Jak se nenechat vydírat ransomwarem

ransomware axenta

AxentaPo WannaCry jsem, tak jako asi velká část komunity, doufal, že to bylo alespoň k něčemu dobré a že teď už každý musí vědět, jak se proti ransomwaru bránit. Bohužel to zjevně nebyla pravda a případ benešovské nemocnice to jen ukázal v plné kráse. Za posledních 6 let, během kterých se dá hovořit o ransomwaru jako o přední hrozbě, jsme se zjevně nic nenaučili – offline zálohy neexistují, segmentace sítě neexistuje a takto bych mohl vyjmenovat další možné způsoby prevence, které by sice měly být jasné z toho množství různých edukačních snah, ale stále se nějak nedostali do realizace.

Medializovaných případů ransomwaru je u nás za ta léta jen pár, nezprostředkovaných bude ale mnohem více, i když asi ne tolik, kolik např. v Německu, či dalších státech západní Evropy. Na otázku proč tomu tak je a proč se zdá, že se nám tyto případy v celkovém měřítku nějak vyhýbají, si neodpovím, jen navrhnu, abychom byli vděční, že z nějakého důvodu máme málo high-profile případů ransomwaru nebo obecně high-profile kyber útoků. Někdo více dramaticky založen by řekl, že bychom měli být rádi, že ještě kvůli tomu nikdo nezemřel.

Nejprve k samotnému útoku ze širší perspektivy. Na přesném type ransomwaru prakticky nezáleží. Na čem záleží víc je to, zda šlo o cílený útok, nebo ne. Pokud nešlo o cílený útok, čili nemocnici pouze zasáhla další z polonáhodných vln ransomwaru šířeného pomocí spamu s nakaženými přílohami, je vše v pořádku a vlastně se nic nezměnilo.

Pokud šlo o cílený útok, stále jsem nakloněn tomu, považovat to za nesprávný úsudek útočníků nebo prostě za chybu. Pokud by tomu tak nebylo, znamenalo by to, že jsme pevně na mapě zemí, kde jsou dobré cíle pro kyberzločince, což bude znamenat, že podobné útoky se zopakují. Na správné odpovědi zbývá pouze čekat.

Mám tu pár nepříjemných a aktuálních faktů platných nejen pro ransomware, ale pro malware obecně:

  1.  pokud tam již není, tak se do vašeho IT dostane malware – někdo klikne na přílohu, někdo se nakazí z webu, máte otevřené RDP do internetu, prostě se tam dostane
  2. pokud se dostane malware do počítače, je velmi pravděpodobné, že se sám pokusí několika způsoby rozšířit po síti
  3. rozšíření trvá minuty a pokud se nezastaví, tak detekce trvá měsíce a odstranění týdny

Ještě specificky pro ransomware poznamenám, že v roce 2019 jsme viděli několik cílených ransomwarových útoků na organizace, které si nemohli dovolit downtime – výrobní podniky, metalurgie, elektrárny, nemocnice – škody se pohybovaly v milionech eur týdně.

Jak se s ransomwarem ale vypořádat? Jedinou spolehlivou odpovědí jsou pravidelné a testovány zálohy, přičemž nestačí mít jednu zálohu pro všechna data na lokálním serveru. Dobrým základem je 3-2-1 strategie, čili 3 kopie dat, na 2 různých médiích, z nichž 1 je offsite (např. spolehlivý cloud).

Bohužel, když se dostaneme až k zálohám, už je obvykle pozdě a útok byl úspěšný. Přitom úspěšnost ransomwarových útoků lze snížit několika způsoby:

  1. standardní kyberbezpečnostní hygiena – dobré hesla, segmentace sítě, vzdělávání uživatelů, neklikání a neotvírání phishingových příloh – celkově věci, které už všichni (ne) víme
  2. EDR nástroje – endpoint detection and response – většina malwaru se v prvních hodinách od vzniku nedá detekovat běžným antivirem – ten prostě ještě aktuální verzi malwaru neviděl a nemá ji v databázích. Zde přichází na scénu EDR, mladší a vzdělanější bratr antiviru, který se velmi zjednodušeně řečeno dívá na to, jaké neobvyklé děje probíhají v systému – takovým neobvyklým dějem může být např. že z e-mailu se spustil Word a ten spouští powershellový script, který se připojuje na internet = přišel e-mail s nakaženým wordovým dokumentem v příloze, kterou uživatel otevřel a tím si vlastně stáhl do počítače malware. Zajímavou funkcionalitou, kterou některé EDR mají je např. síťová izolace napadeného počítače nebo automatická reinstalace. V případě ransomwaru by EDR mohlo mj detekovat, že nějaký proces maže shadow kopie disku nebo používá systémové šifrovací knihovny a danou činnost zastavit.
  3. rychlá reakce na incident- podle medializovaných zpráv ve výše zmíněné nemocnici trvalo 33 minut od prvních identifikovaných problémů do vyřazení celé IT infrastruktury. Je velmi obtížné zvládnout tak rychlý útok manuálně. Přirozeným řešením je použití automatizace, například v podobě SOAR, o kterém jsem už psal v jednom z předchozích článků. Pomocí předdefinovaných PlayBook, dostatečného situačního povědomí a vhodné automatizace je možné snížit čas potřebný k analýze a úspěšnou reakci na ransomwarový incident z desítek minut na sekundy.

Zatímco 1. bod se ve většině případů musí řešit lokálně, zbylé dva body si našly cestu do portfolií kvalitních SOC-as-a-Service – organizace se připojí do daného SOCu a ten už zajišťuje detekci, analýzu a pomocí dohodnutých postupů s organizací i rychlou reakci na incidenty. Organizace tak získá komplexní ochranu před širokým spektrem kybernetických hrozeb včetně ransomwaru, aniž by musela vynakládat zbytečné prostředky na lidské zdroje, nástroje a provoz vlastního bezpečnostního týmu. Jde tak o velmi vhodné řešení zejména pro organizace s omezenými prostředky, jako jsou např. nemocnice, úřady, školy nebo i menší a střední výrobní podniky apod.

Pokud se nic nepředvídaného nestane, v dalším čísle budu pokračovat v seriálu o hierarchii potřeb v kyberbezpečnosti …

Dávid Kosť, Lead Security Analyst, Axenta a.s.

Obrázek: pikisuperstar / Freepik

Související články

Leave a Comment