V pražských Holešovicích sídlí jeden z výzkumných týmů společnosti Eset, jehož úkolem je zkoumat kyberbezpečnostní hrozby a monitorovat trh, zejména se zaměřením na hrozby z Ruska. Kromě tvorby pravidelných reportů a edukace laické i odborné veřejnosti o hrozbách číhajících v digitálním prostoru výsledky jejich zkoumání vylepšují i knihovny samotného bezpečnostního řešení, které používá přes 110 milionů uživatelů po celém světě.

Ve zkratce by se dalo říct, že píchají do vosího hnízda, aby ostatním mohli poradit, na co si dát v kybersvětě pozor a jak se tomu bránit. „Instalujeme malware na testovací stroje, které jsou zcela odstřižené a po analýze navíc zničeny,“ vysvětluje Robert Šuman, který vede pražskou laboratoř společnosti Eset zaměřenou na výzkum malwaru. Český tým se soustředí na ransomware a také politicky i finančně motivované hrozby pocházející převážně ze Severní Koreje a částečně Ruska. Pobočky v Argentině, USA, Kanadě a na Slovensku se potom starají o další rizikové země a specifické hrozby.

V týmu hloubkového výzkumu malwaru pracuje i Jakub Souček, který se deset let věnuje monitorování mezinárodních vyděračských skupin, jež cílí na firmy a jejich data ransomwarovými útoky. „Trendem dneška je stírání veškerých hranic. Vyděračské útoky jsou hlučné a s okamžitým dopadem, ransomware samotný ale často slouží jen k zakrytí skutečných cílů útoku, kterými může být cokoliv od špionáže po financování autoritářských režimů,“ říká.

Foto: Eset

Robert Šuman se v Esetu za 14 let vypracoval do pozice experta na APT hrozby a analýzu malwaru

V rozhovoru pro CzechCrunch oba vysvětlují, jak specializace útočníků mění pravidla hry celého kyberkriminálního podsvětí, jak těžké je rozkrývat fungování organizovaných gangů a proč Eset v tomto boji zaujímá čistě analytickou a defenzivní roli. Firmám radí konkrétní, jednoduché kroky, které samy o sobě ve většině případů stačí k odrazení útočníků, protože pro ně bude jednodušší vyhlédnout si jinou, dostupnější oběť.

Roberte, vy jste šéfem výzkumné laboratoře společnosti Eset tady v Praze. Jaká je hlavní role vašeho týmu?
Robert Šuman: Naši laboratoř tvoří tři hlavní týmy, kdy se jeden věnuje hledání souvztažností, propojení a časové souslednosti. Druhý tvoří detekční inženýři, jejichž úkolem je najít v malwaru vzorce, které může naše bezpečnostní řešení detekovat a reagovat na ně. Poznatky z výzkumu tento tým přetváří do aktualizací, které se k uživatelům Esetu dostávají i několikrát denně. Třetí tým, říkejme mu analytický, pak provádí hloubkový výzkum a publikuje analýzy například na našem blogu. Neprogramujeme přímo produkt, to dělají vývojáři. Dodáváme klíčové know-how, říkáme, jaké algoritmy jsou potřeba, na co se zaměřit a které hrozby jsou aktuální. Kromě pokročilých přetrvávajících hrozeb (advanced persistent threats, APT) je pro nás velkým tématem i ransomware, kterému se zhruba deset let intenzivně věnuje Jakub Souček a jeho tým.

Zní to, že si hrajete s ohněm. Spálili jste se při zkoumání virů někdy?
Jakub Souček: Tady vás zklamu, při analýze používáme tak přísná pravidla, že tam se nic stát nemůže. Přiznám se ale, že jsem před lety naletěl na interní phishingový test u nás ve firmě. Od té doby si dávám setsakramentsky pozor.

