Hned na úvod je třeba říct, že ransomware není nic nového. Je s námi již 30 let, ale neustále se vyvíjí a zdokonaluje. A tím se řadí mezi úhlavní nepřátele expertů, kteří mají ochranu IT systémů v popisu práce. Ransomware je typ malwaru, který zašifruje soubory na napadeném zařízení. Data jsou tedy nepoužitelná a samozřejmě bez správného klíče je nelze zpět dešifrovat. Dle typu ransomwaru mohou být zašifrována veškerá data, nebo pouze určité typy souborů. Jakmile je proces šifrování dokončen, na obrazovce se typicky objeví zpráva o úspěšném zašifrování souborů, číslo účtu a požadovaný finanční obnos – výkupné (angl. ransom - odtud označení ransomware).

Typický průběh útoku ransomware

Nejčastěji se ransomware dostane do sítě skrze neopatrného uživatele v příloze mailu, ale možných cest a vstupních vektorů je samozřejmě mnohem více. Může se například jednat o instalaci závadné podvržené aplikace obsahující tento typ malwaru. Ransomware se může spustit okamžitě, ale může také vyčkat na síťové připojení, případně na spuštění konkrétní aplikace. Pro lepší ilustraci předpokládejme, že náš ransomware patří mezi propracované a velmi inteligentní. Takový ransomware po spuštění udělá následující:

1. Zanalyzuje síť a identifikuje zařízení, kam se bude chtít dál později šířit. Navíc se pokusí získat přístupové údaje k dalším účtům. Ransomware navíc umí prohledat soubory včetně databází hesel uložených ve vašem prohlížeči. Také využívá technologii powershell a nejrůznějších externích programů a skriptů, které si umí sám stáhnout a používat.
2. Spustí šifrovací proces – v ideálním případě se spojí se serverem útočníka a domluví se na šifrovacím klíči, který bude použit pro zašifrování souborů. Mohou být použity klíče symetrické, asymetrické či se využije model hybridní, tím se ale dnes zabývat nebudeme. V případě, že se komunikace nepovede (např. z důvodu existujících pravidel na firewallu, nedostupnosti serveru apod.), k zašifrování se použije klíč, který má malware zabudovaný v sobě. Samozřejmě cílem každého ransomwaru je použít různé klíče pro každé napadené zařízení, jelikož s tím souvisí výkupné, které se bude požadovat. V případě použití zabudovaného šifrovacího klíče by teoreticky stačilo zaplatit jednou, kdežto pro dešifrování dat na stovce napadených zařízení zašifrovaných různými klíči bude útočník vyžadovat platbu stokrát. Soubory určené k zašifrování mohou být uloženy jak lokálně, tak na síťovém úložišti, nebo v cloudovém prostředí.
3. Vytvoří lehce pozměněné kopie sama sebe tak, aby se změnila integrita souboru a s tím související hash. Jde tedy o to, aby výstup hash funkce (nejčastěji se jedná o MD5, SHA1 a SHA256) aplikované na nově vytvořený malware byl odlišný od již existujících záznamů dostupných ve veřejných databázích, která jsou často využívána tradičními antiviry k identifikaci malwaru. Příkladem takové databáze může být služba virustotal.
4. Propaguje takto vytvořené kopie všude tam, kam jen to jde a kam získá přístup.

Tento proces se opakuje na každém nově napadeném zařízení. Záleží pak pouze na segmentaci sítě, obranných mechanismech či včasné detekci, jak velkého rozsahu bude výsledná škoda. V praxi se bohužel často setkáváme s případy, kdy je společnost či organizace na několik týdnů kompletně vyřazena z provozu. A to byl případ i dvou nedávných útoků v České republice.

Jaká je potřeba zavést opatření?

