Evoluce ransomwaru má být podle studie Sophos 2021 Threat Report hlavním bezpečnostním trendem příštího roku. Ransomware útočící na nejhodnotnější cíle (velké podniky) bude patřit k nejpropracovanějším typům malwaru. Tento typ ransomwaru je kromě samotného šifrování dat také stále více spojen i s tzv. sekundárním vydíráním, kdy se oběti vyhrožuje dalším zneužitím uniklých dat (jde tedy o kombinaci „původního“ ransomwaru a krádeží dat). Oběti v tomto případě neochrání ani dobře fungující zálohovací politika, alespoň ne sama o sobě. Letos taktiky sekundárního vydírání využívaly mj. skupiny stojící za ransomwarem Maze, RagnerLocker, Netwalker a Revil. V případě cílených útoků někdy vyděrači požadují až miliony dolarů a statistika obecně ukazuje, že i v případě běžného ransomwaru částka požadovaná podvodníky v průměru roste.

Cílení i maskování

Metody používané tvůrci ransomwaru jsou detailně popsané např. v případě malwaru LockBit. LockBit používá nástroje pro PowerShell na vyhledávání konkrétních podnikových aplikací v napadených sítích, včetně účetního a prodejního softwaru. Pokud nástroj objeví zvolené cíle, automaticky spustí samotný ransomware. Výzkumníci zároveň odhalili řadu nových metod útoků, které LockBit využívá, aby se vyhnul odhalení. Zahrnují např. přejmenovávání souborů PowerShellu a používání vzdáleného dokumentu v Dokumentech Google ke spouštění řídicích příkazů.

Vzhledem k vysoce automatizované povaze útoku se LockBit ihned po spuštění během pěti minut rozšíří po podnikové síti. Jeho činnost se maskuje jako běžné automaticky prováděné administrativní činnosti Windows. Přitom LockBit z hlediska technik maskování nepředstavuje žádnou výjimku, např. ransomware CobaltStrike v rukou skupiny Ryuk používá pro svou automatizaci zase nástroje vyvinuté původně pro penetrační testování.

Útok ransomwarem ovšem finálně nemůže proběhnout skrytě. Postižené podniky mají čím dál častěji přímo povinnost takové incidenty hlásit a následuje vyšetřování. Na rozdíl od jiných, „tichých“ forem kybernetické kriminality (těžba kryptoměn na kompromitovaných zařízeních apod.) zde útočníci ve větší míře riskují odhalení a dopadení. Pokud si data obětí kromě zašifrování také dále stahují, mohou tím současně odhalit své servery/úložiště i další infrastrukturu. I na této úrovni má proto pro útočníky smysl snažit se zametat po sobě stopy.

Ze všech těchto důvodů útočníci spolu s ransomwarem používají pokud možno běžné a jinak legitimní nástroje a aplikace. Kopírovaná data obvykle z podnikových sítí posílají nejprve na služby Google Drive a Amazon S3, což jsou běžné cíle odchozího síťového provozu. I ve světě nástrojů behaviorální analýzy často pouze lidští odborníci rozpoznají určité anomálie, jako je například legitimní nástroj používaný ve špatnou dobu nebo na špatném místě. Odtud se také odvíjí trend, kdy bezpečnostní firmy stále častěji dodávají spíše cloudové služby a expertní know-how než samotný software. Společnost Sophos takto např. nedávno představila službu Rapid Response, která nabízí vzdáleně prováděnou neutralizaci aktivních útoků.

Další cíle: IoT, servery, MacOS...

Dalšími významnými trendy IT bezpečnosti budou následující roku i útoky na technologie, zařízení a platformy, kde lze předpokládat nižší úroveň ochrany, protože až dosud stály stranou hlavního zájmu. Jedná se např. o zařízení Internetu věcí, firewally, linuxové servery nebo počítače Mac.

Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r.o.