Když zaměstnanci přišli ráno do práce, zjistili, že nemají přístup k žádným firemním datům. E-maily, dokumenty, účetnictví i zákaznické databáze – to vše bylo nedostupné. Firma se doslova lusknutím prstu ocitla v digitálním středověku a následky pocítila velmi rychle. Jen během prvního dne přišel náš klient o 30 milionů korun na obratu a 4 miliony korun na zisku.

Tichá cesta k šesticiferným ztrátám

Vraťme se ale na začátek. Akce začala velice nenápadně. Celých 11 dní strávili hackeři v systémech firmy ještě předtím, než k samotnému útoku došlo. Toto tiché období je typické pro takzvané ransomware útoky a ukazuje, jak důležité je mít potenciální hrozby pod kontrolou.

Útoky tohoto typu jsou velmi sofistikované a často zahrnují více skupin, které se zaměřují na specifické cíle. Například vývojářské týmy, které se starají o přípravu šifrovacích nástrojů a vývoj malwaru, průzkumníky vyhledávající úzká hrdla a potenciální slabá místa v systémech firem, samotní útočníci, kteří útok provádějí, a objednatelé, kteří útoky financují nebo přímo koordinují. Není neobvyklé, že za některými útoky, cílícími často na kritickou infrastrukturu, stojí i státní struktury.

V tomto případě hackeři využili zranitelnosti softwaru a chyby administrátora, která jim umožnila proniknout do systému. Během této doby si mapovali síť, získávali přístupy, hledali cenná data a připravovali půdu pro den D. Během 11 dnů útočníci získali přístup k doménovým administrátorským účtům, což jim dalo prakticky neomezené možnosti, jak se systémem nakládat. Nainstalovali také šifrovací nástroje na všechny dostupné počítače a servery a v okamžiku útoku spustili šifrování současně na všech zařízeních.

Nepřipravenost – Achillova pata českých firem

Říká se, že kdo je připraven, není překvapen. Toto pravidlo se v tom­to případě opět potvrdilo. Ukázalo se, že firma podcenila hned něko­lik bezpečnostních opatření. Zjistili jsme například, že nemá seg­men­to­va­nou síť, díky čemuž byly všechny systémy vzájemně propojené. Útočníci se tak mohli po systému pohybovat prakticky bez omezení.

Dalším významným problémem bylo i chybějící vícefaktorové ověřování. V takovém případě stačí útočníkovi k průniku do systému pouze získat heslo, což je s pomocí technik jako phishing nebo brute force poměrně jednoduché. Chybou bylo také nadměrné udělování práv uživatelům. Běžné účty měly například oprávnění administrátora domén. Útoku napomohly rovněž zastaralé a neaktualizované systémy, nedostatečné zálohování nebo chybějící Disaster Recovery a Business Continuity Plan. Ty firmám pomáhají obnovovat systémy bezprostředně po útoku, radí, jak obnovit kritické funkce, a zajišťují, aby firma pokračovala ve svých obchodních aktivitách navzdory narušenému provozu.

Tyto nedostatky bohužel nejsou v českém prostředí výjimkou. Je alarmující, že až 80 % firem s obratem nad miliardu korun nemá adekvátní log management, který by podezřelé aktivity včas zachytil. Kdybych takové jednání měl k něčemu přirovnat, je to jako jezdit v autě bez bezpečnostních pásů nebo na kole bez helmy. Jakou chybu jste udělali, zjistíte až v okamžiku nehody.

Nová infrastruktura i vyjednávání s útočníky

První, do čeho jsme se bezprostředně po útoku pustili, byla izolace všech napadených systémů. Tím jsme zabránili dalšímu šíření malwaru a komunikaci s útočníky. Bylo také potřeba zjistit, jaké škody se hackerům podařilo napáchat. Náš tým musel rychle prověřit, která data byla zašifrována, která dostupná v zálohách a o která firma pravděpodobně nenávratně přišla.

Hned poté jsme obnovili ta nejkritičtější data ze záloh. Obnova dat však nebyla jednoduchá, jelikož některé zálohy nebyly úplné nebo byly velmi zastaralé. Vzhledem k velikosti firmy nás čekala také přeinstalace více než 500 počítačů napříč 40 pobočkami. Všechna napadená zařízení musela být instalována znovu s čistým operačním systémem, díky čemuž se odstranily všechny stopy po malwaru. Hned poté jsme vytvořili a implementovali novou síť infrastruktury, která byla na rozdíl od té původní segmentovaná a bezpečná.