Zaručit, že nebudeme napadnuti ransomwarem (a všeobecně hackerským útokem) samozřejmě nelze, nicméně můžeme rizika výrazně snížit, a to implementací následujících opatření:

1. Správně nakonfigurovat firewally a obecně síťová zařízení. Až pětina ransomwarů nespustí šifrovací proces v případě, že se nemohou spojit se serverem útočníka.
2. Implementovat aktivní systém ochrany koncových zařízení (tzv. endpoint protection), především zakázat spouštění neznámých programů.
3. Omezit práva uživatelů na koncových zařízeních, uživatel používající stanici k běžné práci nemusí být nutně administrátor.
4. Vynutit politiku silných hesel, zvláště pro privilegované účty.
5. Implementovat segregaci sítí, případně použití jump hostů. Kritická infrastruktura by měla být fyzicky oddělena od interní sítě.
6. Školit zaměstnance, včetně IT expertů, v oblasti kybernetické bezpečnosti, opakovaně spouštět phishing kampaně apod.

Jsem napaden, mám zaplatit?

Obecně se doporučuje neplatit, jelikož nikdy nemáme zaručeno, že svá data získáme opravdu zpět. Nicméně existují případy, kdy útočník po obdržení ransomu opravdu dešifrovací klíče poskytl. Avšak je třeba myslet i na to, že velmi pravděpodobně má útočník stále přístup k našim datům – možná si uložil i kopie. Na začátku ledna tohoto roku se objevila skupina říkající si „Maze“ zveřejňující na svém internetovém portálu organizace, které byly za pomocí ransomwaru úspěšně napadeny a nechtějí spolupracovat (tzn. zaplatit ransom). Současně jako důkaz webový portál nabízí ke stáhnutí část ukradených dat z těchto organizací a samozřejmě požadují výkupné. Tedy i v případech, kdy se obnovují data ze záloh (a nezaplatí se ransom), není zdaleka vyhráno a v sázce jsou citlivá data zaměstnanců, klientů, ale i reputace společnosti – přece jen nechceme do světa vyhlašovat, že nás úspěšně napadli.

Proč zrovna nemocnice a těžební společnost?

Často kladenou otázkou bylo, zdali Benešovská nemocnice či OKD byly plánovaným cílem útoku, nebo cílem náhodným. V praxi se převážně vyskytují útoky necílené, nicméně stále častěji se setkáváme s phishing emaily dělanými na míru, které je opravdu těžké rozeznat od emailů pravých. Hlavním cílem ransomware útoků bývají typicky velké nadnárodní korporace a motivací útočníků bývá finanční zisk či vyřazení společnosti z provozu. Historicky Česko nebylo pro útočníky příliš atraktivní, a to jednak jelikož jsme země malá a také kvůli složitosti našeho jazyka – strojově překládaný text do češtiny lze jednoduše rozpoznat, a tudíž je pro Čechy snazší potenciální phishing email identifikovat. A jak již víme, phishing bývá nejčastěji používanou technikou použitou k infiltraci do organizací zvenku. Jak v nemocnici, tak v OKD dle dostupných informací dokonce chyběla zmínka o tom, jaký obnos poslat a kam. Údajně byla zveřejněna pouze emailová adresa, kterou má napadená společnost kontaktovat. Vše tedy nasvědčuje tomu, že se jednalo o ruský ransomware Ryuk a útok byl s největší pravděpodobností částečně cílený – zaměřen na organizace většího rozsahu. Netroufám si tvrdit, jestli nemocnice či OKD útočníky kontaktovaly či dokonce zaplatily nějaké výkupné. Jen doufám, že oba případy jsou tímto nadobro uzavřeny.

Závěrem bych rád zdůraznil, že být obezřetný, dávat si pozor kam klikám a co stahuji je opravdu velmi důležité. Ale nezapomeňme, že motivovaný útočník je velmi kreativní, má prakticky neomezené možnosti jak časové, tak často i finanční a lidé jsou jen lidé. Představme si následující situaci: Je červenec, extrémní horko, ráno jdete do práce a před vchodem do kanceláře stojí usměvavý člověk rozdávající USB větráčky. Očividně chce všem pomoct od toho nesnesitelného vedra. A teď ruku na srdce. Kdo z vás si větráček alespoň na chvíli nezapojí? Třeba jen ze zvědavosti. A za týden si ve zprávách třeba přečteme o tom, jak ransomware řádí právě ve vaší společnosti.

Michal Merta Autor článku je ředitel Cyber Fusion Centra ve společnosti Accenture.