Pojem ransomware už pravděpodobně všichni známe, ale jaký druh uživatelů dnes napadá nejčastěji a jak se mu bránit? Existuje nějaké obecné, případně konkrétní řešení? Na tyto otázky odpovídá Rudolf Hruška, CTO pro Datacenter Solutions ve společnosti Huawei Technologies Czech.
Co je to ransomware a proč je tak diskutovaným tématem v poslední době?
Ransomware je zvláštní typ škodlivého malwaru, který hackeři obvykle používají ke krádeži a šifrování dat k znepřístupnění systému. Na rozdíl od jiných virů je ransomware doprovázen cílenými organizovanými síťovými útoky. Útočníci poté požádají o zaplacení výkupného za dešifrování systému. Mezi další hrozby patří zveřejnění odcizených dat nebo jejich ebezničení, pokud výkupné zaplaceno nebude.
Ochranou proti takovým útokům by se tedy měla věnovat každá firma…
Ransomware se stal hlavní kybernetickou hrozbou po celém světě a vážně ovlivňuje rozvoj digitální ekonomiky. Podle zprávy o výzkumu ransomwaru z roku 2021 kterou vydala IDC, zhruba 37 % podniků na celém světě utrpělo nějakou formu ransomwarových útoků. Ty ovlivňují jednotlivce, podniky i kritickou národní infrastrukturu. Škody způsobené takovými útoky se neomezují pouze na výkupné, avšak související ztráty jsou šokující. Průměrná doba výpadku je 21 dní podle zprávy o trendu pro rok 2021 vydané společností Coveware. Průměrné celkové náklady na obnovu dat a provozu se meziročně více než zdvojnásobily, ze 761 000 USD v roce 2020 na 1,85 milionu USD v roce 2021. Do této částky ovšem nejsou zahrnuty škody na reputaci a důvěryhodnosti značky.
Pokud se mi do firmy ransomware dostane, je zaplacení výkupného řešením?
Podle nově vydané zprávy průzkumu společnosti Sophos o stavu ransomwaru v roce 2021 úspěšně obnovilo všechna data po zaplacení výkupného pouze 8 % napadených společností a 29 % atakovaných firem získalo zpět méně než polovinu dat. Ta například uvádí, že v České republice se v předchozím roce setkalo s ransomwarem 77 % z oslovených společností.
Dají se vypozorovat v oblasti ransomware nějaké trendy?
Ano, lze najít několik společných rysů. Za prvé, útočníci se zaměřují na velké podniky a infrastrukturu. Předchozí ransomwarové útoky obvykle vypadaly jako rozhazování širokých sítí s cílem někoho ulovit. To se změnilo někdy v roce 2020, kdy si profesionální ransomwarové organizace stanovily jako hlavní cíle velké podniky a infrastrukturu. Výzkum a vniknutí, které musí hackeři podniknout, začalo být obtížnější a časově náročnější. Někdy to trvá týdny nebo dokonce měsíce. Podle jejich názoru se to ale vyplatí kvůli potenciálnímu výnosu. Ransomwaroví útočníci mají tendenci používat k platbám výkupného bitcoiny, přičemž darknet ztěžuje u těchto plateb dohledání. Silné šifrovací algoritmy, bitcoin a darknet dohromady tvoří pro ransomwarové útočníky „železný trojúhelník“.
Dále je tu ransomware jako služba (RaaS). Provozovatelé této „služby“ nyní prodávají ransomware dalším útočníkům prostřednictvím přizpůsobených řešení, členství nebo předplatného. To snižuje překážku vstupu pro spouštění ransomwarových útoků a vedlo k jejich explozivnímu nárůstu výskytu.
Stále častější je také dvojí vydírání, což vede ke zvýšenému riziku úniku dat. Ransomware se neomezuje pouze na šifrování dat a požadavek na výkupné. Útočníci také kradou data a vyhrožují jejich únikem. Takové útoky mohou oběť dostat do zranitelné pozice poté, co jsou její data odhalena.
Za čtvrté, útočníci cílí rovněž vývojáře a dodavatele softwaru. Pokud je škodlivý kód distribuován již jako součást originálních aplikací, pak může vést k jeho velice rychlému šíření. Vývojáři se tak stali pro útočníky rychlým vstupním bodem.
Rudolf Hruška, CTO pro Datacenter Solutions, Huawei Technologies Czech
Ještě horší je, že útoky ransomwaru jsou stále častější. Rychlý rozvoj síťových a informačních technologií, rozšířené používání velkých dat, cloud computingu a mobilního internetu a pokračující popularita digitálních kryptoměn vytvořily správné podmínky pro to, aby se kybernetický ransomware uchytil.