RŠ: Pro otevírání škodlivého kódu používáme velmi robustní opatření. Malware nepouštíme na běžných pracovních počítačích, ale na dedikované infrastruktuře, tzv. replikačních farmách, kde ho můžeme bezpečně spustit a analyzovat. Počítáme s infekcí testovacího stroje, který je po analýze zničen. Ne vždy je ale potřeba do vosího hnízda hned píchat, zkušený analytik se může podívat na jeho obsah i bez kliknutí na škodlivý soubor.

Jinak jsme jen lidi, také se mi před lety stalo, že jsem v nepozornosti otevřel podezřelý soubor – díky vícevrstvé ochraně našich stanic k reálné infekci nedošlo a ani dojít nemohlo. Naše počítače jsou chráněny výrazně více než u běžných zaměstnanců a takovýto přešlap nám nedovolí udělat ani kdybychom chtěli.

Čím se liší APT útoky, často sponzorované státy, od běžné kyberkriminality? Nedávno jste publikovali článek o ruských wiperech (software určený k ničení dat – pozn. redakce) určených čistě k destrukci dat, takže předpokládám, že špionáž nemusí být jediným cílem.
RŠ: Zatímco běžní kyberzločinci jdou primárně po finančním zisku, cíle APT skupin jsou rozmanitější. Cílem mohou být politici, vládní instituce, armáda i firmy ve strategických odvětvích. Používají sofistikované metody, včetně útoků přes dodavatelský řetězec. Špionáž je velmi častým motivem – získávání citlivých politických, vojenských nebo obchodních informací. Často se tyto útoky různě maskují, aby nebylo na první pohled patrné, kdo za nimi stojí, a wipery jsou jedním z těchto způsobů. Někdy se tváří jako ransomware, ale skutečným cílem je zničení důkazů po jiných útocích, jak jsme viděli na ruských operacích na Ukrajině, nebo k ochromení kritické infrastruktury.

A co další státní aktéři? Sledujete podobně destruktivní nebo specificky motivované aktivity i v režii dalších zemí?
RŠ: Na další APT útoky a aktivity se zaměřují týmy z dalších poboček. Může to být íránská aktivita směrem k Izraeli, čínské operace v Jižní Americe nebo mapování specifické činnosti severokorejských skupin. Ty jsou silně motivovány finančním ziskem pro režim – provádějí útoky na banky a v poslední době se masivně zaměřují na krádeže kryptoměn. Kromě toho se Severokorejci také nechávají v zahraničí najímat na pracovní pozice, často v IT, odkud pak buď přímo odčerpávají finance, nebo vynášejí citlivá data a know-how pro severokorejský režim. To je také forma státem řízené aktivity s cílem získat zdroje nebo informace.

Oproti tomu je ransomware, na který se zaměřujete vy, Jakube, motivován finančním ziskem pro uzavřenou skupinu.
JS: Ransomware jako takový je primárně motivován přímým finančním ziskem z výkupného. Útočníci šifrují data a požadují platbu, často také kradou data a hrozí jejich zveřejněním, tedy tzv. double extortion. Na rozdíl od nenápadných APT skupin jsou ransomwarové útoky hlučné a s okamžitým dopadem. Jak říkal Robert, APT skupiny mohou ransomware využít k zakrytí svých cílů. Oběť se pak soustředí na obnovu dat a nemusí si všimnout krádeže cenných informací nebo proniknutí do systémů dále v dodavatelském řetězci.

Tým výzkumníků zaměřený na ransomwere vede Jakub Souček, který je sám zkušeným analytikem kyberkriminality

Je dnes z pohledu firemní bezpečnosti ransomware tou největší hrozbou?
JS: Ransomware je pro firmy rozhodně jednou z nejvýznamnějších a nejviditelnějších hrozeb. Jeho dopad může být devastující – od finančních ztrát až po poškození reputace a přerušení provozu.

