Problematika ransomware – jaká je situace a kterým směrem se ubírat?

Petr Koudelka, Senior Sales Engineer ve společnosti Zyxel Communications Czech

Praha 22. května 2019 – Rok 2018 byl pro kybernetické zločince skvělý, což potvrdí zejména útočníci využívající ransomware. V roce 2018 stoupl počet útoků cílících konkrétně na firmy. Ke konci roku 2018 dosáhl počet útoků ransomwaru historického rekordu a totéž platí i o výši požadovaného výkupného. Útoky ransomwaru jsou stále důmyslnější a škodlivější a šíří se mezi stále větším počtem organizací. Obzvláště zranitelné vůči této kriminalitě jsou malé a středně velké organizace, které byly v posledním čtvrtletí roku 2018 cílem 71 % útoků ransomwaru. Dle názoru některých komentátorů se dá očekávat, že ke konci roku 2019 dojde k útoku ransomwaru na organizace každých 14 vteřin.

Ne všechny útoky ransomwaru jsou úspěšné. Nicméně ty, které úspěšné jsou, mohou pro oběti mít katastrofální důsledky a snadno je přivést do existenčních problémů. Ransomware znepřístupní a/nebo smaže životně důležitá data, bez nichž organizace nemohou fungovat. Navíc hrozí, že oběti útoku svá data možná už nikdy neuvidí ani po zaplacení výkupného. Ransomware je totiž někdy kódován způsobem znemožňujícím obnovu dat, kdy ten, kdo kód upravil, již necílí primárně na vydírání, ale jen na poškození dat. Vzniklá škoda se však neomezuje jen na finanční ztráty způsobené prostoji, úhradou výkupného a ztrátou dat: ransomware někdy obsahuje trojské koně určené ke krádeži bankovních a přihlašovacích údajů, a narušená pověst organizace navíc může potenciální zákazníky a klienty odrazovat ještě mnoho let po útoku. Pokud navíc dojde k odcizení osobních dat zákazníků, je ve hře ještě problematika GDPR a to může přinést další podstatné náklady.

Co tedy organizace mají dělat v situaci, kdy s nimi útočníci šířící ransomware hrají tuto nákladnou hru na kočku a myš?

Nestrkejte hlavu do písku

Organizace nedokáží řešit problémy, které neznají, a proto by prvním krokem v boji s ransomwarem měly být lepší znalosti. Ransomware je pohyblivý cíl, který se vyznačuje častou změnou hrozeb a vstupních bodů, a proto je důležité znát tuto hrozbu a držet krok s aktuálním děním. To platí nejen pro management, ale pro všechny zaměstnance. E-mailové přílohy, odkazy, nezabezpečené stránky, stahované soubory a podezřelé reklamy, to vše jsou kanály, jimiž ransomware vstupuje do systémů, a proto každý v organizaci musí vědět, jak je používat, a podezřelý obsah se snažit rozpoznat. Je nutné pravidelně záplatovat a aktualizovat operační systémy a veškerý software a také pravidelně zálohovat veškerá data. V této souvislosti je žádoucí dodržovat pravidlo 321: je vhodné mít alespoň tři kopie dat, které by měly být uloženy alespoň na dvou místech, z nichž jedno by mělo být offline. Pro zálohování na offline úložiště používejte jiná jména a hesla pro přihlášení v kombinaci s jiným typem přenosu, třeba protokol FTP. Také stojí za to věnovat pozornost právům spojeným s účty: malware obvykle funguje na úrovni uživatele, který ho spustil, takže omezením těchto práv snížíte riziko šíření ransomwaru.

