Ransomware, to je počítačové výpalné a jeden z možných útoků nultého dne. Jak pracují a jak se lze proti těmto útokům nejen proti osobnímu počítači, ale zejména proti serverové podnikové infrastruktuře bránit, jsme se bavili s René Pospíšilem, obchodním ředitelem is4technologies.
Co vlastně znamená ransomware?
Ransomware pracuje způsobem, že útočník zašifruje bez vašeho vědomí vaše data, a pak požaduje výpalné za jejich zpřístupnění. Ransomware tedy znamená „počítačové výpalné“. Pokud nezaplatíte, nedostanete se k vašim datům, neboť klíč má hacker. Ransomware je za poslední tři roky velmi úspěšná forma útoků přicházejících z internetu (viz graf) a patří k nejnebezpečnějším útokům v oblasti malwaru. Nejproblematičtější je, že většina antivirových řešení chrání nedostatečně proti jeho mutacím, proto je potřeba požívat vysoce kvalitní antimalwarovou ochranu na bázi heuristických metrik ve více vrstvách. Jen samotný malware Cryptolocker „vytěžil“ více než 600 milionů korun z nechráněných zákazníků, používajících nedostatečnou antivirovou ochranu.
Ransomware je za poslední tři roky velmi úspěšná forma útoků přicházejících z internetu (viz graf). Nejproblematičtější je, že většina antivirových řešení chrání nedostatečně proti jeho mutacím. A proto je potřeba požívat vysoce kvalitní antimalwarovou ochranu na bázi heuristických metrik ve více vrstvách.
Do jakého druhu zařízení se může ransomware dostat?
Ransomware se může dostat do každého počítače v infrastruktuře s operačním systémem, tedy jak do PC, tak do serveru, teoreticky do jakéhokoliv systému, který lze zašifrovat. Náchylné jsou především operační systémy od firmy Microsoft. Jako každý malware, i ransomware využívá zranitelnosti operačního systému. Šíří se například z infikovaných stránek, z nichž si uživatel nechtěně stáhne nějaký kód, plugin, který získá přístup k vašemu operačnímu systému. Pak už může začít šifrovat vaše disky. Útočníci typicky využívají sociální média, legitimní stránky, které nakazí škodlivým kódem, nebo vám jej pošlou v infikované příloze e-mailu.
Znamená to tedy, že základní ochrany Windows Essentials proti ransomwaru nefungují?
Je to tak, Windows Essentials proti ransomwaru prakticky nefungují.
Znáte nějaké příklady napadení ransomwarem?
Máme už četné zkušenosti s napadením ransomwarem i z našeho trhu, nemohu ale jmenovat zákazníky bez jejich souhlasu. Před koncem roku 2015 nás například kontaktovala nadnárodní korporace z oblasti stavebnictví se žádostí o pomoc. Měla ransomwarem zašifrované vlastní servery.
Druhá firma, které jsme proti ransomwaru pomáhali, je významná a velmi známý český softwarehouse, který se zabývá vývojem aplikací. Také měli zašifrované servery, dokonce zdrojové kódy vlastních vyvíjených aplikací.
Z obou příkladů vyplývá, že jde o velký problém, kterému by se mělo aktivně předcházet. Správnou ochranou je výkonné antimalwarové řešení, které není závislé na pouhých signaturách malwaru, jeho součástí by měly být heuristické Algoritmy specializované na Ransomware. To znamená, že takový antimalware je schopen rovněž rozpoznat, co aplikace v systému dělá. Pokud se pak nějaká aplikace snaží něco nelegitimně zašifrovat, musí být schopna toto počínání zachytit už při samotném útoku, ještě než zná signaturu neznámého malwaru. Jde o typické „útoky nultého dne“. Díky heuristickým algoritmům už proti nim existují konkrétní metriky a postupy, jak jim odolat.
Existuje něco pro ochranu nejen proti ransomwaru, ale proti všem útokům nultého dne na našem trhu?
