Hackeři útočí na firmy a chtějí výpalné. Platba ale často nic neřeší, radíme neplatit, říká expert

Skupiny hackerů, které útočí na firemní systémy, jsou velmi organizované. Jak se jim můžeme bránit, radí expert Avastu Jakub Křoustek.

Jiří BlatnýJiří Blatný

avast_jakub_kroustek1080Rozhovor

Foto: Avast

Jakub Křoustek v Avastu vede výzkum malwaru

Je to častá scéna z hollywoodských filmů. Nebohému uživateli se najednou zablokuje počítač a na monitoru na něj vyskočí text, který mu oznámí, že ho právě napadl škodlivý program, který mu navíc zašifroval všechny soubory v zařízení. Pokud je chce zpět, musí vyděračům zaplatit, upozorňuje ho vyskakovací okno.

Není to však pouze filmová scéna, podobná situace může nastat i v běžném životě. Po útlumu takzvaných ransomwarových útoků z konce minulého a začátku letošního roku se jejich počet ve druhém čtvrtletí celosvětově opět zvednul. Podle Jakuba Křoustka, ředitele výzkumu malwaru v Avastu, za to může válka na Ukrajině, která rozdělila mimo jiné i největší ransomwarový gang světa Conti, jehož členové jsou převážně občané postsovětských zemí. Ti se sice kvůli válce rozhádali a rozešli, pak ale založili nové skupiny a jsou opět aktivní.

„Ransomwarový gang si představte jako nějakou středně velkou softwarovou firmu. Je to velmi organizovaná skupina až se stovkami členů,“ vysvětluje Jakub Křoustek. „Jsou v ní kodéři, ale i spousta dalších profesí. Někteří vytipovávají cíle, další tvoří samotný software, jiní se zaměřují na platby od uživatelů,“ dodává.

Hackeři navíc v posledních letech cílí nejen na velké společnosti, zaměřují se i na střední a malé podniky, pro které může být vyděračský ransomware i likvidační. Hackeři navíc podle Křoustka ani po zaplacení nemusí data zpřístupnit, případně mohou chtít další peníze za to, že informace nezveřejní nebo nepomohou jiným hackerům k přístupu do systému dané firmy.

Proč představuje ransomware pro firmy takovou hrozbu?
Ransomware je typem malwaru, tedy škodlivého softwaru, který chce vydírat svou oběť a něco od ní získat, v drtivé většině případů finanční prostředky. Jak přesně to dělá, to záleží na konkrétním typu toho programu. Není to však nic nového, je tu s námi asi třiatřicet let, přičemž technologie za ransomwarem se vyvíjí v takových vlnách – občas přijdou autoři s nějakou novou technikou, jak vydírat oběti, a ta se začne hojně využívat. V poslední dekádě je každopádně ransomware něco, co plní titulky novin. A je to jedna z největších kyberbezpečnostních hrozeb.

Jaký sektor má typicky s ransomwarem největší problémy? A týká se to spíše velkých, nebo menších podniků?
Útočí se na všechny, ale na každého jinými technikami. U běžných uživatelů vidíme ty klasické – rozešlu e-mail sto tisícům lidí a někdo se chytne. U menších firem je to už více cílené. Historicky s tím mají problém ve zdravotnictví, ve výrobě, ale i v retailu. Existují takzvané ransomware gangy, které se zaměřují na konkrétní segmenty. Během pandemie bylo nejvíce zasažené zdravotnictví, dříve byly častým terčem univerzity. U velkých firem je to pak už vyloženě o cíleném útoku na konkrétní společnost. Paradoxně to mohou být softwarové firmy, kde byste čekal, že budou mít dobré zabezpečení, nebo kritická infrastruktura, dopravní komunikace nebo ministerstva.

V čem se od sebe jednotlivé typy ransomwaru liší a které jsou nejnebezpečnější?
Jednomu z těch nejstarších se říká screenlocker. Zamkl vám obrazovku, nemohl jste na počítači nic dělat a jediné, co jste viděl, byly nějaké informace od vyděračů. Typicky vám lžou a snaží se vám například namluvit, že jste na počítači dělal něco nelegálního a oni vás teď odhalili. Paradoxně se autoři ransomwaru někdy vydávají za členy policejních sborů a pokoušejí se oběť zmást a vystrašit. Oběť má přitom podle instrukcí odeslat nějakou částku přes službu, jako je například Paysafe, s tím, že hackeři následně daný počítač odemknou.