Aby společnost v budoucnu podobným incidentům předešla, pustili jsme se také do implementace robustního monitoringu a log managementu, který sleduje síťový provoz. V reálném čase firmě pomáhá odhalit potenciální hrozby a anomálie a rychle na ně reagovat. Data společnosti tak byla chráněna před dalšími potenciálními problémy. Všichni zaměstnanci rovněž absolvovali školení o kybernetické bezpečnosti.

Následně jsme zajistili obnovu kritických obchodních systémů. Postupovali jsme od píky – nejprve jsme obnovili systémy nezbytné pro základní fungování firmy jako účetnictví, e-mailovou komunikaci, zákaznické databáze a další. Celý proces, který nám zabral několik dní, by se dal připodobnit ke skládání obrovského puzzle, ve kterém musel být každý dílek pečlivě zkontrolován, očištěn od případného vlivu útočníků a správně zasazen zpět na své místo.

Po celou dobu jsme paralelně komunikovali s útočníky. Ti požadovali výkupné ve výši 17 milionů korun v bitcoinech. Vyjednávání probíhalo přes anonymní platformu na darknetu, kde útočníci prezentovali důkazy o datech, která získali. Vyjednávání s kybernetickými zločinci je obecně poměrně složitý proces a vyžaduje kromě technologických znalostí i jistou dávku sociální inteligence. Na jedné straně na vás jako někoho, kdo problém řeší, firma vyvíjí tlak, aby byl provoz co nejrychleji obnoven, neboť každá zmařená minuta znamená obrovské ztráty, na druhé straně existuje značné riziko, že i po zaplacení výkupného útočníci data neobnoví.

Navíc vyjednávání s útočníky se netýká pouze získání dešifrovacích klíčů. Může zahrnovat také otázku zveřejnění odcizených dat na internetu nebo darknetu, což může být pro někoho ještě horší než samotná ztráta dat. Dalším kritickým bodem vyjednávání může být získání „garance“, že útočníci na organizaci znovu nezaútočí. Náš klient se v tomto případě rozhodl výkupné nezaplatit a soustředit se na obnovu dat ze záloh, přestože takové rozhodnutí potenciálně znamenalo další škodu.

Zabezpečení není luxus

Případ, který jsme pomáhali řešit, jasně ukazuje, že kybernetická bezpečnost není příjemný bonus, ale nezbytnost. Firmám bych proto doporučil, aby ji nepodceňovaly a vždy počítaly s tím, že útok může přijít. Pokud stojíte v čele firmy, nebo se přímo na jejím zabezpečení podílíte, určitě byste neměli zapomínat na pravidelné aktualizace a patche všech systémů.

Hackerům zásadně ztíží přístup do vašich systémů i implementace vícefaktorového ověřování. Pokud se jim podaří do vašeho systému proniknout, pohyb jim znesnadní segmentace sítě a princip menších oprávnění. Tím zabráníte tomu, aby útok postihl celý systém naráz. V eliminaci hrozby vám pomohou i pravidelné bezpečnostní audity a penetrační testy.

Možností, jak se kyberútokům bránit, je opravdu mnoho. Pokud se přesto stanete obětí ransomware útoku, je klíčové mít po ruce partnera s řešením pro rychlé a efektivní obnovení provozu. Připravenost jak fyzická (servery, počítače a další zařízení), tak licenční a procesní je nezbytná pro minimalizaci dopadů útoku a rychlý návrat k běžnému fungování.

V digitálním světě již nestačí mít jen kvalitní produkt nebo službu. Musíme být připraveni chránit to, co jsme vybudovali, před neviditelnými, ale o to nebezpečnějšími hrozbami. Ransomware útoky nejsou abstraktní hrozba, ale reálné nebezpečí, které může během okamžiku ochromit i velkou, zavedenou firmu. Investice do kybernetické bezpečnosti se může zdát nákladná, ale je to zlomek toho, co může stát skutečný útok. Nejde totiž jen o peníze, ale také o důvěru zákazníků, reputaci firmy a v některých případech i o její samotnou existenci.

Václav Svátek Autor článku je CEO společnosti ČMIS.