Posledním z trendů je, že útoky ransomwaru mají schopnosti podobné APT – Advanced Persistent Threat (neboli APT). To je komplexní a nepřetržitý síťový útok, který má tři charakteristiky: je pokročilý, dlouhodobý a ohrožující. Pokročilý znamená, že útoky APT vyžadují vyšší přizpůsobení a složitost než tradiční útoky. Jsou také náročné na čas a zdroje, neboť útočník musí prozkoumat a identifikovat zranitelná místa v systému. Dlouhodobý znamená, že útočníci aby dosáhli svých cílů je budou sledovat, získávat a rezervovat si dlouhodobá přístupová oprávnění. Ohrožující znamená, že se zaměřují na vysoce hodnotné organizace. Pokud jsou úspěšné, mohou vést k obrovským ekonomickým ztrátám, politickým důsledkům a zničujícím reputačním ranám.
Ransomware se poprvé objevil na scéně v roce 2013, kdy byl široce rozšířený, bezúčelný a omezený rozsahem. V roce 2017 se světem začal šířit slavný ransomware WannaCry a v letech 2018 až 2019 se útoky ransomwaru začaly vyvíjet od náhodného šíření v síti k šíření prostřednictvím metod, jako jsou phishingové e-maily a RDP útoky prostřednictvím hrubé síly. V roce 2020 začaly týmy na vysoké úrovni přizpůsobovat útoky za účelem vydírání cílených obětí. Útočné schopnosti a hrozby jsou podobné APT.
Co lze s ransomwarem dělat a kde umístit obranné štíty?
Zranitelné společnosti, což jsou téměř všechny, by měly být motivovány ke zvýšení své připravenosti na kybernetické hrozby. Je potřeba schopnost vyhodnotit účinnost řízení rizik dříve, než dojde k narušení nebo útoku.
Vniknutí ransomwaru lze rozdělit do čtyř fází: detekce, implantace útoku, aktivace a šifrování souborů. Tradiční firewallové brány, detekce narušení na síťové vrstvě a antivirový software na hostitelské vrstvě nedokáží proniknutí ransomwaru stoprocentně zabránit.
Ransomware používá další techniky pro zamezení jeho včasného odhalení. Například se vyhýbá statické analýze souborů tím, že dává své programy do balíčků a používá šifrování. Varianty ransomwaru používají náhodné přípony souborů, aby se vyhnuly blokování. V souborových systémech mohou být umístěny soubory návnady pro identifikaci a detekci ransomwaru, avšak významná produkční data mohou být zašifrována předtím, než se ransomware tohoto souboru návnady vůbec dotkne. Ransomware také běží při nízkých rychlostech šifrování, aby se vyhnul monitorování a zachycení detekčním softwarem kvůli abnormální aktivitě. Ransomware pomalu šifruje soubory, aby se vyhnul detekci, která je založena na rychlosti aktualizace dat.
Proč je podnikové úložiště poslední linie obrany?
Ransomwarové útoky lze rozdělit do tří fází. Nejprve se útočníci zaměřují na podnikové servery prostřednictvím zranitelností sítě nebo správy. Poté, co nelegálně získají oprávnění serveru, implantují ransomwarové viry a šíří je v podnikové síti, aby infikovali co nejvíce serverů za účelem získání cenných podnikových dat. Během druhé fáze útočníci iniciují ransomware, aby zašifrovali uživatelova cenná data. Ve třetí fázi útočníci provedou vlastní zálohu a vymažou uživatelská data. Pak nastane vydírání.
Tváří v tvář útokům ransomwaru je proto na jedné straně potřeba zlepšit obranyschopnost na straně sítě, aby se snížila možnost napadení. Na druhou stranu je třeba zvýšit odolnost zabezpečení dat. Konkrétně řečeno, pokud je obranná linie na straně sítě prolomena, existují ochranná opatření, která účinně zabrání šifrování dat, včas varují před útoky ransomwaru a zajistí úplnou a čistou kopii dat pro včasnou a efektivní obnovu systému služeb, když jsou produkční data zašifrována, nebo je dokonce celé datové centrum kontaminované.
V první fázi můžeme implementovat obranu na síťové a hostitelské vrstvě, ale taková opatření nejsou schopna zablokovat 100 % útoků. Během druhé a třetí fáze je nutné využít datové úložiště k ochraně před útoky ransomwaru. Proto je nejlepší myslet na ukládání dat jako na poslední linii obrany.