Postupně se však typ útoků změnil. V současnosti je nejčastějším typem ransomwaru takový, který pomocí moderní kryptografie zašifruje data na počítači, případně celé zařízení. Takové šifrování by ze své podstaty nemělo být rozlousknutelné, takže i když člověk z počítače smaže ten samotný závadný software, zůstanou mu data, která si neotevře.

Jak se ransomware do sítě dostává?
Každý zná příklad, kdy mu přijde podezřelý e-mail, který po něm chce například okamžitou platbu faktury. Neškolený člověk klikne na přiložený soubor a už se otevírají vrátka. Často se používá i útok přes vzdálenou plochu neboli RDP. Správci sítě si mnohdy usnadňují práci tím, že si službu otevřou mimo firemní síť, aby mohli servery spravovat vzdáleně. A útočníci toho mohou využít.

Zneužívají se i takzvané zero day útoky, kdy hackeři hledají chyby v softwaru, o kterých jeho tvůrce neví. Nedávno jsme v této souvislosti upozornili na případy, kdy se útočníci takovéto chyby snažili využít v internetovém prohlížeči Google Chrome. Okrajově se stává také to, že s hackery spolupracuje někdo uvnitř firmy a s přístupem jim pomůže on.

avast_threat_labs_3

Foto: Avast

Laboratoře kybernetických hrozeb v Avastu

Podle vašich dat se v letošním druhém čtvrtletí počet ransomwarových útoků oproti předchozímu období zvýšil. Jaký je za tím důvod?
Může za to více faktorů. Jedním byla válka na Ukrajině. Není tajemstvím, že mnoho autorů ransomwaru je z Ruska a z dalších postsovětských zemí včetně Ukrajiny. S tím se pojí další důvod. Souvisí s ransomwarem zvaným Conti a stejnojmennou skupinou za ním, která byla označovaná za největší ransomware gang na světě. Situace uvnitř skupiny se ale v souvislosti s válkou zvrtla. Někteří z vedoucích členů Conti se veřejně přihlásili k ruské straně a začali vyhrožovat zemím, které by podnikly kybernetické útoky proti Rusku. To způsobilo její rozvrat.

Skupina Conti tedy ukončila činnost? To zní jako dobrá zpráva.
Mohlo by se to tak zdát. Nicméně ti kriminálníci se nešli živit něčím jiným, ale založili si nové skupiny a ve druhém čtvrtletí se jim začalo dařit.

Jak vlastně taková hackerská skupina funguje?
V případě zmíněné Conti si ji představte jako nějakou středně velkou softwarovou firmu. Je to velmi organizovaná skupina se stovkami členů. Jsou v ní kodéři, ale i spousta dalších profesí. Někteří vytipovávají cíle, další tvoří samotný software, jiní se zaměřují na platby od uživatelů.

Techniky a strategie hackerů se neustále vyvíjejí. Jaký je současný trend?
Asi tři nebo čtyři roky zpátky začaly gangy s takzvanou exfiltrací dat a s dvojitým, někdy i trojitým vydíráním. Data si nejprve odešlou na svůj server a pak je u obětí zašifrují. Vy jim zaplatíte, oni vám ta data sice možná obnoví, ale pak po vás chtějí ještě druhou platbu za to, aby informace nezveřejnili nebo je neprodali vaší konkurenci.

Přijít o účetnictví je jedna věc, jeho zveřejnění druhá. Jsou v něm informace o zaměstnancích, konkurence vidí, od koho a za jaké ceny kupujete. Někdy chtějí hackeři ještě třetí výpalné za to, aby ostatním skupinám neprozradili, jak se dostali do vašeho systému. Je to takový těžce zaplacený pen testing (při pen testingu neboli penetračním testu se simulují možné útoky na určitý systém – pozn. red.).

Divil byste se, kolik autorů ransomwaru umí data pouze zašifrovat, ale dešifrovat už ne.

Doteď jsme se bavili globálně. Jaká je ale situace tady v Česku?
Česká republika je společně třeba s Albánií, Bosnou a Hercegovinou, Maďarskem a Slovinskem jednou z nejohroženějších zemí v Evropě. Podle naší telemetrie v České republice jde především o útoky na běžné uživatele a malé a střední podniky. Vstupní branou těchto infekcí jsou u uživatelů nejčastěji škodlivé e-maily a malware schovaný v pirátských kopiích různých her a softwaru. U podniků jde také o zneužití přístupu přes vzdálenou plochu.