RŠ: Zajímavostí je, že ransomwarové útoky na jednotlivce spíš klesají, protože vydírání firem se ukázalo být výnosnější. Ať už je ale útok na firmu jakýkoli, může mít fatální následky, zejména ve strategických a citlivých sektorech. Výhodou zůstává, že obrana je proti ransomwaru i APT útokům stejná.

Existuje tedy i ransomware cílený na jednotlivce. Jak se tyto varianty liší v metodách šíření a dopadu?
JS: Ano, existuje i ransomware, který napadá jednotlivce. Obvykle se požaduje výkupné v řádu stovek až tisíců korun. Šíří se masově, například e-mailovým spamem, a kvantitativně jde o nejpočetnější hrozbu. Dopad na jednotlivce je nepříjemný, ale zdaleka ne tak likvidační jako u firem.

Eset ve svých vyjádřeních poslední roky upozorňuje na profesionalizaci útočníků. Jak dnes vypadá rozdělení rolí v kyberkriminálním podsvětí?
JS: Kyberzločin je dnes vysoce specializovaný ekosystém. Málokdy je komplexní útok dílem jednoho člověka nebo jedné uzavřené skupiny. Často v něm figuruje několik různých článků, které ani nemusí být formálně součástí jedné organizace. Vidíme například útočníky shromažďující citlivá data z phishingových útoků a nic víc. Nebo takzvané initial access brokers (IABs), což jsou skupiny nebo jednotlivci, kteří se specializují čistě na získávání přístupu a infiltraci firemních sítí. Ten přístup pak prodají dalším zájemcům – ať už ransomwarovým gangům, které si tam nasadí svůj šifrovací kód, nebo třeba APT skupinám zaměřeným na špionáž. S kradenými daty se na darknetu aktivně obchoduje a dnes je to spíš komodita, kterou útočníci ke svým útokům nakupují, než aby ji sami pracně získávali.

Zmínil jste infiltrátory a lupiče citlivých dat. Jaké další specializované role nebo služby v tomto ekosystému pozorujete?
JS: Existují vývojáři, kteří se soustředí jen na tvorbu malwaru – ať už jde o ransomware, infostealery získávající citlivá data jako hesla a data z bankovnictví, nebo nástroje pro vzdálený přístup. Tyto nástroje pak nabízejí jako službu dalším kriminálním živlům v modelu as a service. Celé útoky je dnes možné objednat formou pronájmu, tedy as-a-service. Cokoli od služby pro zabalení malwaru (packer-as-a-service), aby byl škodlivý kód hůře detekovatelný, po kompletní ransomware útoku.

O modelu RaaS, tedy pronájmu ransomwaru formou služby, mluví nejen Eset už delší dobu. Jak tento model proměnil ransomwarovou scénu?
JS: RaaS zásadně snížil laťku pro vstup do ransomwarového zločinu. Vývojáři vytvoří software, infrastrukturu a nabídnou ji jako balíček partnerům, kteří se starají o průnik do firemních sítích a nasazení. O výkupné se potom dělí, operátoři typicky dostanou menší, třeba desetiprocentní podíl. To vede k masivnímu škálování operací, kdy například kolem rozbitého gangu LockBit bylo kolem 200 partnerů a celý tento kolos na provizích generoval zisky v řádech stovek milionů dolarů.

RŠ: Ransomware dnes funguje na franšízovém modelu, což zjednodušuje práci i státem podporovaným skupinám stojícím za APT útoky, protože to snižuje cenu jejich operací. Spoustu dat a nástrojů útočníci dnes sdílí a díky specializaci fungují mnohem efektivněji. Zároveň je rozkrývání jejich činnosti a mapování propojení mezi skupinami a státy mnohem náročnější.

Když se na darknetu nabízí téměř vše k prodeji nebo pronájmu, znamená to, že dnes si může kybernetický útok z těchto služeb poskládat kdokoli, kdo si zvládne jednotlivé komponenty správně nakoupit?
RŠ: Je to tak. Celý kybernetický útok od počátečního přístupu přes šifrování dat až po vyprání peněz skrze kryptoměny a výběry z bankomatů v Rumunsku si dnes lze koupit bez výrazné počítačové zdatnosti.

