Výsledky zprávy 2024 Thales Data Threat Report ukazují, že v loňském roce došlo k 27% nárůstu počtu společností, které se staly obětí útoků ransomware. Zpráva Verizon 2023 Data Breach Investigations Report zjistila, že 74 % všech narušení zapříčinil lidský faktor.
S podobnými statistikami jste se již pravděpodobně setkali. Jak ale ransomware funguje? V tomto příspěvku prozkoumáme podrobnosti o ransomwaru a jeho fungování a poté popíšeme postup obnovy po něm krok za krokem.
Co je to ransomware?
Začněme definicí z webu TechTarget: „Ransomware je typ malwaru, který uzamkne a zašifruje data, soubory, zařízení nebo systémy, čímž je znepřístupní a učiní nepoužitelnými, dokud útočník neobdrží výkupné.“
Útoky ransomware mají mnoho podob, přičemž termíny „kmen“ a varianta“ se často používají zaměnitelně. Oba však mají jemné rozdíly v závislosti na kontextu.
Kmen ransomwaru obvykle označuje samostatný typ ransomware. Zahrnuje širokou klasifikaci založenou na původu ransomware, způsobu distribuce, metodách šifrování a dalších charakteristikách. Dva příklady kmenů ransomwaru jsou WannaCry a Ryuk.
Varianta ransomwaru obecně označuje verzi určitého kmene, která byla pozměněna nebo vyvinuta. Na webových stránkách Cybersecurity and Infrastructure Security Agency (CISA) Stop Ransomware je Ryuk označován jako varianta.
Původně se jednalo o kmen známý svými cílenými útoky na velké a vysoce postavené organizace. Postupem času se objevilo mnoho variant s různými charakteristikami. Varianty obvykle sdílejí základní podobnosti s původním kmenem, ale používají jiné algoritmy, mechanismy doručení nebo techniky vyhýbání se.
Zjednodušeně řečeno, kmen je širší klasifikace ransomware, zatímco varianta je pozměněná verze konkrétního kmene. Sledování variant je zásadní pro zavedení účinné obrany, protože odráží, jak se kybernetické hrozby vyvíjejí a přizpůsobují ochraně.
(Zdroj: https://www.arcserve.com/blog/how-ransomware-works-and-what-your-company-can-do-about-it-today)
Jak ransomware funguje?
Většina útoků ransomware začíná se zaměřením na chyby lidí nebo zranitelnosti systému.
Počáteční kompromitace
Nejčastějším vstupním bodem ransomwaru jsou phishingové e-maily. Typické phishingové schémata, jako například nedávné schéma zaměřené na Microsoft 365 obcházením vícefaktorového ověřování (MFA), obsahují škodlivé přílohy nebo odkazy, ze kterých po kliknutí stáhnete ransomware. Tyto e-maily mohou být velice důvěryhodné a nabádají uživatele k akci.
Další běžnou taktikou ransomware je zneužití na napadených webových stránkách, které vyhledávají zranitelnosti v systému uživatele. K tomu, aby se ransomware dostal dovnitř stačí navštívit kompromitovanou stránku.
Instalace ransomware
Po napadení systému se ransomware nainstaluje do hostitelského počítače. Většina ransomware používá techniky, které umožňují vyhnout se detekci antivirovým softwarem, například zakrytí kódu nebo napodobování legitimních softwarových procesů. Pokročilé kmeny ransomware se mohou také pokusit získat oprávnění v systému na úroveň administrátorského přístupu. Jakmile k tomu dojde, kyberzločinci mohou spustit příkazy, kterými deaktivují bezpečnostní software, změní systémové procesy a napáchají velké škody.
Šíření ransomware
Některé varianty ransomware jsou navrženy tak, aby se šířily po síti a infikovaly další systémy a servery v rámci organizace. To představuje nejhorší scénář, protože může vést k rozsáhlému narušení a zvýšení požadavků na výkupné. Techniky šíření sahají od zneužití zranitelností sítě přes krádež pověření k získání přístupu do sítě až po použití legitimních nástrojů pro správu sítě.
Šifrování dat
Po rozšíření v systému ransomware zašifruje soubory pomocí výkonných šifrovacích algoritmů, jako je AES nebo RSA. Po zašifrování mohou být vaše soubory, databáze, aplikace i celý systém nedostupné. Bohužel šifrovací klíče jsou obvykle jedinečné, takže dešifrování je bez zaplacení výkupného téměř nemožné.
Exfiltrace dat
Některé varianty ransomware exfiltrují vaše data na servery ovládané útočníky. Jak bylo uvedeno v nedávném poradenství CISA pro kybernetickou bezpečnost, jedním z příkladů je ransomware Phobos. Další úrovní hrozby se často říká dvojí vydírání ransomware útokem. Kyberzločinci mohou vyhrožovat, že v případě nezaplacení výkupného zveřejní citlivé informace. To je navíc k problémům, které budete mít se zašifrovanými daty.