Existuje nějaká pomoc proti ransomwaru na úrovni datových úložišť?
Ano, například řešení ochrany před ransomwarem od společnosti Huawei s úložištěm typu SAN má dvě verze ochrany: základní a pokročilou.
Základní využívá funkci ochrany dat proti neoprávněné manipulaci na produkčním úložišti k ochraně kopií dat. Pokud dojde k poškození dat v důsledku ransomwarových útoků, lze chráněné kopie dat použít k jejich obnovení. Místní zabezpečené snímky také pomáhají dosáhnout obnovení během několika sekund.
Pokročilá ochrana pak zajišťuje, že pokud je produkční úložiště napadeno hackery a všechna data jsou poškozena, jsou v izolační zóně k dispozici bezpečné kopie dat pro obnovu.
Úložiště SAN obsahuje čtyři technologie na obranu proti útokům. Nejprve vybuduje Air-Gap fyzicky izolovanou ochrannou zónu, která se nazývá izolační zóna. Dále je nasazena sada produkčního úložiště a úložiště v izolační zóně pro zálohování a ochranu produkčních dat. Při nasazení izolační zóny je nutné nakonfigurovat řídící software, který plánovaně řídí link pro propojení z produkčního úložiště do produkční izolační zóny. Když je potřeba zálohovat data, bude komunikační port připojen. Jakmile je zálohování dokončeno, je odpovídající port odpojen, aby byla provedena fyzická izolace. Technologie Air-Gap tím „utěsňuje“ izolační zónu před hackery.
Dále jsou na produkční úložiště a úložiště izolované zóny nasazeny zabezpečené snímky (SAN Secured Snapshots), aby se zabránilo manipulaci s daty. Zabezpečený snímek je snímek s ochrannou lhůtou. Během ochranné doby nelze snímek upravit ani odstranit. Díky bezpečným snímkům si uživatelé mohou užívat absolutního klidu.
Pak je zde šifrování replikační linky. Mezi produkčním úložištěm a produkční izolační zónou se provádí šifrování IPsec, aby se zabránilo odcizení dat během replikace. V neposlední řadě jsou úložiště v produkční i izolační zóně šifrována, aby bylo zajištěno, že data nemohou být z úložiště odcizena, i když dojde k fyzickému zcizení médií z úložiště.
Stejně jako úložiště SAN, úložiště typu NAS také poskytuje základní a pokročilou ochranu proti ransomwaru. Rozdíl je v tom, že úložiště NAS používá k zajištění této ochrany dvě další technologie – detekci a analýzu a šifrování protokolu. Protokolem máme na mysli protokoly NAS, včetně NFS, CIFS a SMB. Tato technologie šifruje data před jejich odesláním servery a úložnými zařízeními, aby byla zajištěna integrita a bezpečnost dat.
Ochranu dnes poskytuje každý výrobce, v čem se dokážete odlišit?
Zde jde o technologie detekce a analýzy, která byla vyvinuta společností Huawei. Je aplikovatelná na úložiště typu NAS, díky tomu, že souborový systém je součástí úložiště. Rychle odhaluje útoky ransomwaru a umožňuje proaktivní ochranu dat s vysokou přesností detekce. Lze ji využít ve všech třech fázích ransomwarových útoků: před, během a po útočné události.
Než se ransomware pokusí modifikovat soubory, tato funkce, konkrétně Ransomware Interception, zachytí útok ransomwaru, aby nebyla poškozena data.
Pokud ransomware začne modifikovat soubory, funkce Real-time Ransomware Detection provádí analýzu souborů. Algoritmy strojového učení, které se učí a analyzují chování I/O, identifikují 99,9 % ransomwarových útoků. Poté, co dojde k detekci, je automaticky vytvořen zabezpečený snímek (NAS Secured Snaphot), aby chránil napadený souborový systém a omezil ztrátu dat. Zároveň je o útoku okamžitě informován správce systému.
Pokud byly již soubory ransomwarem modifikovány, funkce Intelligent Ransomware Detection prozkoumává periodické snímky a porovnává je mezi sebou. Výsledky laboratorních testů Huawei ukazují, že detekce identifikuje 99,9 % virů díky algoritmům strojového učení, které jsou zde použity. V případě, že je snímek shledán infikovaným, systém okamžitě upozorní administrátora.
Funkce detekce a analýzy je patentovaná technologie Huawei. Může být nasazena na produkčním úložišti, i v jeho izolační zóně, aby fungovala jako výkonný nástroj prevence ransomwaru.
Úložiště Huawei jistě stojí v případě zájmu za průzkum.