System4U
facebook LinkedIN LinkedIN - follow

Ransomware opět získal na popularitě

RansomwarePo přechodném poklesu zájmu se podvodníci od kryptominerů stále více vracejí opět k ransomwaru. Tyto útoky jsou často propracovanější a namísto sociálního inženýrství zneužívají protokoly vzdáleného přístupu.


Chránit se lze nejlépe pomocí nástrojů, které pro detekci bezpečnostních incidentů vyžívají analýzu chování.

Řada statistik, které počítají výskyt jednotlivých typů malwaru, ransomware poněkud podceňuje. Na čele žebříčků se obvykle vyskytují buď obecné trojské koně, které mohou dále doručovat malware různého typu, nebo programy pro těžbu kryptoměn. Z pohledu možných finančních dopadů na podniky ale ransomware stále představuje vážné a nákladné riziko.

Phishing už není jedinou cestou

Aktuální trendy v této oblasti popisují např. studie společností Fortinet a McAfee. Letos v létě vydaný Fortinet Global Threat Landscape Report uvádí, že ransomware je v některých případech pečlivě cílený a zločinci stojící za těmito kampaněmi věnují značný čas předběžné přípravě. Některý ransomware (RobbinHood) dokáže provést i velké změny v nastavení systémů a tímto způsobem vyřadit ochranné mechanismy. Nově zaznamenaný ransomware Sodinokibi zase proniká do sítí pomocí zneužití zranitelností. K nákaze tedy vůbec není potřeba, aby někdo klikl na odkaz ve phishingovém e-mailu nebo spustil připojený soubor. Obecně se k šíření ransomwaru stále více využívají zranitelnosti ve službách pro vzdálený přístup, např. v protokolu RDP.

Studie Fortinet Global Threat Landscape dává celkovému stupni hrozeb druhou nejvyšší známku za celou dobu provádění tohoto průzkumu. Malware je stále propracovanější z hlediska své schopnosti vyhýbat se detekci (např. malware Zegost, sloužící především ke krádeži informací, dokáže vymazávat i záznamy protokolů/událostí). Dnešní sofistikované hrozby odhalí i skutečnost, že se nacházejí v prostředí sandboxu. Tím pádem se např. vůbec neaktivují nebo se alespoň nepokouší kontaktovat command center útočníka. Zákazníkům proto doporučujeme vícevrstvé metody ochrany a nástroje pro detekci hrozeb založené na analýze chování.

Útočníci hledají nejslabší místa sítí, proto je důležité, aby oddělení IT dokázalo zjistit plnou viditelnost infrastruktury. To dnes znamená jak vlastní IT infrastrukturu, tak i různé cloudy a zařízení IoT nebo průmyslové řídicí systémy (ICS/SCADA).

E-mail namísto řídicích serverů

Rovněž z letošního léta je aktuální studie McAfee Labs Threats Report. Vzestup ransomwaru se zde po jeho přechodném poklesu na konci loňského roku pokládá za vůbec hlavní trend – počet zachycených vzorků vzrostl od minulého čtvrtletí o 118 %. Nejpočetnější rodiny byly Dharma/Crysis, GandCrab a Ryuk. Studie upozorňuje na to, že v několika případech zasáhly úspěšné útoky i velké firmy. McAfee Labs také podtrhují, že ransomware se stále více šíří i jinak než pomocí sociálního inženýrství, kromě RDP i v souvislosti s technologií VNC (virtual network computing). Řada infekcí byla provedena pomocí prolomení sítě na nějakém přístupovém bodě. Podvodníci si na černém trhu kupují příslušné exploity nebo se dokonce snaží k přístupovým údajům dostávat i hrubou silou. Zajímavé také je, že pro řízení kampaní včetně samotné komunikace s obětí se stále více používají anonymní e-mailové služby namísto řídicích (Command-and-Control) serverů. Je to zřejmě kvůli tomu, že policejní složky nebo bezpečnostní firmy dokázaly několikrát z takových řídicích serverů získat šifrovací klíče a posléze vytvořit nástroje umožňující obnovu dat.

I přes osvětovou kampaň stále přetrvávají organizace, které jsou za slib znovuzpřístupnění svých dat vyděračům ochotny zaplatit. Přitom ovšem neexistuje žádná záruka, že podvodníci data opravdu dešifrují. Zaplacení výkupného navíc celý ekosystém udržuje v chodu – bez toho by podvodníci tento druh útoků rychle opustili. Iniciativa NoMoreRansom pravidelně zveřejňuje dešifrovací klíče. Europol např. oznámil, že pomocí takového nástroje si jen za první čtvrtletí tohoto roku mohlo až 14 000 obětí odemknout své soubory zašifrované ransomwarem GandCrab. Opět rostoucí zájem podvodníků o ransomware však vedl k vytvoření nových verzí, u nichž nástroje pro obnovení dosud k dispozici nejsou.

Aleš Pikora, ředitel divize DataGuard, PCS

 
Sophos