Berou české firmy rizika a kybernetickou bezpečnost vážně?
To je těžká otázka. Situace se určitě zlepšuje, ale nedokážu říct, jestli se zlepšuje tak rychle, jako se zlepšují útočníci. Věnuje se tomu stále více prostoru i ve státní správě, bohužel podnětem ke zvýšení obezřetnosti byly zejména právě velké ransomwarové útoky v době covidu, které proběhly například ve Fakultní nemocnici v Brně a dalších institucích.

Jakým způsobem se tu firmy staví k dilematu, zda zaplatit, nebo nezaplatit?
Je to taková Sophiina volba. Každou hodinu, možná minutu, kdy je společnost kvůli ransomwaru mimo provoz, ztrácí peníze. Spousta z nich nemá technické vybavení na moc dobré úrovni, a tak následně musí začínat od nuly, což pro mnohé z nich může být až likvidační. Měly by také přemýšlet o tom, že každá zaplacená částka hackera motivuje k tomu, aby pokračoval. Jako bezpečnostní firma tedy říkáme: neplaťte. To, že společnost zaplatí, navíc nutně nemusí nic vyřešit. Šance, že se i po zaplacení plně podaří obnovit provoz, je asi padesát procent. Divil byste se, kolik autorů ransomwaru umí data pouze zašifrovat, ale dešifrovat už ne.

Lze soubory dešifrovat i bez zaplacení?
Mám v týmu velice schopné analytiky a snažíme se na našich stránkách poskytovat nástroje pro dešifrování. Máme jich tam v současnosti už nějaké dvě až tři desítky. Nebudeme si ale nic nalhávat. Pokud je ransomware kvalitní, tak má tu kryptografii dobře zvládnutou a ta je tu proto, aby byla neprolomitelná. Takže pokud hackeři nezkazí její návrh a implementaci, není reálné soubory dešifrovat bez znalosti klíče, který vlastní hacker.

Když se firma přeci jen rozhodne zaplatit, jakým způsobem se takové výkupné platí?
Teď vládnou kryptoměny, nejčastěji bitcoin, stále více se objevuje další kryptoměna monero. Jsou totiž velmi anonymní. Historicky ale byly různé metody. Někdo si třeba nechal platit i přes dárkové karty Amazonu a podobnými metodami, ale ty jsou jednoduše dohledatelné, takže se s nimi postupně přestalo.

Ideální tedy předpokládám je vůbec se nedostat do situace, kdy musím nad zaplacením výkupného přemýšlet. Jak se firmy proti ransomwaru mohou bránit?
Záleží hodně na tom, jaký mají rozpočet nebo jak mají vyškolené zaměstnance. Je potřeba nesázet na jednu kartu a mít takzvaný vrstvený model ochrany. V případě závadného e-mailu jeho příloha něco spustí. A když v některém z těch kroků na útok přijdeme, tak ho zablokujeme i se všemi jeho předchozími kroky, až třeba ke smazání daného e-mailu. V Avastu nabízíme několik štítů –⁠ souborový štít, webový štít proti útokům přes internetový prohlížeč, případně behaviorální štít, který vás chrání za běhu aplikací. Aby útočník uspěl, musí projít všemi štíty, což je pro něj mnohonásobně obtížnější.

Ale není to jen o koncové ochraně nebo o antiviru. Je dobré chránit se na síťové vrstvě, používat firewally, VPN. Nedávno jsme pro firmy zpřístupnili službu Ransomware Shield, která se osvědčila u běžných uživatelů. Funguje tak, že vybrané adresáře nebo soubory zamkne pro neautorizované aplikace. Takže i kdyby se objevil nějaký nový virus, který nikdo nikdy neviděl, na základě odmítnutí přístupu k souborům je nedokáže přepsat nebo zašifrovat.

Jak si myslíte, že se četnost útoků bude vyvíjet v budoucnu?
Co se týče ransomwaru, tak klid nás v dohledné době nečeká. Jak útočníci, tak obránci se neustále zlepšují a využívají nových technologií. Historie nám říká, že to nikdy nebude tak, že by jedna strana vyloženě porazila tu druhou.

Partnerem článku je společnost Avast. V rámci CzechCrunch Premium spolupracujeme s vybranými partnery, se kterými připravujeme obsah na míru. Více najdete zde.