Komentář odborníků společnosti ANECT k případu benešovské nemocnice

Případ Benešov

Vektory útoků

Jaké jsou vektory útoků? Tento typ škodlivého kódu, zvaného ransomware, využívá zásadně dva způsoby útoku. Jedním z nich je využití chyb v operačních systémech počítače. Dané zranitelnosti mohou nastat třeba v případě, kdy operační systém již není podporován výrobcem (což 14. 1. 2020 potká i populární Windows 7 od Microsoftu). Další možností je ignorace aktualizací daných systémů, což samozřejmě zvyšuje jejich napadnutelnost.

Tento druh škodlivého kódu ale hackeři mohou do počítače a následně do celé počítačové sítě dostat také díky využití nejslabšího článku v IT řetězci, což je lidský prvek. Právě na tento způsob dostání se do systémů přitom hackeři čím dál tím více spoléhají.

Každému z nás ale čas od času chodí e-maily s různými nabídkami, kterými se necháme „lapit“. V současné době je hodně rozšířená nabídka přivýdělku, která začínala na 5 000 EUR a nyní již za práci slibuje 100 000 EUR. V těle tohoto mailu je však jen velmi stručná informace o nabídce, více informací je pak k dispozici pod odkazem. Kliknutí na tento odkaz ale může být pro počítač smrtelné. Díky němu se škodlivý kód nainstaluje a začne svoji činnost, kterou má naprogramovanou. 

V případě útoku na benešovskou nemocnici prozatím není známo, zda se jednalo o cílený útok velké skupiny, tajných služeb, či jednotlivce.  Na veřejnosti méně přístupné části internetu, tzv. darknetu, si jednotliví hackeři vyměňují různé informace a v nedávné době se zde objevil i „e-shop“ s různými nabídkami. Opravdu jde o obchod, v němž se nakupuje stejně jako v běžných internetových obchodech, jen nabízí jiné zboží. Jednou věcí z prodávaného sortimentu může být i kryptovirus (ransomware), který dokáže zašifrovat veškerá data, jež má k dispozici, a pro jejich rozšifrování vyžaduje zaplacení obvykle ve formě převodu virtuální měny (bitcoin) na dočasný účet útočníka. 

Pokud si takový virus objednám, mohu si vydefinovat počet útoků a vybrat, zda chci cílit na určité adresy v internetu (pokud je virus šířen pomocí mailů – mohu vybrat cíleně skupiny adresátů), nebo nechat vše náhodě. Nejčastěji se tyto maily posílají na poskytovatele freemailových služeb, tedy na soukromé schránky. Ti totiž nepoužívají takové sofistikované metody na odfiltrování těchto nevyžádaných zpráv, jak je obvyklé u firemních poštovních serverů.

Za útokem tak může stát i člověk, který nemá ani tak velké počítačové znalosti, jen jednoduše použil nabízený virus včetně metody distribuce „software/virus jako služba“. 

Výrobce takového viru dostane jako odměnu určitou část výpalného, kdy majiteli napadnutého systému nezbývá než zaplatit. 

Co nemocnici zbývá? 

Pokud někde nemocnice najde starší zálohy, může obnovit systémy z nich s vědomím, že posledních XY dnů nebude k dispozici. V případě, že se zjistí typ viru, je potom možné, že některý z bezpečnostních týmů již tento typ viru v minulosti řešil, a zná tak typ algoritmu, který daný virus používá. S určitou znalostí programování a za podpory specialistů lze v tomto případě celý systém postupně dešifrovat. Tato činnost však rozhodně bude vyžadovat větší čas, než trvalo samotné napadení. Systémy se přitom musí dešifrovat jeden po druhém a nesmí se zapojit do nakažené sítě, neboť by došlo k dalšímu zašifrování.

Zda pomůže zaplacení výpalného, je otázkou… nedávno se totiž vyskytl případ, kdy se jeden z virů NoPetya za vyděračský vir jen vydával. Požadoval zaplacení, avšak nikdy nepřišel dekódovací řetězec, neboť ten zkrátka neexistoval. Daný virus byl z kategorie „wiper“ – čistič, šlo tedy nenávratný likvidátor dat. Ani v tomto případě zatím není z veřejně dostupných zdrojů možné zjistit, o jaký typ viru se jedná – i na tom tedy bude záležet možné řešení situace.

Doporučení pro obranu proti ransomwaru

1) Zkontrolujte a zpřísněte nastavení filtrování pošty (SPF, DKIM, DMARC, využívejte technologií Sandbox, zakažte nebezpečné spustitelné soubory v přílohách) – protože nejčastějším způsobem nakažení je skrze email a infikovanou přílohu (ve většině případů příloha obsahující makra), popřípadě odkaz v emailu vedoucí na zavirovaný obsah.

2) Řidťe přístup do sítě a síť segmentujte.

3) Aktualizujte. V pravidelně aktualizovaných systémech je vždy nižší riziko, že bude systém ransomwarem napaden a dále šířen.

4) Využívejte aktivní ochranu proti ransomwaru, jako jsou antiviry a bezpečností software. Nezapomeňte pravidelně (klidně i několikrát denně) stahovat a instalovat virové definice.

5) Nejslabším článkem jsou uživatelé, a proto je zapotřebí je opakovaně školit. Především pak ty uživatele, kteří mají nastavena vyšší práva. 

6) Pravidelně zálohujte a testujte obnovu z těchto záloh. Zálohy chraňte a zabezpečte před proniknutím ransomwaru a jejich zašifrováním (segmentace sítě, segregace oprávnění, zakázání nepotřebných služeb, protokolů a portů, zvažte odesílání kritických záloh na vzdálená třeba i cloudová úložiště – tzv. offsite, či pásky). 

Komentář připravili Zbyněk Malý – odborník na kybernetickou bezpečnost, a Petr Kocmich – Security Architect ze společnosti ANECT.