Malware známý jako ransomware

Malware známý jako ransomware

 

Vzhledem k velkému, stále se zvyšujícímu objemu výskytu malware známého jako ransomware na českém a slovenském trhu jsem se rozhodl toto téma trochu rozebrat a nastínit, jaké problémy nám přináší a jak se účinně bránit. Zatímco dokončuji tento článek, 2 potencionální zákazníci dnes byli infikováni ransomware a mají zašifrovaná data (včetně záloh).

Ransomware pochází ze spojení výrazů „ransom“ a „software“, tzn. software požadující výkupné/výpalné. Existují různé typy ransomware, které se liší svojí funkcí – nicméně všechny mají stejný cíl, a to donutit oběť zaplatit výkupné. Na počátku byl hlavní cíl virů znemožnit práci s aplikacemi. Později se naopak malware snažil být doslova neviditelný a používal různé stealth techniky a dnes se opět vracíme zpět do starých časů, kdy se ransomware vlastně snaží znemožnit práci uživatele, případně ho připravit o data. A toho, jak jistě uznáte, si uživatel povšimne 🙂

Pokud chce uživatel opět získat možnost používat systém nebo data, musí zaplatit výkupné (ransom). Nenechte se mýlit, ve většině případů Vám po platbě útočníci opravdu pomohou. Mají své vlastní helpdesky, technickou podporu atd. Jste zde opravdu v „dobrých rukou“. Útočníkům záleží na „dobré pověsti“ a proto poskytují podporu pro obnovu dat, aby se lidé nebáli zaplatit.

Virtuální měna Bitcoiny

Výkupné se platí virtuální měnou tzv. „Bitcoiny“, což je internetová platební síť. Definice o Bitcoinech z Wikipedie říká:  „Hlavní unikátností Bitcoinu je jeho plná decentralizace; je navržen tak, aby nikdo, ani autor nebo jiní jednotlivci, skupiny či vlády, nemohl měnu ovlivňovat, padělat, zabavovat účty, ovládat peněžní toky nebo způsobovat inflaci.“ Bitcoiny jsou tedy snem všech podvodníků, nicméně používají je i legitimní firmy. Pro nás je důležité, že pokud útočníkům zaplatíte, nikdo je nemůže dohledat.

Základní typy ransomware

a) File encryptor – tento druh šifruje osobní soubory/složky (například obsah adresáře Dokumenty, tabulky xlsx, obrázky, videa apod.)
b) Win locker
 – tento druh zobrazuje přes celou Vaši obrazovku obrázek, který blokuje další okna a požaduje platbu. Příklad takového obrázku:

c) Crypto-ransomware – nejzákeřnější a bohužel velmi rozšířená varianta šifruje data nejen na lokálním pevném disku, ale především na discích síťových (shares) a tímto je největší hrozbou, především pro firmy, protože ransomware dokáže zašifrovat nejen data, ale i jejich zálohy, pokud jsou dostupné na nějakém síťovém disku. Vzhledem k tomu, že drtivá většina českých firem používá D2D backup (zálohování z disku na disk), tak je riziko opravdu maximální.

Šíření ransomware

Ransomware se většinou šíří pomocí emailů jako ZIP archiv obsahující spustitelný soubor, pomocí botnet sítí a trojských koňů. Po spuštění se většinou ransomware zkopíruje na disk uživatele do osobní složky a přidá klíč do registrů pro spuštění po startu. Poté se ransomware připojí na určený command & control server, který mu vygeneruje privátní/veřejný klíč například 2048 bitů a odešle zdrojovému počítači veřejný klíč. Tento klíč je poté použit k zašifrování dat.

Jak se tedy bránit?

Největším problémem ransomware je jeho polymorfnost, tedy velké množství variant generovaných v relativně krátkém čase, a tím jsou klasické antiviry spoléhající na pravidelně aktualizované databáze v podstatě vyřazeny ze hry. I databáze v CLOUDu, ačkoli aktualizovány každou minutu, nejsou účinné, protože jsou pořád jen aktivní ochranou, tzn. že nejdříve musí být hrozba, a pak zpětně řešíme jak se proti ní chránit. Opravdovou odpovědí na ransomware a moderní malware je proaktivní bezpečnost.