Požadavky na výkupné
Jakmile jsou vaše data zašifrována a případně i exfiltrována obvykle objevíte na svém zařízení nebo systému zobrazený požadavek na výkupné. Tento vzkaz obsahuje pokyny, jak zaplatit výkupné, obvykle v kryptoměnách, jako je Bitcoin, a může obsahovat hrozby a lhůty, které vás mají přimět k rychlému zaplacení.
Některé skupiny ransomware dokonce poskytují obětem služby podpory. Jedním z příkladů je Rhysida. Nabízí chatový portál pro podporu obětí přístupný prostřednictvím webu TOR a tvrdí, že jedná v zájmu svých obětí tím, že se zaměřuje na jejich systémy a upozorňuje na údajné bezpečnostní chyby a možné důsledky.
Jak se chránit před útokem ransomware?
Prevence proti ransomwaru vyžaduje vícevrstvý přístup. Zde je několik klíčových oblastí, které významně posílí vaši obranu.
Vytvoření průběžného programu informovanosti a vzdělávání zaměstnanců
74 % všech narušení bezpečnosti se týkalo lidského faktoru. Pořádejte pravidelná školení, na kterých se váš tým naučí rozpoznávat phishingové e-maily a škodlivé přílohy a vyhýbat se podezřelým webovým stránkám. mělo by jít o průběžný program s důsledným testováním. CISA nabízí na svých webových stránkách Cybersecurity Training & Exercises řadu informací a zdrojů.
Nasazení bezpečnostních řešení založených na umělé inteligenci
Klíčová je prevence. Nasaďte pokročilý antivirový a antimalwarový software, který zahrnuje zejména detekci ransomware na základě analýzy signatur a chování. Na seznamu by měly být také systémy pro detekci a reakci na koncové body (EDR). Nástroje EDR mohou monitorovat a reagovat na hrozby v reálném čase a poskytovat automatické reakce na zjištěnou aktivitu ransomware.
Aktualizujte software a záplaty
Všední úkoly, jako jsou aktualizace a záplaty, jsou často zanedbávány, protože týmy IT jsou zaneprázdněny udržováním provozu a inovacemi. Automatizované nástroje pro správu záplat tuto zátěž odstraňují.
Nasazení segmentace sítě
Jak již bylo zmíněno, kyberzločinci se mohou po získání přístupu do vašich systémů pohybovat bočně. Segmentace sítě může tomuto šíření zabránit a omezit dopady narušení.
Investujte do pokročilých řešení pro zálohování a zotavení po havárii
Implementujte řešení, která automaticky a pravidelně zálohují vaše data. Zajistěte, aby byla vaše data šifrována při přenosu i v klidovém stavu. Dodržujte strategii 3-2-1-1, abyste zajistili ochranu všech svých dat. Tato strategie vyžaduje uchovávání kopií dat na pracovišti, mimo pracoviště a v cloudu pro další redundanci.
Zdůrazňuje také, aby alespoň jedna kopie vašich dat byla uchovávána v neměnném úložišti, tedy ve formátu WORM (write-once-read-many), který nelze změnit ani smazat. Přečtěte si tento nedávný příspěvek, ve kterém se podrobněji seznámíte s tím, jak neměnné úložiště funguje.
Jak se zotavit po ransomware útoku?
Přestože řešení, jako je software Arcserve Unified Data Protection (UDP), automaticky zvládnou mnoho aspektů obnovy ransomwaru, je nezbytné pochopit proces obnovy krok za krokem.
Detekce a izolace incidentu
Jak již bylo uvedeno v souvislosti se systémem Sophos Intercept X Advanced, je třeba útok ransomwaru odhalit co nejdříve, ideálně prostřednictvím upozornění z antivirového systému nebo systému EDR. Musíte také izolovat infikované systémy od sítě, abyste zabránili šíření ransomwaru.
Posuzování a forenzní analýza
Dále budete chtít identifikovat variantu ransomwaru, která infikovala vaše systémy. Podle CISA může identifikace „zahrnovat nasazení řešení EDR, audity místních a doménových účtů, zkoumání dat nalezených v centralizovaných systémech protokolování a hlubší forenzní analýzu konkrétních systémů poté, co byl zmapován pohyb v prostředí“. Seznam 10 nejlepších nástrojů pro analýzu malwaru od společnosti Expert Insight najdete zde.
Obnova a obnovení
Nyní přichází na řadu to nejdůležitější – obnova. Je třeba obnovit postižené systémy a data ze záloh. Právě v tomto případě mohou mít neměnné zálohy velký význam, protože i když jsou zasaženy všechny vaše systémy, vždy budete mít bezpečnou kopii dat, kterou lze obnovit.
Revize po havárii a aktualizace plánu obnovy po havárii
Proveďte komplexní analýzu po incidentu, abyste zjistili vstupní body, úspěchy, selhání a problematické oblasti. Zapracujte tyto poznatky do plánů reakce na incidenty, kontinuity provozu a zálohování a obnovy po havárii, abyste mohli neustále zlepšovat procesy.