Ako sa účinne brániť proti ransomware

Ransomvér sa vyvinul z pomerne nízkej úrovne na dômyselný a lukratívny multimiliónový kriminálny biznis, ktorý sa v súčasnosti zameriava na jednotlivcov a takisto na podniky.

Tento kriminálny obchodný model používa škodlivý softvér na zašifrovanie vašich osobných údajov a ich rukojemnícke zadržiavanie. Hoci ide o čoraz naliehavejší problém, ransomvéru možno predchádzať vhodnými školeniami, adekvátnymi procesmi riadenia rizík a pokročilými technológiami koncových zariadení. Unit 42, tím spoločnosti Palo Alto Networks®, ktorý sa venuje eliminácii hrozieb, nedávno vydal podrobnú správu o histórii ransomvéru, jeho vývoji a účinnej obrane voči nemu.

ČO JE RANSOMVÉR?

Na to, aby bol útok prostredníctvom ransomvéru úspešný, musia útočníci vykonať päť krokov:

• Napadnúť systém a získať nad ním kontrolu. Väčšina útokov sa začína tzv. spear-phishingom, čo je oklamanie používateľa pomocou podvodného e-mailu s infikovanou prílohou, ktorá po otvorení napadne systém. Takýmto spôsobom môže byť napadnutý počítač, mobilný telefón a dokonca aj celý podnik.
• Zabrániť prístupu do systému. Po infikovaní systému útočník buď identifikuje a zašifruje určité typy súborov, ktoré môžu mať pre obeť hodnotu, napríklad obchodné dokumenty či rodinné fotografie, alebo úplne znemožní prístup k celému systému prostredníctvom uzamknutia obrazovky alebo zastrašovacou taktikou.
• Informovať majiteľa zariadenia o napadnutí, sume výkupného a ďalších krokoch. Aj keď je to zdanlivo jednoznačné, útočníci a obete často hovoria rôznymi jazykmi a majú rôzne úrovne technických zručností, preto musia útočníci konkrétnej obeti jednoducho vysvetliť, čo sa stalo a čo je potrebné vykonať na odomknutie zariadení.
• Prijať platbu výkupného. Útočník musí mať zabezpečený spôsob prijímania platieb výkupného a zároveň sa chce vyhnúť trestnému stíhaniu, čo pri týchto transakciách vysvetľuje používanie anonymných kryptomien – napríklad bitcoin.
• Obnoviť úplný prístup po prijatí platby. Nenavrátenie napadnutých systémov do pôvodného stavu by zničilo efektivitu tohto plánu, pretože nikto nebude ochotný platiť výkupné bez istoty vrátenia svojich cenností.

KTO JE OHROZENÝ?

Zamierené na veľké spoločnosti. Útočníci môžu mať prostredníctvom ransomvéru veľký verejný vplyv, pretože činnosti napadnutých organizácií môžu byť vážne ohrozené či dokonca úplne zablokované, čo dobre ilustruje nedávny útok na nemocnice v Spojených štátoch. Zločinci si uvedomili, že ide o lukratívny biznis so slabými prekážkami na vstupe a preto ransomvér vytláča ostatné modely počítačovej kriminality. Útočníci navyše dokážu čoraz lepšie určiť hodnotu napadnutých informácií, posúdiť ochotu napadnutej organizácie zaplatiť a požadujú čoraz vyššie výkupné.

Viac platforiem. Zatiaľ čo historicky sa útočníci zameriavali výlučne na systémy Microsoft® Windows, ransomvér sa objavil už aj na operačnom systéme Android® a (ako najnovšie zistila spoločnosť Palo Alto Networks) už aj na Mac® OS X®. Ukazuje sa, že voči týmto útokom nie je imúnny žiaden systém. Takmer všetky počítače alebo zariadenia s pripojením na internet sú potenciálnymi obeťami ransomvéru, ktorý sa stane oveľa naliehavejšou hrozbou s blížiacim sa nástupom internetu vecí (IoT) a s tým spojeným rozmachom ďalších zariadení, ako sú domáce spotrebiče pripojené na internet.

PRÍPRAVA NA PREVENCIU 

Keďže útoky prostredníctvom ransomvéru sú rýchle (zvyčajne sú účinné do niekoľkých minút od napadnutia), je dôležité používať kontroly, ktoré zabraňujú vstupu malvéru do siete a jeho spusteniu v systémoch, v ktorých sa ukladajú vaše cenné údaje. Útokom ransomvéru sa dá predchádzať, ale vyžaduje si to správny prístup. Ak chcete zaručiť, aby vaša organizácia efektívne zvládala riziká spojené s útokmi prostredníctvom ransomvéru, odporúčame vám položiť vášmu riaditeľovi pre informačnú bezpečnosť tieto otázky:

• Chránime naše koncové zariadenia pred malvérom? Málo známe systémy na predchádzanie útokom prostredníctvom malvéru, ktoré identifikujú škodlivé správanie, sú najlepšou obranou proti ransomvéru, pretože útočníci svoje útoky testujú na overených a tradičných antivírusových programoch s cieľom uistiť sa, že útoky zostanú neodhalené.
• Aká je naša stratégia zálohovania a obnovy údajov? Ak dokážete obnoviť šifrované súbory zo zálohy, budete sa môcť zotaviť z úspešného útoku prostredníctvom ransomvéru s nepatrným dopadom na organizáciu.
• Máme plán na zvládnutie útoku prostredníctvom ransomvéru v prípade infikovania našej siete? Okrem potrebného technického riešenia treba mať zadefinované aj to, kedy informovať orgány činné v trestnom konaní a zvážiť právne dôsledky zaplatenia výkupného.
• Zabezpečuje naša spoločnosť pravidelné školenia všetkých zamestnancov, aby dokázali odhaliť a predchádzať pokusom o „spear-phishing“? Vzdelávanie zamestnancov s cieľom zabrániť infikovaniu cez spear-phishing znižuje možnosť prípadného úspešného útoku na vašu organizáciu prostredníctvom ransomvéru.