Jsou české firmy cílem globálních ransomwarových gangů, nebo zde operují vyloženě lokální skupiny?
JS: Evropa je pro ransomwarové gangy lákavým cílem a Česká republika není výjimkou. Ačkoli polovina obětí ransomwaru jsou americké firmy, máme tu v poměru k velikosti ČR útoků celkem dost. A neútočí zde jen menší skupiny, čas od času se v Česku objeví i útoky vedené těmi největšími jmény z globální scény.

Eset nabízí technologii pro obnovu dat zašifrovaných ransomwarem, která dokáže vrátit změny provedené útočníkem. Jsou tedy firmy používající tuto funkci v bezpečí?
JS: Tato funkce je něco jako záchranná brzda. Pokud s jistotou víme, že na zařízení probíhá chování typické pro ransomware, je už obvykle pozdě na jiné metody obrany. Ve chvíli, kdy začíná probíhat masivní šifrování, umíme tento proces zastavit a zároveň vytvářet stínové kopie, ze kterých je možné vše následně obnovit do stavu před útokem. Ale jak říkám, je to skutečně až ta poslední linie obrany.

Jakou má dnes firma šanci, když se rozhodne útočníkům aktivně bránit?
JS: Výrazně vyšší než si mnoho lidí myslí. Nasazení úplně základních bezpečnostních opatření má obrovský efekt. Na druhé straně stoprocentní obrana neexistuje, ale už několik jednoduchých kroků může útočníkům život výrazně ztížit. Firma tím získá cenný čas na reakci, kdy útočníkovi netrvá minuty získat kontrolu nad celou sítí a všemi daty, ale klidně i dny. Firma tak má dost času na detekci útoku a vhodnou reakci.

RŠ: Útočníci se primárně zaměřují na nejsnáze napadnutelné cíle. Pokud se firma dobře zabezpečí, výrazně sníží pravděpodobnost, že se stane obětí, protože nebude tím nejdostupnějším hříbkem v lese a útočníci své úsilí budou soustředit jinam.

Co když útočníci k proniknutí do firemních systémů využijí zcela novou zranitelnost?
JS: Nové, dosud neznámé díry v softwaru sice představují vážnou hrozbu, ale jejich výskyt a zneužití není tak masivní, jak by se mohlo z titulků v novinách zdát. Nemáme tu každý den tisíce zero-day útoků, drtivá většina útočníků využívá známé a dávno záplatované zranitelnosti. Někdy i pět let staré. Slabá hesla, nedostatečné ověření identity, jako je chybějící dvoufaktorová autentizace, a každé další podcenění bezpečnosti jim pak práci výrazně zjednodušuje.

Přestože jsou zero-day útoky raritní, předpokládám, že je přece jen evidujete. Kdo typicky za takto sofistikovanými útoky stojí?
JS: Sofistikovaní aktéři zero-day zranitelnosti využívají – například skupina RomCom spojovaná s Ruskem nasadila dva zero-day exploity proti Mozilla Firefox (CVE-2024-9680) a Microsoft Windows (CVE-2024-49039). Skupina Sednit, také z Ruska, pak úspěšně využila zero-day zranitelnost v MDaemon Email Server (CVE-2024-11182) proti ukrajinským firmám. Jde tedy o reálnou hrozbu pokročilých aktérů, ale běžné firmy mnohem spíše narazí na útok vinou úplně základní chyby.

Na jaké takové základní chyby v zabezpečení firemních sítí a dat narážíte?
RŠ: Narážíme na chyby, které se opakují stále dokola. Nedostatečné nebo úplně chybějící aktualizování a záplatování systémů. Dalším problémem je zbytečně velká útočná plocha – firmy vystavují do internetu služby a servery, které tam být vůbec nemusí. Špatně nastavená uživatelská práva nebo špatná konfigurace bezpečnostních řešení. To všechno pak vede k situacím, kdy útočníci už v rané fázi útoku získají administrátorský přístup k síti a mají volné ruce.

