reakce k aktuálním ransomware útokům na společnost Apple ve spojení s uvedením nové produktové řady.
Odpovídá Denis Legezo, senior bezpečnostní analytik, Kasperky’s Global Research and Analysis Team (GReAT)
Co znamená REvil?
Jde o ransomware, který se objevuje už od roku 2019 a který dokáže jak zašifrovat data, tak je ukrást. Je známý jako REvil, případně Sodin nebo Sodinokibi. Není vytvořený na míru, dá se „předplatit“ ve specifických online skupinách jako ransomware-as-a-service. Jeho nasazení vyžaduje dvě skupiny útočníků, jedna vyhledá bezpečnostní díru v systémech organizace a nasadí REvil, druhá pak jeho prostřednictvím rozšíří malware. Skupiny pak požadují výkupné za zašifrovaná nebo ukradená data a v případě úspěchu se o něj podělí.
Tento ransomware je také specifický tím, že útok se nespustí v případě, pokud malware identifikuje určitý výchozí jazyk v systému a k němu příslušné nastavení klávesnic. Bavíme se o více než desítce jazyků, včetně ruštiny.
Jak vážná je hrozba ztráty dat?
Jde o reálné nebezpečí, že data zůstanou nedostupná. A je třeba počítat s tím, že tento útok nebude ojedinělý.
Co může v této situaci udělat Apple? Jak se může bránit v případě napadení svých dodavatelů?
Bohužel se toho moc udělat nedá. Ochrana dodavatelů je většinou mimo jejich vliv. Pokud tedy nemají klauzuli o určité vysoké úrovni zabezpečení dodavatele přímo v kontraktu.
Útočníci jsou velmi vynalézaví, jak mají bezpečnostní týmy ve firmách postupovat, aby podobným útokům předcházeli?
Bezpečnostní týmy musejí řešit nejen konkrétní útoky, ale zaměřit se právě i na prevenci. Pokud už k takovému napadení dojde, je potřeba udělat jeho kompletní analýzu, zjistit, kde má systém organizace slabá místa a ošetřit je. Například omezit vzdálený přístup do systému, speciálně bez dobře zajištěného VPN. Pak je podle mě třeba mít propracovanou strategii ochrany, včetně monitoringu a krizového plánu v případě podobného útoku.
Změní tento útok obrovského rozsahu vnímání kyberbezpečnosti?
S cílenými útoky na velké společnosti se odborníci na kyberbezpečnost setkávají už několik let. A stále více platí, že se organizace neobejdou bez důsledných opatření v oblasti svého zabezpečení. Musejí také řešit kyberbezpečnost komplexně, od monitoringu, proaktivní detekci možných útoků, po kontinuální tréning svých týmů.