Proaktivní bezpečnost spočívá v tom, že dokážeme detekovat neznámé hrozby. Jak to funguje?

Představte si letištní kontrolu, která dostala fotografii identifikovaného zločince a porovnává ji s každou osobu, která prochází. To je klasická aktivní ochrana, jako je například antivirus, tzn. spoléhající na pravidelně se aktualizující signatury (virové báze).

Teď si ale představte kontrolu, která je zaměřena na hledání výbušnin, drog nebo střelných zbraní. Přijde Vám to běžné? To je klasický příklad proaktivní ochrany. Na základě obecného chování víme, že není běžné mít tyto předměty u sebe nebo v zavazadle. Proaktivní ochrana se v běžném životě na kritických místech praktikuje v maximálním možném rozsahu. Je načase zavést stejnou ochranu v naší síti!

KTERÉ TECHNOLOGIE MĚ TEDY OCHRÁNÍ – 5 hlavních bodů

Odpověď je jednoduchá, proaktivní 🙂 – tedy:

1. IDS/IPS

Jednou z nejrozšířenějších proaktivních ochran je technologie IDS/IPS (Intrusion Detection System/Intrusion Prevention System), někdy označovaná jako IPS. Jedná se o proaktivní bezpečnost, která monitoruje veškerý síťový provoz a snaží se odhalit podezřelé aktivity. Mezi ně nepatří jen konkrétní útoky, ale i veškeré předcházející aktivity jako skenování portů, zjišťování verzí aplikací a dalších informací potřebných pro finální útok.

Existují dva základní druhy IDS/IPS:

Network IPS – jedná se o řešení na bráně, které centrálně chrání celou naši síť.

Host-based IPS – jedná se o řešení na koncových klientech, které pak zachytává především útoky od jiných napadených stanic a v případě notebooků chrání systém v jiných sítích.

2. Detekce malware (command & control) komunikace

Jednou z nejnovějších a nejdůležitějších forem eliminace ransomware je detekce jejich komunikace. Naprostá většina malware dnes z různých důvodů komunikuje směrem do internetu, malware si stahuje nové verze z internetu, získává informace, na které servery má útočit, pokouší se šířit do dalších sítí atd. V případě ransomware, který se po instalaci snaží spojit s určeným command & control serverem a získat klíč potřebný pro zašifrování dat, jednoduše zablokujeme komunikaci a ransomware si nebude schopný tento klíč nutný pro zašifrování souborů stáhnout.

3. Web Protection

Naprostá většina malware dnes přichází do počítačů přes http a https protokol. Správnou implementaci ochrany internetového provozu však zvládne jen málo firem, a proto většinou končí velkými protesty uživatelů a nakonec snížením ochrany na minimum. HTTPS protokol pak většina středních a menších firem neskenují vůbec. Často tudy pronikne do sítě zákazníka nějaký škodlivý kód, který přidá Vaši síť do botnet sítě, kterou k Vám pronikne ransomware. Správnou ochranou HTTP i HTTPS protokolů tak omezíte možnost penetrace ransomware do Vaší sítě na minimum.

 

4. Device Control

Další cestou do Vaší sítě jsou samozřejmě přenosná média, která uživatelé používají v různých nezabezpečených sítích, a pak i ve Vaší firemní síti. Díky technologii ochrany přenosných zařízení můžete toto nebezpečí minimalizovat.

5. Email Protection

Emailová komunikace je jedním z hlavních nástrojů šíření ransomware. Proto není dobré tuto ochranu podceňovat. I když má většina firem nějakým způsobem ochranu emailové komunikace řešenou, spousta firem v ní má stále závažné nedostatky.

Toto je hlavních 5 bodů, které vám pomůžou úspěšněji se chránit proti moderním škodlivým kódům, jako je ransomware. V Čechách i na Slovensku mají uživatelé jen minimální povědomí o bezpečnosti a proto pomyslným šestým bodem by mohla být osvěta mezi uživateli, tzn. školení v IT bezpečnosti.