KRYPTOVIR - JAK SE TO MOHLO STÁT?
Proč investovat do počítačové infrastruktury, zabezpečení a sledovat aktuální trendy?
Připravili jsme si seriál na různá téma o bezpečnosti:
První díl PHISHING najdete zde.
Druhý díl NAPADENÝ E-MAIL nejdete zde.
DESATERO MINIMALIZOVÁNÍ RIZIKA KYBERNETICKÉHO NAPADENÍ zde.
Jakým způsobem udržujeme v chodu Počítačové sítě našich partnerů najdete zde.
A zamyšlení na téma KRYPTOVIRY, přidávám níže:
Jak se to mohlo stát?
Firma XYZ je napadená Kryptovirem, všechna data jsou zašifrovaná, ze záloh nelze nic obnovit.
Anebo jinak, volá zákazník a ptá se: "Nevíte náhodou, jak otevřít dokument s příponou xyz2nb? Ještě včera to byl normální dokument ve Wordu, ale asi nějaká aktualizace mi změnila příponu a dneska už nic neotevřu".
Pro uživatele, kteří se s touto problematikou ještě nesetkali, pokusím se o krátké vysvětlení:
Přibližně před deseti lety se změnila strategie útoků prostřednictvím počítačových virů, objevily se první případy Ransomware a Kryptovirů.
Změna byla v jedné drobnosti: Útočníci přišli na nápad, že pokud vyrobí dobrý počítačový vir, který se elegantně dostane do operačního systému, spojí ho s nástrojem na šifrování dat (data jsou po šifrování zaheslovaná a soubory mají změněnou příponu) a navíc umožní komunikaci poškozeného "zákazníka - oběti" s "útočníkem", tak lze požadovat za "zpětné dešifrování dat" výkupné.
To byl převrat, do té doby viry páchaly škody, mazaly data v počítačích, formátovaly pevné disky, ale útočník z toho nic neměl.
Ale ransomware, to bylo něco nového.
Výkupné samozřejmě bylo od počátku požadováno v kybernetické měně, například Bitcoin a částky začínaly v řádech tísícovek korun.
Dnes, po deseti letech, kdy útočníci získávají výkupné, za které si pořizují nejkvalitnější vybavení, se jedná už o organizované skupiny. Některé skupiny jsou zaměřeny jen na programování Ransomware. Jiné na způsob, jak se do počítače dostat přes internet tak, aby stopy nebylo možné zpětně vystopovat. Další skupiny se zaměřují na výrobu platební brány a jiné již jen na komunikaci s oběťmi. Skupiny mezi sebou komunikují prostřednictvím Darknetu a své služby nabízejí na specializovaných "e-shopech".
Změnily se také částky "výkupného". V roce 2021 se jednalo v průměru o miliony korun za jednu "akci".
Ve většině případů oběti předpokládají, že za zaplacení výkupného dostanou svá data zpět. V některých případech ano, v některých nikoliv, v některých pouze část. Někdy se útočníci opět vrátí a provedou nový útok. Zcizená data často i zveřejní.
Útočníci použijí výkupné na vývoj svého vybavení. Tyto částky nelze srovnávat s náklady na investice do vybavení a zabezpečení menší firmy. Tato kombinace vytváří z menších firem ideální cíl útoku.
Celé mi to připomíná situaci ve středověku. Tehdy byly země bez možnosti hraničních kontrol na přístupových cestách, což dnes připomíná Internet. Tato situace umožňuje, aby se útočníci z jednoho kontinentu přesunuli na jiný kontinent. Tam si vyhlídli nějaký slaběji zabezpečený hrad ( = počítačová síť) a silou svojí špičkové techniky se do oběti pustili.
A tedy zpět na začátek. Nyní víme, co je to Ransomware a jak se vyvinuly Kryptoviry.
Jakým způsobem se mohou dostat do počítačové sítě?
Obecně se hovoří o třech možnostech:
1) Infiltrace Malware do počítače v počítačové síti pomocí Phishingu nebo z infikovaných webových stránek.
2) Útok prostřednictvím vzdálené plochy.
3) Bezpečnostní chyba v software nebo hardware, který se používá v počítačové síti oběti.
Phishing jsme již rozebrali. Jeho cíl je stejný jako cíl infikovaného webu. Asi každému se již stalo, že při brouzdání na internetu najednou zabere antivirový program a zablokuje nějakou stránku. Bohužel často tato reakce přijde pozdě. Malware, který je obsažen v nějakém prvku tohoto škodlivého webu, se již usídlil v operační paměti počítače a nebo na pevném disku počítače. Pokud nepoužíváte žádný speciální čistič na tyto objekty, tak nejspíš Malware již vysílá svému tvůrci informaci: "Pozor jsem na IP adrese číslo xxx.xxx.xxx.xxx a otevírám zadní vrátka".
V tomto okamžiku se, v operačním středisku útočníka, rozblikala další ze stovky kontrolek "zadní vrátka otevřena". V tuto chvíli už útočníci mohou převzít útok do svých rukou. Pomocí nástrojů podobných "Vzdálené ploše" začnou na pozadí napadeného stroje operovat. Pokud je počítač v počítačové síti, skenují síť, hledají servery, NASKY, povyšují svá uživatelská práva, která získali z napadeného stroje. Ideálně v pátek večer spouští totální útok. Kopie dat oběti ukládají na svoje úložiště a veškerá dostupná data v počítačové síti oběti šifrují. V pondělí ráno je celá síť oběti mimo provoz. Data nejdou otevřít, databáze jsou nedostupné. Ve složkách je navíc textový soubor s odkazem na zabezpečenou komunikaci s útočníkem. Následně probíhá vyjednávání... ale jak může vyjednávání vypadat?
Vraťme se do středověku - hrad oběti je plně v rukou útočníka. Jaká částka výkupného může být dostatečná, aby se útočník stáhnul a hrad oběti přenechal v původním stavu a již nikdy se zpět nevrátil? Jaká částka pak bude nutná na vybudování nových bezpečnostních prvků a jak dlouho budou bezpečnostní prvky funkční, aby zastavili nové útoky v nadcházejících letech?
Zde přidám pár odkazů na blog Martina Hallera, články které zachycují postřehy ze zásahů při řešení útoků Ransomware:
Jak vypadá vyjednávání o výkupném? Čtěte zde.
Jak se vyvíjejí útoky? Čtěte zde.