S příchodem pandemie koronaviru v roce 2020 počet ransomware útoků vzrostl meziročně o 62 procent a nic nenaznačuje tomu, že by měl tento trend letos výrazně zpomalit. V posledních letech vznikl celý ekosystém skupin, které se zabývají útočením na zranitelná místa IT infrastruktury firem po celém světě. Běžná je specializace pouze na určité fáze celého útoku - kromě hackerů narazíte například na profesionálně řízenou kontaktní linku, která jménem útočníků vyřizuje procesování plateb výkupného. Zeptali jsme se předních odborníků na kyberbezpečnost a vyjednavačů s hackery, jak se takovým útokům bránit, jak postupovat v případě útoku a kdy přistoupit na zaplacení výkupného.
Pod ransomware útokem si můžete představit scénář, kdy útočník pronikne do interních systémů firmy, získá přístup k serverům a zašifruje data uložená na pevných discích s cílem paralyzovat celou firmu. Obratem se k útoku přihlásí a řekne si o určitou sumu, takzvané “ransom”, tedy výkupné, za kterou firmě umožní ztracená data získat zpět.
Ransomware útoky na vzestupu
„Útočníci do firemních systémů obvykle pronikají skrze slabiny v nastavení služeb vzdálené plochy či pomocí phishingových útoků mířených na uživatele. Na vzestupu je také metoda exploitace odhalených chyb v softwaru, které firmy nezvládají pravidelně aktualizovat,” popisuje průběh prvního kroku útoku Martin Haller, který firmy sám hackuje, čistě ale eticky za účelem je lépe chránit. Zároveň jim poskytuje poradenství v oblasti IT bezpečnosti skrze svou firmu Patron-IT. „Získáním přístupu do systému útok ale nekončí. Hacker musí firmu připravit o zálohy a zašifrovat drtivou většinu důležitých podnikových dat, aby firmě nezbývalo nic jiného, než výkupné zaplatit. Jakákoliv nedbalost v tomto kroku může veškerou odvedenou práci útočníka dokonale zhatit,” dodává.
Martin Haller patří mezi odborníky na kyberbezpečnost, který se problematice ransomware často věnuje na svém blogu. (Foto: Archiv Martina Hallera)
Podle Hallera ransomware útočníci často spoléhají na štěstí, kdy až později zjišťují, na jakou firmu vlastně útočí a jaká je pravděpodobnost, že si napadená firma bude moci dovolit zaplatit zajímavé výkupné. „Na konkrétní cíle se soustředí pouze ty největší profesionální skupiny. Drtivá většina ransomware útočníků si nevybírá firmu, vybírá si zranitelnost, na kterou útočí,” upřesňuje Haller.
Médii čas od času proběhne informace o nějakém novém ransomware programu - o tom nejznámějším s názvem WannaCry jste mohli slyšet v roce 2017, kdy mu podlehlo přes 300 tisíc zařízení a zasaženy byly i některé české a slovenské nemocnice. Ransomware útoky se obvykle pojmenovávají podle programu použitého pro zašifrování dat - na jeho vývoj se specializuje několik různých skupin, ale ne vždy se tvůrci pokouší na firmy sami aktivně útočit. Mnohem častěji svůj kód prodávají nebo pronajímají dalším hackerům, kteří se specializují na odhalování zranitelných míst a pronikání do firemních systémů. Právě ransomware nástroje si je dnes možné pronajmout i jako službu, ironicky někdy označovanou jako RaaS po vzoru modelu „software as a service”. Poplatek za ransomware službu kopíruje 70/30 cenovou politiku App Store nebo Play Store, kdy si provozovatel strhává třicetiprocentní komisi z každé transakce.
Pouze čtvrtina napadených firem se rozhodne výkupné zaplatit, což ale neznamená, že všechny získají svá data zpátky. Někdy jsou data šifrováním nevratně poškozena, případně se útočník po převzetí platby rozhodne nespolupracovat. Mezi firmy, které uhradily nejvyšší výkupné, se podle stránky itgovernance.co.uk řadí cestovní společnosti CWT Global (červenec 2020 - 4,5 milionu dolarů), americký provozovatel ropovodů Colonial Pipeline (květen 2021 - 4,4 milionu dolarů) a chemická společnost Brenntag (květen 2021 - 4,4 milionu dolarů). Nejaktuálnějším a zároveň nejdražším útokem je napadení významného amerického zpracovatele masa JBS z letošního června, kdy firma útočníkům uhradila 11 milionů dolarů.
Počet potrestaných hackerů je v porovnání s kvantem odhalených útoků v extrémním nepoměru - jsou známy pouze jednotky dopadených zločinců. Nejznámějším úspěšným zásahem je zadržení z loňského dubna, kdy byl v Bělorusku zatčen hacker stojící za více než tisíci útoky z let 2017 až 2018. Ačkoliv číslo napadených firem může znít děsivě, jde v kontextu trhu jen o „malou rybu”. Na velké skupiny a tvůrce ransomware aplikací je zákon většiny zemí zatím krátký, přestože vznikají různé týmy v rámci Interpolu či Europolu, které se snaží zrychlit mezinárodní spolupráci kolem vyšetřování.
Policie České republiky na našem území eviduje zhruba stovku případů ransomware za rok 2020, ale slovy policejního mluvčího Ondřeje Moravčíka je odhalování útočníků náročné především kvůli vysoké technologické úrovni ransomware aplikací a svobodnému přístupu k internetu. „Pachatele není možné identifikovat tak, jak by si zejména oběti přály. Jedná se téměř výhradně o případy, kdy je nutná mezinárodní spolupráce. V zahraničí už jsou případy, kdy došlo k zadržení pachatelů tohoto typu útoku a běží klasický proces řízení tak, aby bylo možné věc odsoudit,” doplňuje Moravčík.