Ransomware a protokol RDP

Protokol RDP (Remote Desktop Protocol) představuje praktický, a v případě řádného zabezpečení i celkově bezpečný způsob vzdáleného přístupu na pracovních stanicích a serverech. Pokud ale protokol RDP není zabezpečen, kybernetičtí zločinci ho mohou snadno využít jako vstupní bránu do sítě. Organizace by měly zvážit, jestli protokol RDP opravdu potřebují, a případně ho deaktivovat (protokol RDP je standardně instalován v systému Windows a je k dispozici pro ostatní operační systémy). Pokud je protokol RDP nezbytný, měl by být používán s maximální opatrností. To znamená, že budete vyžadovat ověření identity a silná hesla, síť zajistíte před interními a externími útoky a používání protokolu RDP umožníte pouze těm osobám, které ho skutečně potřebují. Firewallem lze také jednoduše povolit RDP jen dříve ověřeným uživatelům přes firewall nebo finálně provozovat RDP v zabezpečeném šifrovaném VPN tunelu. RDP nicméně není jedinou vstupní branou, kterou mají v oblibě útočníci s ransomwarem. Ať už k útokům malwaru dochází přes protokol RDP, či jinak, většina z nich jsou útoky hrubou silou, což znamená, že pro uživatele RDP i všechny ostatní je maximálně důležité dodržovat obvyklá preventivní opatření (tzn. používat silná hesla a vícefaktorovou autentizaci, omezit používání nedůvěryhodných zařízení, minimalizovat uživatelské úrovně, a to zejména v případě účtů připojujících se k internetu, a tak dále).

A co ransomware a cloud?

Mnoho lidí si ransomware spojuje (mylně) s lokálními zařízeními. Vzhledem k rozsáhlé migraci dat na cloud a ke stále oblíbenějšímu používání softwaru jako služby je snadné se domnívat, že na cloudu jsou data v bezpečí. To platí jen do určité míry: cloud je vynikající místo k zálohování dat dle výše uvedeného pravidla 321, nicméně ani on není vůči útokům malwaru imunní. Prostředkem k šíření ransomwaru může být například synchronizace lokálních souborů (zejména sdílených) z napadeného zařízení na cloud. Pokud taková situace nastane, zřejmě se vám nepodaří obnovit nic jiného než předchozí verzi vašich souborů. Kybernetické útoky navíc cílí také přímo na cloudové služby: v roce 2016 ransomware Cerber zaútočil na cloudovou službu Microsoft Office 365 a v roce 2017 společnost Microsoft potvrdila obrovský nárůst útoků na její cloudové produkty. Z tohoto důvodu je kontrolování a zabezpečení cloudových systémů stejně důležité jako zabezpečení místních sítí a zařízení.

Organizace mohou na cloudové servery a úložiště instalovat bezpečnostní produkty, což zejména ty malé a středně velké řeší formou outsourcingu. V takovém případě musí organizace mít jistotu, že spolupracuje s partnerem poskytujícím odpovídající úroveň ochrany, a požádat ho o sdělení informací o používaných systémech, úspěšnosti detekce, rychlosti, jakou jeho nástroje detekují ransomware, a o tom, kolik procent jejích souborů bylo poškozeno. Pokud poskytovatel nedokáže tyto otázky uspokojivě zodpovědět, je vhodné se obrátit jinam.

Závěrečné shrnutí

Ransomware je dynamická hrozba, která je schopna poškodit organizace všech velikostí a která v současnosti často cílí na malé a středně velké organizace. Ransomware způsobuje katastrofální škody. Aby k nim nedošlo, musí malé a středně velké organizace zajistit bezpečnost všech zařízení a cloudových služeb, dodržovat pravidlo 321 pro pravidelné zálohování dat a nadále prosazovat tradiční bezpečnostní opatření, to znamená používat silná hesla, omezovat nedůvěryhodná zařízení, používat k přístupu do sítě pouze účty s nízkým oprávněním a vyžadovat vícefaktorovou autentizaci. A v neposlední řadě, pokud k síťovým službám využívají třetí stranu, musí se malé a středně velké organizace informovat u těchto poskytovatelů o dostupných úrovních zabezpečení (včetně zabezpečení cloudu) a ujistit se, že tyto úrovně uspokojí jejich potřeby.

O společnosti Zyxel Communications

Společnost Zyxel Communications připojuje lidi k internetu už téměř 30 let, vždy s důrazem na inovace a zákazníka. Díky schopnosti adaptovat a inovovat síťové technologie patříme mezi leadery v oblasti konektivity pro telekomunikační společnosti, poskytovatele služeb, organizace i domácí uživatele.

Vytváříme sítě budoucnosti, čímž pomáháme využívat potenciál a plnit potřeby moderních pracovišť. Pomáháme lidem v práci i při hraní.

3 500 partnerů v ČR a SR

100 milionů zařízení propojujících svět

700 000 organizací, které fungují chytřeji díky produktům Zyxel

Působnost na 150 trzích celého světa

Zyxel, Your Networking Ally.