Samozřejmě, například IS4 Technologies nabízí ochranu jako Country Partner neboli zástupce firmy Bitdefender pro ČR a Slovensko. Bitdefender je vynikající právě v oblasti antimalwarové ochrany právě v oblasti holistických skenů pro ochranu proti útokům nultého dne, včetně anti-ransomwaru. Bitdefender totiž vyvinul „vakcínu“ proti ransomwaru i proti všem známým i neznámým útokům tohoto druhu. Základem jsou heuristické metriky, které zabrání podezřelému chování, ještě před samotným zašifrováním dat. Kromě toho má Bitdefender velmi účinné a úsporné řešení ochrany pro virtualizovaná prostředí díky API pro většinu rozšířených hypervisorů – od VMware přes Citrix, Windows Hyper-V až po opensource KVM a další z OpenStacku.
Německá nezávislá organizace organizace AV Test s globálním púsobením potvrzuje počtvrté v řadě rok co rok, že Bitdefender překonává konkurenci. A zároveň i ostatní organizace třeba AV Comparatives, která vydala třeba testy zaměřené právě na heuristiku a ochranu proti útokům nultého dne, to potvruje také. Poslední test s tímto zaměřením z března 2015 to prokázal také, Bitdefender se zde umístil s přehledem daleko před ostatními na prvním místě.
Kvalita Bitdefenderu spočívá právě ve skutečnosti, že používá čtyřvrstvou ochranu.
První vrstva je signaturová (s updaty do jedné hodiny). Druhá je technologie sandboxu (analýza ve vlastním virtuálním prostředí před spuštěním v OS), kde se prověřují stahované soubory v bezpečně oddělené zóně, ještě než jej pustí k operačnímu systému. Třetí je Active Threat Control (ATC), jež monitoruje v aktivním prostředí každou aplikaci, která není na tzv. white-listingu.
Čtvrtá, poslední ochrana se opírá o cloudové řešení Bitdefenderu Nimbus nebo komerčně Gravity Zone. Jde o hloubkovou analýzu s garantovanou imunizační dobou tři sekundy pro všech více jak 500 Miliónů chráněných počítačů. Gravity Zone je totiž celosvětově největší bezpečnostní čítající 1 600 serverů provádějících pomocí umělé inteligence a strojového učení různé analýzy korelací bezpečnostních událostí a kde běží více jak 100 různých služeb za ůčelem odhalení podezdřelého chování a reputace aplikací. Podstatné je, že zde běží procesy na něž by nestačila lokální výpočetní síla, například osobního počítače.
Díky čtyřvrstvé ochraně a Vakcíně proti neznámým hrozbám a útokům , žádný zákazník používající Bitdefender nebyl nikdy ransomware napaden. Na to jsme samozřejmě hrdí.
Umí ochránit proti ransomwaru a dalším útokům nultého dne jiný antimalware také?
Ačkoliv bychom to očekávali, že by to měl umět „by default“ každý antimalware. realita je alarmující, neboť většina řešení na tento zákeřný princip „naletí“ a klienti pak nejsou chránění vůbec nebo jen částečně než ransomware zmutuje… a výše uvedené příklady napadení jsou smutným příkladem, že stávající tradiční signaturový přístup k ochraně proti ransomware nestačí. Problém spočívá v účinné detekci a ochraně proti neznámým hrozbám, tj. proti útokům nultého dne. Viry, pro které tyto antimalwary ještě neznají signaturu, prostě projdou, protože nemají více vrstev ochrany, zejména ATC a vysoce výkonnou analýzu kódu aplikací, jakou má Bitdefender v cloudové Gravity Zone. Navíc, jakmile nějaký útočník vypustí variaci už třeba známého viru s jinou signaturou, pokud nemají více vrstvou ochranu a především kvalitní heuristické analýzy specializované na odhalení ransomware, pak takový virus projde. Většina běžných technologií na útoky nultého dne už dnes nestačí, tak tomu bohužel je.
Kde a jak lze Bitdefender získat?
Bitdefender lze získat v České republice a na Slovensku u prodejních partnerů v distribuční síti IS4 Technologies.
Seznam certifikovaných partnerů je na stránkách http://www.bitdef.cz.
Spotřebitelské (B2C) produkty Bitdefenderu pak lze nakoupit přímo na stránkách společnosti Bitdefender. Jako zástupce Bitdefenderu jsme produkty přeložili do češtiny a pro Českou republiku a Slovensko dáváme podporu v češtině.
Kdo je vlastně Bitdefender?
Bitdefender je evropská nadnárodní společnost, která se zabývá bezpečnostními technologiemi už více než 15 let. Působí a dodává svoje bezpečnostní řešení na globálním trhu v Evropě, USA i Asii.