Jeho slova potvrzuje i Martin Haller, který odhaduje, že za většinou ransomware útoků stojí skupiny ze zemí bývalého Sovětského svazu, především ze Společenství nezávislých států. Jelikož útočí přeshraničně na státy mimo toto společenství, v domovských zemích neexistuje dostatečná politická vůle takové případy dostávat před spravedlnost. Změnu podle jeho názoru může přinést až moment, kdy dopady ransomware útoků pocítí mainstreamová společnost.
„Útoky na jednotlivé firmy nemají žádný společenský dopad. Většina lidí si řekne, že firma měla slabé zabezpečení, a tím to končí. Jakmile se ale útoky promítnou do života mainstreamové společnosti - vypadnou dodávky masa, zastaví se doprava ropy, nedejbože se ochromí provoz nemocnic. Až potom budou státy opravdu motivované typy útoků systémově řešit. Dokud na sebe útočníci neobrátí hněv lidí, velkou změnu nepředpokládám,” uvažuje Haller.
Jsem pod útokem. Co dál?
V případě, že je firma napadena ransomware útokem, rozhodně by placení výkupného nemělo být prvním krokem. Pavol Draxler ze slovenské IT bezpečnostní firmy Citadelo Binary Confidence upozorňuje na častý omyl, kterého se napadené firmy dopouští: „Hacknutí firemní IT infrastruktury obvykle není náhoda - u většiny napadených firem byly vnitřní IT procesy špatně nastaveny, nebo úplně chyběly už roky před samotným útokem a opětovné získání přístupu k datům dlouhodobou děravost systému nevyřeší. Takové firmy by se do řešení ransomware útoků určitě neměly pouštět na vlastní pěst. Pokud dají na klasické mýty, jako je rada odpojit zařízení od sítě nebo jeho restart, mohou ransomware aplikace vybudit k napáchání ještě větší paseky.”
Firmám jednat s hackery na vlastní pěst Pavol Draxler rozhodně nedoporučuje. (Foto: archiv Binary Confidence)
Pokud IT oddělení firmy nemá s podobnou situací zkušenosti, je vhodné se obrátit na specializované společnosti typu Patron-IT nebo Binary Confidence, které se pohybují v prostřední kyberbezpečnosti a na místo vyšlou svůj tým. Ten začne útok řešit hned na několika úrovních zároveň. První část týmu analyzuje škody a hledá způsob, jakým byl útok veden. Druhá část se snaží obnovit bezpečnost IT systémů, aby nedošlo k bezprostřednímu opakování útoku identickým způsobem, protože není výjimkou, že některé skupiny útok opakují hned druhý den. „Člověk by řekl, že firmy napadané ransomware se poučí a začnou IT bezpečnost aktivně řešit. Opak je ale pravdou a z naší zkušenosti vyplývá, že v napadených firmách často chybí potřebný security mindset (bezpečnostní přístup) i základní procesy, rizika se podceňují dlouhodobě a tyto firmy se stávají oběťmi útoků opakovaně,” vysvětluje Draxler.
A třetí část týmu začíná s hackery vyjednávat s cílem dosáhnout co nejlepších podmínek pro napadenou firmu a maximalizovat pravděpodobnost, že se k datům firma dostane. „Nejprve je potřeba zjistit, zda lze data vůbec dešifrovat a jestli to nelze zvládnout bez spolupráce útočníka, což umíme hned u několika ransomware aplikací. Až pokud to možné není, nezbývá než začít řešit s útočníkem výkupné. Tedy jakmile útočník na určitém vzorku prokáže, že data umí bezpečně odšifrovat,” pokračuje Draxler.
Vyjednávání je vždy až naprosto poslední variantou, které na straně útočníka častou vedou profesionální kontaktní centra. Podle Draxlera už jen chybí, aby po provedení transakce posílala e-mail s dotazníkem, jak jste byli s jejich službami spokojeni. Finální cena se odvíjí od počtu zařízení, obvykle se pohybuje mezi 700 až 1500 eury za jeden napadený disk.
Firma si následně musí určit hodnotu, jakou pro ni představují ukradená data. „Na správné vyjednávání neexistuje univerzální klíč. Pokud firmu stojí každý den mimo provoz milion korun a útočník si řekne za odblokování jen 100 tisíc, je sice v zájmu napadené firmy jednání neprodlužovat, ale příliš rychlá akceptace podmínek může v útočníkovi vyvolat pocit, že si řekl málo,” dělí se o svou zkušenost s vyjednáváním o výkupném Haller. Útočníci často netuší, jakou škodu firmě způsobili a říkají si tak buď o směšně nízké, nebo enormně přemrštěné částky. „V případech, kdy moji klienti výkupné uhradili, byla úspěšnost odblokování prakticky stoprocentní, ačkoliv někdy dochází k nevratnému poškození určitých částí dat,” doplňuje.
Z pohledu Policie ČR a NÚKIB je doporučení jednoznačné - se zločinci se nevyjednává a oběť by žádné peníze posílat neměla, aby nepodporovala útočníky v trestné činnosti. Národní kybernetický úřad odkazuje především na obsáhlý dokument o prevenci.
„To je sice hezké tvrzení a všichni to odkýveme, dokud se to nebude týkat nás osobně. Pokud desítky let buduji firmu, kde mám pět set zaměstnanců, a stojím teď před otázkou, jestli celý podnik zavřít, nebo uhradit výkupné, tak rozumím těm, kdo se výkupné rozhodnou zaplatit. Jednoznačně ale souhlasím s tím, že maximální důraz by měl být kladen na prevenci,” přidává pohled z druhé strany Haller.
Úvodní foto: Getty Images