facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Compas automatizace
IT SYSTEMS 9/2020 , IT Security

Tvůrci ransomwaru přicházejí se stále novými triky

Aleš Pikora


PCSBěhem pandemie vzrostl počet lidí přistupujících do firemních systémů ze soukromých, nezabezpečených zařízení – tentokrát včetně počítačů. Analytická společnost Gartner do svých trendů nedávno zařadila tzv. BYOPC. Po vzoru BYOD, což se týkalo mobilních zařízení, jde tentokrát o osobní počítače ve vlastnictví zaměstnanců. Tento problém má větší dopad než BYOD, protože zatímco soukromý mobilní telefon slouží spíše pro přístup k datům v případě nezbytnosti, soukromé PC je standardní pracovní nástroj. Útočníci proto mohli zneužít nedostatečně zabezpečená mobilní zařízení k průniku do podnikových sítí.


Jeden ze způsobů, jak poměrně jednoduše vydělat, představuje ransomware, kdy především při platbě v kryptoměnách lze útočníky jen obtížně vystopovat. Navíc ransomware dokáže mnohdy infikovat i zálohovací systémy, takže podniky nepřijdou pouze o nejnovější data, ale dojde i k znepřístupnění jejich starších kopií, bez ohledu na to, zda jsou uloženy v on-premise systémech nebo v cloudu.

I když přímo během pandemie některé kyberkriminální skupiny deklarovaly přerušení nebo omezení aktivit (ransomwarem nebudou napadat zdravotnická zařízení apod.), vyděračský software je tu s námi stále. Útočníci zde navíc mnohdy nespoléhají jen na samotné šifrování, ale vydírají svou oběť i tím, že citlivá data zveřejní, eventuálně je zkusí dále prodávat. Jinak řečeno, ještě před samotným zašifrováním si navíc pořídí jejich kopii.

Podle studie SophosLabs 2020 Threat Report se ransomware ve stále větší míře automatizuje a kombinuje s dalšími známými zranitelnostmi, např. takovými, které umožňují eskalaci uživatelských oprávnění. Následně pak stačí kompromitovat i účet s relativně nízkými přístupovými oprávněními, které má např. běžný zaměstnanec přistupující ke kritickým podnikovým systémům z domova.

Společnost Kaspersky zjistila, že ransomware se nově zařadil i do arzenálu skupin, které provádějí pokročilé útoky (APT). Příkladem je skupina Lazaurus, která se jinak specializuje na špionáž, sabotáže a nově i na finanční instituce. K šíření ransomwaru skupina Lazaurus používá platformu Mata. Již loňská studie Fortinet Global Threat Landscape Report uvádí, že ransomware je v některých případech pečlivě cílený a podvodníci stráví značný čas předběžnou přípravou. Zkoumají, jaká data by mohla pro podniky být nejcennější, takže malware poté začne šifrovat data až v určitém okamžiku, aby na sebe neupozornil předčasně. Některý ransomware dokáže provádět i velké změny v nastavení systémů a tímto způsobem vyřadit ochranné mechanismy.

Systematicky se vývojem ransomwaru zabývá společnost Sophos ve studii „The State of ransomware 2020“, která vychází z průzkumu mezi 5 000 manažery IT ve 26 zemích. Ukázalo se, že útoky ransomwaru zaznamenalo 51 % firem. 94 % z postižených organizací svá data nakonec nějak získalo zpět, častěji využitím záloh (56 % obětí) než zaplacením výkupného – 26 % obětí, což je stejně docela vysoké číslo. Pouze 1 % podniků zaplatilo výkupné, a přesto data nezískaly. Nicméně i přes poměrně malý poměr se tento postup nedoporučuje. Studie mj. ukázala, že při zaplacení výkupného jsou náklady na obnovu dat v průměru dvakrát vyšší. Zajímavá je i problematika ransomwaru a pojištění: 84 % organizací mělo pojištění kybernetické bezpečnosti, to ale pouze v 64 % případů pokrývalo i ransomware.

Nakonec poměrně kuriózní případ. Dokonce, i když podniky útočníkům zaplatí výkupné a podvodníci v tomto případě jsou ochotni data opět uvolnit, může dojít k problémům. Ransomware Prolock při šifrování souborů začíná po prvních 8 192 bajtech. Výsledkem jsou soubory, které jsou částečně čitelné a z části zašifrované. To mohlo přispět k tomu, proč dešifrovací klíč, který oběti obdrží po zaplacení výkupného, ve skutečnosti zašifrované soubory poškodí. Může se pak stát, že data budou ztracena nebo jejich obnova bude ještě nákladnější.

Aleš Pikora Aleš Pikora
Autor článku je ředitelem divize DataGuard společnosti PCS, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Úsměv namísto podpisu a robot na místě prodavače

IT Systems 11/2020V novém vydání IT Systems se věnujeme trendům v digitalizaci bankovnictví a finančního sektoru, který je sice vnímán jako velmi konzervativní odvětví, ale ve vztahu k informačním technologiím patří naopak mezi ty nejprogresivnější. Tlak konkurence i nebankovních institucí a požadavky zákazníků totiž nutí celé odvětví, aby přijímalo nejnovější technologie.