 (3 kopie na 2 různých zařízeních s 1 geograficky oddělenou zálohou nepřipojenou do primární síťové infrastruktury), prováděním aktualizací, definováním i prosazováním bezpečnostních politik i zvyšováním bezpečnostního povědomí uživatelů. Ale pravděpodobně nejdůležitější je výkupné nikdy neplatit! Jednak existují případy, kdy zaplacení obětem nepomohlo, jednak úhradami ransomware nezmizí – právě naopak.

„Stále častějším cílem ransomware jsou dnes bohužel i státní instituce a sektor veřejných služeb včetně zdravotnictví. Je to pochopitelné, protože například ve zdravotnickém zařízení je obhajitelnější nákup léčebného přístroje než kvalitní ochrany proti počítačovým hrozbám. Jen ve Spojených státech amerických se loni s úspěšným incidentem tohoto typu setkala více než polovina nemocnic,“ upozornil Robin Bay. „V českém prostředí takto přesnou statistiku nemáme, protože většina státních institucí i soukromých firem napadení ransomware a případně i zaplacení výkupného tají. To by ovšem měla změnit nová směrnice Evropské unie, která nařizuje závažné bezpečnostní incidenty oznamovat,“ dodal Robin Bay.

Poslední část konference byla věnovaná problematice neznámých hrozeb, na kterou se zaměřil Jiří Gogela, vedoucí české pobočky bezpečnostní laboratoře DVLabs. Tato laboratoř je součástí společnosti Trend Micro díky akvizici firmy Tipping Point z října loňského roku. Pobočka této laboratoře byla založena právě v Praze z několika důvodů. Praha nabízí vzdělané IT profesionály pracující za nižší platy než jejich kolegové v západní Evropě, i když tento rozdíl se již stírá. Za druhé je Praha nádherným místem k životu a tudíž i lákavou destinací pro vývojáře z okolních zemí, na rozdíl třeba od zvažované Sofie. Jako poslední a možná nejzajímavější důvod je relativní politická stabilita českého prostředí. DVLabs pracuje s velmi citlivými údaji, jejichž kompromitování například jinou vládou by mohlo mít fatální důsledky.

Jiří dále účastníky seznámil s fungováním programu Zero Day Initiative (ZDI), který slouží k podpoře nezávislých bezpečnostních výzkumníků v jejich úsilí o identifikaci dosud neznámých zranitelností a za poskytnuté informace nabízí lákavou finanční odměnu. Díky svým aktivitám zajišťuje DVLabs ochranu před slabinami systémů a infrastruktur již tři měsíce před zveřejněním konkrétní zranitelnosti. Na závěr pak nechyběla ani ukázka toho, jak DVLabs dokáže v některých případech zpětně zachytit proces kódování a odšifrovat zamknuté soubory bez nutnosti platit „výkupné“.

Fotografie a materiály z tiskové konference naleznete ke stažení zde.

Videa: https://www.youtube.com/watch?v=_j0lDQgU0nw

https://www.youtube.com/watch?v=Sm5TbBKeFvU

O společnosti Trend Micro

Trend Micro Incorporated je celosvětový lídr v oblasti bezpečnostního softwaru usilující o zajištění bezpečného světa pro výměnu digitálních informací. Řešení značky Trend Micro staví na 26 letech zkušeností a zpřístupňují koncovým uživatelům, firmám i státním institucím vrstvenou datovou bezpečnost pro ochranu informací na mobilních zařízeních, koncových bodech, komunikačních bránách, serverech a v prostředí cloudů. Společnost Trend Micro umožňuje inteligentní ochranu informací, a to díky inovativním bezpečnostním technologiím, které se snadno nasazují i spravují a přizpůsobují neustále se vyvíjejícímu ekosystému. Všechna řešení společnosti využívají globální cloudovou informační službu Trend Micro Smart Protection Network a jsou podporována více než 1 200 experty na bezpečnostní hrozby z celého světa. Více informací je k dispozici na TrendMicro.com.