Jak ransomware do firmy pronikne?

Podle analýzy ComSource naprostá většina ransomware útoků začíná v interní síti. Konkrétně phishingový e-mail stojí za 50 % všech útoků. Zaměstnanec dostane „maskovaný“ e-mail – může se vydávat za zprávu od dodavatelské společnosti, antivirového programu nebo i někoho z interní sítě – a zaměstnance žádá, aby z nějakého důvodu rozklikl link ve zprávě. Tím otevře dveře do firmy nedočkavým útočníkům a není cesty zpět.

Za 25 % útoků pak stojí zranitelnost zabezpečení systému nebo aplikace – dříve stačily firewally, dnes již nejsou pro průměrného hackera překážkou. 20 % útoků přichází díky zranitelnosti přes RDP – Remote Desktop Protokol – drtivou většinu serverů s povoleným protokolem RDP připojených k internetu chrání jejich správci pouze pomocí tradičních přihlašovacích údajů, tedy jménem a heslem. A mnoho z těchto hesel je dostatečně slabých na to, aby je bylo možné uhodnout. Stačí „trefit“ heslo jednoho z takto nedostatečně zabezpečených počítačů a útočník úspěšně pronikne do síťové infrastruktury. Zbylých 5 % tvoří jiné než výše zmíněné průniky.

Typický scénář kyberútoku na firmu

Typický scénář ransomware útoků je přitom stále stejný – útočník se dostane do sítě zpravidla díky nepozornému zaměstnanci, který klikne na škodlivý odkaz v e-mailu. Jakmile útočník získá oprávnění administrátora, má i neomezený přístup do celé firmy. Vypne antivirové programy, vytvoří jednoduchý script na všech počítačích a začne šifrovat. Jedná se o organizované skupiny, kterým se během pár hodin podaří ovládnout celou firmu. Strategicky si pro zahájení útoku volí čtvrtek nebo pátek, aby měli přes víkend dostatek času ve firmě v klidu škodit.

A že jde o hodně, dokládají i čísla. Podle analýzy ComSource je u ransomware útoků průměrné požadované výkupné 250 tisíc dolarů, tedy téměř šest milionů korun. Kyberzločinci zpravidla žádají o 10 % z obratu firmy – tuto částku obvykle zjistí z veřejně dostupných výročních zpráv firem.

Ransomware v praxi

Konkrétním příkladem může být nedávná reálná situace z jedné globální výrobní firmy o více pobočkách, kde jedna z nich je v České republice. Jednoho pondělního rána dorazili zaměstnanci firmy do práce a nefungovaly ani počítače, ani stroje ve výrobě. Mzdové oddělení nemohlo dát příkazy k úhradě, aby odešly platy zaměstnancům. Na zapnutých počítačích vyskočila zpráva o zašifrování dat a možností jejich odemknutí díky převodu peněz v hodnotě téměř 400 tisíc dolarů na účet v kryptoměně.

Vzhledem k americké podílové účasti ve firmě nebylo možné výkupné zaplatit, neboť podle amerického práva se s vyděrači nevyjednává a případ se musí hlásit FBI. Současně ředitel povolal bezpečnostní experty a pokusil se útok minimalizovat a rychle obnovit výrobu. Nastalo krizové řízení firmy. Stanovily se priority, na čem pracovat nejdříve:

1. minimalizovat škody – tedy zalepit „díru“, kudy do firmy útočníci vnikli,
2. okamžitá obnova účetního systému, aby mohly odejít zaměstnancům výplaty,
3. obnova výroby, neboť hrozily milionové sankce od odběratelů fungujících na principu výroby „just in time“,
4. další kroky k pozvolnému rozjezdu firmy.

Chod firmy se podařilo obnovit v několika málo dnech. Důležitou roli hrál externí specialista na zabezpečení a odhalování kybernetických útoků, který si po prvním úspěchu v obnově účetních systémů získal důvěru generálního ředitele, což je v krizovém řízení velice důležitý faktor. Ředitel navíc brzy pochopil, že vzdálené firemní IT na jiném kontinentě nebude mít reakční čas tak rychlý, jako lokální expert. Takže s firemním IT celou věc začali řešit administrativně a paralelně s tím se pomalu obnovoval provoz.

Jak postupovat?

Pokud se stanete obětí útoku, tak hlavní rada je: nepanikařte. Situace rozhodně vypovídá o konfiguraci vaší sítě a zajištění kybernetické bezpečnosti, ale je třeba vše vyřešit. Nejrychlejší cesta je samozřejmě zaplatit výkupné (pokud máte zašifrované i zálohy). Ransomware skupiny si nemohou dovolit dostat zaplaceno a neobnovit data, rozkřiklo by se to a nikdo by jim už nezaplatil. I tato cesta ale má svá rizika a je vhodné využít specialistu pro komunikaci a vyjednávání s útočníkem.

Nebo je vhodné, aby externí zabezpečovací expert pomohl „zabarikádovat“ díru, kudy se do firmy útočník dostal a krok za krokem obnovit data a provoz. Pozor na to, aby se pouze neobnovil firemní provoz ze záložních dat. V takovém případě můžete očekávat do 14 dnů další útok se stejným průnikem do vaší sítě, ale s poněkud vyšším výkupným. A hlavně je nutné začít konečně brát kybernetickou bezpečnosti vážně. Rozhodně se nelze v těchto případech spoléhat pouze na interní IT tým.

Důležité je útokům předcházet

Celá řada firem má v rámci implementace různých ISO připravené scénáře pro krizové řízení, co dělat, když nastane požár nebo nějaký jiný problém. Kybernetická bezpečnost je však stále velmi podceňována, management firem v záplavě jiných opatření IT bezpečnost přehlíží, nemyslí na to, co dělat, když jim nepoběží IT systémy. Dokonce se setkáváme s názorem, že se kybernetická bezpečnost týká hlavně IT firem a poskytovatelů. Realita je však jiná – týká se to naprosto všech.

Je důležité, aby firmy a instituce prověřili svou bezpečnost ještě dnes, třeba i jen formou jednoduchého auditu. Firewally a antivir v dnešní době již nestačí. A především aktuální světové dění rozpoutalo o poznání větší kybernetickou válku, která se bude dotýkat každého bez rozdílu.

Jaroslav Cihelka Autor článku je expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.