V Bratislave sa 19. augusta 2016 uskutočnilo neformálne stretnutie s názvom Ransomware: Čo o ňom ešte neviete, ktoré usporiadal celosvetový líder v oblasti bezpečnostných riešení, spoločnosť Trend Micro. Stretnutie bolo zamerané na problematiku ransomware.
Ransom znamená po anglicky výkupné a to je presne to, o čo hackerom pri útokoch ide. Za odblokovanie počítača a sprístupnenie uložených dát si žiadajú sumy v rozmedzí stoviek až desiatok tisíc amerických dolárov a ransomware tak pro počítačové podsvetie znamená skutočne výnosný biznis. Najčastejšie žiadajú kyberzločinci čiastku 400 dolárov zaplatenú v Bitcoinoch.
Ransomware je v podstate špecializovaným druhom malware, ktorý z viac ako 80% využíva techniku zašifrovania dát v napadnutých systémoch a evolučne nadväzuje na ransomware, ktorý žiadal „iba“ o výkupné, ale dáta ešte nešifroval. Nejde pritom o ojedinelú záležitosť, každý mesiac sa totiž objavujú stovky tisíc nových unikátnych vzoriek ransomware.
Účastníkov stretnutia privítal Václav Petrželka, regionálny Account Manager Trend Micro pre ČR a SR, ktorý sa vo svojom úvodnom slove venoval samotnej podstate ransomware aj vážnosti a širším súvislostiam spojeným s týmto typom hrozby. Uviedol napríklad, že iba nahlásené straty amerických užívateľov a organizácií už dosiahli desiatky miliónov dolárov. Realita však bude s najväčšou pravdepodobnosťou oveľa horšia, odhady totiž hovoria približne o 90 tisícich nových úspešných infiltrácií denne.
Václav upozornil aj na to, že drvivá väčšina útokov, až 90%, je vytvorená s cieľom napadnúť jeden konkrétny prístroj, či už stolový počítač, notebook alebo mobilný telefón. Ide o sofistikované bezpečnostné incidenty, ktoré využívajú veľmi dobrú znalosť cieľového prostredia so zámerom vydierať konkrétne organizácie. Spochybnil tiež falošnú predstavu o dlhodobosti útoku ransomware. 60 percent zdrojov – webových stránok s týmto typom infekcie v skutočnosti neexistuje dlhšie ako jednu hodinu.
Svoj účel rýchlo splnia a zaniknú. Počítačoví zločinci sú tak v reálnom bezpečí pred odhalením a jasný nepomer medzi rizikom a možným zárobkom hrá v ich prospech. Riešenia, využívané na vývoj hrozieb typu ransomware, sú veľmi flexibilné a umožňujú rýchlo reagovať na zmeny podmienok. Pružnosť je dokonca taká veľká, že sa dnes začína objavovať aj ransomware, dostupný ako služba – za 5-25% podiel sú na čiernom trhu k dispozícii platformy, ktoré umožňujú jednoduchú tvorbu a aplikáciu vlastného variantu ransomware.
Okrem rýchlej a jednoduchej tvorby nového ransomware patrí medzi závažné dôsledky tohoto trendu tiež veľmi malá šanca na odhalenie skutočných aktérov bezpečnostného incidentu. Inak povedané, peniaze zaplatené za výpalné už s najväčšou pravdepodobnosťou nenájde nikto okrem zločincov.
„V oblasti informačných technológií sa pohybujem už viac ako pätnásť rokov a môžem potvrdiť, že v poslednej dobe dochádza k jasnej zmene v motívoch hackerov. Počítačoví zločinci sa stále častejšie orientujú na generovanie finančných ziskov a ostatné, predtým rozšírené motívy vrátane túžby po uznaní ustupujú do pozadia. Žiaľ, ransomware je presne ten typ hrozby, ktorý tento trend umožňuje a podporuje,“ dodal Václav Petrželka.
Jeho slová potvrdil aj Robin Bay, Sales Engineer spoločnosti Trend Micro a jeden z členov českej pobočky tejto globálnej spoločnosti. Okrem konkrétnych príkladov, napríklad na University of Calgary, kde zaplatili výkupné vo výške 20 tisíc dolárov, účastníkom stretnutia podrobne opísal, ako ransomware funguje a zameral sa aj na možné reakcie v prípade úspešných infiltrácií. Vyvrátil zažitú predstavu, že ransomware cieli iba na lokálne zdroje a upozornil, že k zašifrovaniu môže dôjsť aj u dát, uložených na zdieľaných sieťových diskoch.
Infiltrácie navyše nie sú primárne zapríčinené nedostatočnou softvérovou alebo hardvérovou ochranou, ale zlyhaním ľudského faktoru. Technické prostriedky preberajú svoj podiel viny až v ďalších fázach, keď najmä nedokážu včas alebo vôbec zachytiť následnú komunikáciu. Veľmi dôležitá je preto mnohovrstevná ochrana.
Robin vyzdvihol aj súvislosť počítačovej kriminality s „bežne známou“ zločinnosťou. Vďaka novým možnostiam online kriminality dochádza k poklesu klasickej kriminality a naopak k nárastu tej kybernetickej. Upozornil tiež na to, že hackeri už dávno nie sú iba tínedžeri v prítmí pivníc, ale nájdu sa medzi nimi aj vysoko vzdelaní ľudia s rozsiahlymi znalosťami IT. Venoval sa aj psychologickému pohľadu na úspešnosť tohoto typu hrozby, ktorá je vysoká vďaka zameraniu na strach obetí – napríklad zamestnanci často nechcú priznať, že o dáta prišli, a tak radšej zaplatia.
Strach pôsobí aj u súkromných užívateľov, ktorým sa kyberzločinci často vyhrážajú, že zverejnia ich intímne fotografie, citlivé osobné údaje a pod. Psychológiu útočníci využívajú tiež pri jednaní o výške výkupného, kedy obetiam dávajú určitý čas na rozmyslenie a cenu s pribúdajúcim časom zvyšujú.
Boj s ransomware však majú vo svojich rukách stále samotní užívatelia. Okrem technických prostriedkov môžu plány hackerov zmariť predovšetkým zálohovaním v režime 3-2-1 (3 kópie na 2 rôznych zariadeniach s 1 geograficky oddelenou zálohou nepripojenou k primárnej sieťovej infraštruktúre), pravidelnou aktualizáciou, definovaním a presadzovaním bezpečnostných politík aj zvyšovaním bezpečnostného povedomia užívateľov. Pravdepodobne najdôležitejšie však je výkupné nikdy neplatiť! Jednak existujú prípady, kedy zaplatenie obetiam nepomohlo, jednak úhradami ransomware nezmizne – práve naopak.
„Stále častejším cieľom ransomware sú dnes bohužiaľ aj štátne inštitúcie a sektor verejných služieb vrátane zdravotníctva. Je to pochopiteľné, pretože napríklad v zdravotníckom zariadení je obhájiteľnejší nákup liečebného prístroja než kvalitnej ochrany proti počítačovým hrozbám. Iba v Spojených štátoch amerických sa vlani s úspešným incidentom tohoto typu stretla viac ako polovica nemocníc,“ upozornil Robin Bay.
„V slovenskom prostredí takúto presnú štatistiku nemáme, pretože väčšina štátnych inštitúcií i súkromných firiem napadnutie ransomware a prípadne aj zaplatenie výkupného tají. To by však mala zmeniť nová smernica Európskej únie, ktorá nariaďuje závažné bezpečnostné incidenty oznamovať,“ dodal Robin Bay.