Jakou roli hraje lidský faktor a procesy ve firmách při (ne)zvládání bezpečnostních incidentů?
RŠ: Naprosto zásadní chybou je v tomto směru nedostatečné vyhodnocování a reakce na bezpečnostní incidenty a alerty. Máme extrémní případy, kdy náš systém u zákazníka vygeneruje čtyřicet detekcí signalizujících probíhající útok, ale ve firmě na to nikdo nereaguje. Útočník v mezičase získá administrátorská práva a sám si v bezpečnostním produktu vytvoří výjimky pro svůj malware nebo produkt rovnou odinstaluje, pokud není chráněn heslem.

JS: Určitý posun přinese směrnice NIS2, která klade větší důraz na management bezpečnostních rizik a zavádí nové povinnosti pro vybrané subjekty, například nepřetržitý monitoring bezpečnosti. Schopnost adekvátní reakce, i o víkendech a státních svátcích, je pro jakoukoli obranu naprosto klíčová.

Kdybychom měli firmě dát radu, na co se má v kyberbezpečnosti zaměřit?
JS: To je komplexní záležitost, ale několik základních pilířů můžeme vypíchnout. Za prvé je to kvalitní bezpečnostní software nasazený a správně nakonfigurovaný na všech koncových bodech i serverech. Ne, nestačí ho jen nainstalovat. Dále pak kontrola toho, že jsou z internetu přístupné jen nezbytné systémy a není zbytečně velká plocha útoku. A automatické by mělo být vyžadování silných hesel a důsledné používání vícefaktorového ověření (MFA), zejména pro administrátorské a další klíčové účty.

Ve firemním prostředí doporučuji vždy povolit Esetu detekci potenciálně nechtěných a potenciálně nebezpečných aplikací protože ty mohou být zneužity útočníky. Samotný bezpečnostní produkt by měl být chráněn jiným než administrátorským heslem, aby se zabránilo jeho neoprávněné modifikaci nebo odinstalaci. A v neposlední řadě, vynucovaný a pravidelně revidovaný princip nejmenších možných oprávnění, kdy má každý uživatel a systém přístup pouze k tomu, co nezbytně potřebuje pro svou práci. Čím více překážek útočníkovi postavíte, tím větší je šance, že ho včas odhalíte.

Říká se, že nejlepší obranou je útok. V poslední době jsou populární videa, ve kterých lovci podvodníků napadají call centra v Pákistánu, Indii a dalších podobných zemích, aby znemožnili zločineckým skupinám okrádat po telefonu lidi na druhé straně světa. Využíváte své znalosti malwaru a různých nebezpečných nástrojů k tomu, abyste útočníkům na oplátku taky trochu zatopili?
RŠ: Naší rolí v žádném případě není útočit na útočníky. Chráníme uživatele a firmy, detekujeme hrozby a informujeme o nich. Pokud narazíme na kriminální aktivitu, spolupracujeme s orgány činnými v trestním řízení. Občas se účastníme mezinárodních operací proti botnetům, ale vždy ve spolupráci s legitimními složkami.

JS: Ta videa znám a jsou zajímavá. Zabezpečení takových center je ale pravděpodobně velmi slabé. V našem světě by potenciální protiútoky byly nejen velmi složité, ale i právně problematické, a proto Eset neprovádí žádné ofenzivní operace. Náš výzkum se zaměřuje na zveřejňování informací o aktivitách, například jako o APT hrozbách v nejnovějším reportu, používaných nástrojích a zranitelnostech v repertoáru útočníků, což jim samo o sobě komplikuje život. Kromě bezpečnostních složek si gangy zatápí někdy i samy, protože není neobvyklé, že na sebe útočí konkurenční skupiny. Kyberkriminální prostředí je jednoduše dynamické.