.

Kryptoviry na vzestupu

Jiří Jinger

01.06.2020


Kryptoviry na vzestupu

Kyberzločinci ve svém úsilí nepolevují a jejich metody je stále sofistikovanější. Nově zapojují i technologii umělé inteligence, která zkomplikuje odlišení útoku od legitimního provozu  

 

V posledních měsících jsme zaznamenali hned několik velmi zákeřných kybernetických útoků, vedených prostřednictvím vyděračského malwaru, tedy ransomwaru. Na konci loňského roku podlehla útoku ransomwaru těžební společnost OKD a následně byl ochromen i provoz benešovské nemocnice. V době krizového stavu kvůli šíření koronaviru a nemoci Covid-19 byl útokem ransomwaru zásadně omezen také provoz brněnské Fakultní nemocnice. Je nadmíru jasné, že ransomware bude i nadále představovat nejnebezpečnější a nejčastější typ útoku. 
 

Ransomware se vyplácí

Na rozdíl od ostatních typů kyberútoků je ransomware přímo spojen s finančním prospěchem pro útočníka, pokud tedy není primárním účelem útoku cíl pouze poškodit a výkupné nevymáhat. Mechanismus je přitom velmi prostý: kryptovirus napadne počítačovou síť a zašifruje data na pevných discích počítačů a/nebo serverů. Všechny napadené stroje jsou tím pádem nepoužitelné a za jejich dešifrování požaduje útočník výkupné (odsud pochází název ransomware), často splatné v nevysledovatelné kryptoměně. Napadená organizace má na výběr – zaplatit výkupné (což ale samozřejmě neznamená, že útočník data skutečně dešifruje), nebo obnovit veškeré části napadené infrastruktury ze záloh (pokud je má k dispozici).

Škody způsobené ransomwarem jsou skutečně masivní. Například jen ve Spojených státech zasáhli v minulém roce kyberútočníci ransomwarem téměř 1 000 úřadů, zdravotnických zařízení a vzdělávacích organizací, kterým způsobili škody ve výši 7,5 miliardy dolarů. Na vyplacení výkupného, obnovu ze záloh a nasazení obranných opatření vynaložily americké firmy, města či úřady přes 167 milionů dolarů. Rozhodování, zdali útočníkům zaplatit, nebo se pokusit obnovit data vlastní cestou je vždy složité. Například americká Atlanta vynaložila na obnovu systémů a dat napadených ransomwarem 2,6 milionu dolarů, zatímco útočníci požadovali výkupné ve výši 52 tisíc dolarů. Není divu, že se mnoho firem a organizací rozhodne útočníkům výkupné zaplatit, přestože nemají absolutně žádnou jistotu, že svoje data opravdu získají zpět.
 

Na počátku byl e-mail

Útoky ransomwaru opět potvrzují známé pravidlo, že nejslabším místem podnikové sítě jsou sami zaměstnanci. Kyberútočníci totiž zpravidla využívají e-maily, u kterých je podvržen jejich odesílatel a které obsahují přílohy s kryptovirem, skrytým například v souboru vydávaném za fakturu. Nic netušící uživatel soubor otevře a nákaza má prakticky volnou cestu do jeho počítače i dále do sítě.

Největším rizikem je stále stoupající „kvalita“ e-mailů s nebezpečným obsahem, které je stále náročnější rozpoznat od legitimních zpráv – a to jak pro samotné uživatele, tak pro běžná bezpečnostní řešení. Jak jsme zmínili, potenciální „odměna“ pro ransomwarového útočníka je dost vysoká, takže se vyplatí zapracovat na důvěryhodnosti útočných e-mailů. Zatímco dříve byly hlavním revírem tohoto typu kyberútočníků anglofonní země, dnes neváhají připravovat velmi sofistikované útoky také pro zasažení uživatelů komunikujících v jiných jazycích, včetně češtiny. Za tímto účelem si najímají překladatele i grafiky, aby jejich podvržené e-maily zmátly co nejvíce uživatelů. I automatizované systémy navíc dnes dokážou vytvářet e-maily, který budou pro příjemce prakticky k nerozeznání od legitimní komunikace. Doba, kdy jsme podvržený e-mail snadno poznali podle špatné češtiny, je tedy nenávratně pryč. Stále přitom platí, že masivní ransomwarový útok nepředstavuje, v porovnání s potenciálním ziskem kyberútočníka, nijak zásadní náklad.
 

Stroje útočí

Situace na frontové linii mezi kyberútočníky a dodavateli bezpečnostních řešení se neustále vyvíjí a obě strany nasazují nové zbraně. Při ochraně před ransomwarem i dalšími typy kybernetických útoků jsou stále častěji zapojovány technologie strojového učení, umělé inteligence a analýzy velkých dat, jejichž úkolem je rozpoznat zatím neznámé typy útoků na základě detekce nestandardního síťového provozu nebo podezřelého chování aplikací. Kyberútočníci ale nezahálejí a nasazují podobné zbraně. Na jedné straně je to automatizace ransomwarových útoků, které mohou ve velmi krátké době a s minimálním úsilím na straně útočníka postihnout obrovské množství napadených subjektů. Pak je to ale také využití umělé inteligence ke zvýšení sofistikovanosti útoků, kdy je stále složitější rozpoznat podvržené e-maily od legitimní komunikace – jak pro bezpečnostní řešení, tak pro poučené a obezřetné uživatele. 
 

Útoky na cloudové služby 

Dalším trendem, který kyberútočníci pečlivě sledují, je migrace podnikových systémům, aplikací a dat do cloudu. Právě flexibilita, jako jedna ze zásadních předností cloudu, je současně jeho největší slabinou. Hrozí totiž riziko špatné konfigurace a nedostatečného zabezpečení na straně poskytovatele cloudu, stejně jako útoky na služby poskytované třetími stranami. Při velkém počtu různých cloudových zdrojů a služeb je stále složitější je správně řídit, nastavit a zabezpečit. Právě proto se cloud stává stále častějším cílem kybernetických útoků.
 

Vlastní síly často nestačí

Firmy se musí vyrovnat s rostoucí intenzitou a zákeřností kybernetických útoků, přestože k tomu často nemají interní zdroje. Samozřejmostí je ochrana perimetru a všech koncových zařízení, ideálně s pomocí bezpečnostních řešení využívajících technologii strojového učení, se kterou dokážou rozpoznat i zatím nepopsané varianty malwaru a další typy útoků, společně s vysokou mírou automatizace, díky které lze většinu incidentů klasifikovat a vyřešit bez zásahu administrátorů. Naprosto nezbytné je také průběžné školení uživatelů, kteří se zpravidla jako první setkají s hrozbami, které projdou i přes několik stupňů ochrany. Právě koncoví uživatelé totiž představují poslední obrannou linii před podvrženými e-maily, vytvořenými s pomocí umělé inteligence, které budou pro bezpečnostní nástroje nerozpoznatelné od legitimní komunikace. Samostatnou kapitolou je pak zabezpečení cloudu, vyžadující odlišné nástroje a postupy. Ve světle nových hrozeb a migrace do cloudu je pochopitelný současný zvýšený zájem o řízené služby kybernetické bezpečnosti u firem ze všech oborů.