• Tak už ho taky mám a co teď s ním? Pár rad, pokud jste se stali také majitelem nějakého ransomware

    kybern obrO ransomware Petya/NotPetya/Petr.Wrap nebo o dalších názvech toho nepříjemného kusu software se toho psalo už hodně. Ale co v tuto chvíli dělat dál?

    Vše záleží na tom, co jste za organizaci. Pokud je vaše společnost zařazena mezi kritickou infrastrukturu nebo významný informační systém, máte povinnost nahlásit kybernetický bezpečnostní incident na NCKB - https://www.govcert.cz/

    Další záležitostí je případná (částečná) náhrada škod. Pokud má vaše společnost pojištění, je vhodné si zjistit, zda se pojištění vztahuje i na takovouto událost a co pojišťovna bude potřebovat doložit. V takovém případě je pravděpodobné, že bude nutné doložit trestní oznámení (neznámý pachatel) a případně znalecký posudek. Trestní oznámení je vhodné podat na krajských ředitelstvích PČR.

    A zde se dostáváme k tomu, co je nutné udělat pro zajištění potřebných dat, případně co udělat pro záchranu alespoň části z nich.

    Jako první krok je potřeba evidence napadených počítačů. To znamená výrobní/sériové číslo, spárované číslo disku (vysvětlím později), doba od kdy je počítač nedostupný. Zároveň je potřeba zjistit, kolik je celkem potřeba diskové kapacity pro uložení binárních kopií disků. Tyto zálohy by měly být pořízeny a uloženy ve dvou verzích, z vlastní zdrojové kopie následně uděláme ještě pracovní. Tedy Jedna pro znalce, jedna jako originál pro naši potřebu a třetí z nich použijeme pro obnovu dat. Čtvrtý objem pak použijeme na obnovu smazaných dat.

    Dalším krokem je tvorba záložní binární kopie disku. Pro tvorbu stačí použít jakoukoliv Linux distribuci, osobně doporučuji CD nebo USB verzi KALI Linux, DEFT nebo jiného nástroje pro forenzní účely. Cílem je tvorba maximálně přesné kopie, která bude obsahovat i „volný“ prostor, tuto kopii dále použijeme pro obnovy dat. Tuto práci musí provádět člověk znalý Linuxu, aby nedošlo k pochybení, jedná se o práci časově náročnou (v řádu hodin), stejně tak náročná je pak tvorba hashí výstupu. Jsou nástroje, umožňující obě akce provést v ten samý okamžik, ale nemusí být v daný okamžik dostupné.

    Příklad:

                    /dev/sda          zdrojový disk zasažený ransomware Petya

                    /dev/sdb          cílový disk pro uložení bitové kopie (doporučuji použít např. NTFS nebo EXT4)

    Příkaz pro připojení disku

          mount /dev/sdb /mnt

    Příkaz pro kopírování:

          dd if=/dev/sda of=/mnt/[DiskSN].dd bs=8M

    V případě chyb na disku je pak možné použít například dd_rescue nebo jiný nástroj. Dále, je potřeba, aby u uvedeného byl přítomen soudní znalec a předešlo se tak možným námitkám na téma podvržení datových záznamů.

    Po ukončení vytváření kopie je nutné zajistit možnost detekce změny. Nejjednodušším mechanismem je tvorba hashe disku, ukázkové příkazy jsou níže, stačí jeden z výstupů. Pokud disk nevykazoval problémy při čtení, hash je potřeba vytvářet z disku. Pokud problémy při čtení vykazoval, hash je nutné udělat nad souborem, protože každé čtení vytváří jisté množství chyb, které se promítnou do výstupu. V takovém případě není možné úspěšně data verifikovat.

    Příkaz pro tvorbu hashe SHA256:

          sha256sum -b /mnt/[DiskSN].dd.sha256

    Příkaz pro tvorbu hashe SHA256:

          sha384sum -b /mnt/[DiskSN].dd.sha384

    Příkaz pro tvorbu hashe SHA256:

          sha512sum -b /mnt/[DiskSN].dd.sha512

    V tuto chvíli máme zálohu dat, jeden disk si odnese soudní znalec. Samozřejmě tu jsou jisté administrativní náležitosti, jako je NDA, potvrzení převzetí atd. V tuto chvíli se budeme věnovat postupu, jak obnovit alespoň část dat. Dopředu upozorňuji, že dobrým zvykem, který má svůj důvod je vždy uchovat alespoň jednu kopii nedotknutých zdrojových dat. To znamená, vytvořte si kopii dat na disku a pracujte teprve s nimi.

    Operační systém Linux obsahuje nástroj foremost, což je utilita schopná najít některé soubory a obnovit tak data. Stejným způsobem je možné použít nástroje např. pod Windows, namátkou vybírám pár odkazů, které se mohou hodit:

    https://www.powerdatarecovery.com/data-recovery/mft.html

    http://www.runtime.org/gdb.htm

    http://www.ntfs.com/recovery-toolkit.htm

    http://karanpc.com/r-studio-latest/

    Pokud budete chtít pod Windows připojit obraz disku, je možné použít například utilitu OSFMount. Ale co v tuto chvíli pod Linuxem?

    Prvním krokem je připojení dalšího disku, určeného pro obnovu dat. Předpokládám, že se používá Kali linux, takže opět není popsáno jak doinstalovat potřebné balíčky.

                    /dev/sda          disk obsahující Kali linux

                    /dev/sdb          disk obsahující bitové kopie disků

                    /dev/sdc          cílový disk pro obnovené soubory

    Příkazy pro připojení disků

          mkdir -p /home/source /home/target

          mount /dev/sdb /home/source

          mount /dev/sdc /home/target

    Příkazy pro vytvoření cíle obnovy a její spuštění:

          mkdir -p /home/target/[DiskSN]

    foremost -t all -i /source/[DiskSN] -o /home/target/[DiskSN] >/dev/null

    Po dokončení obnovy dat, která bude trvat dost dlouho, se objeví struktura adresářů pro každý typ definované přípony (rozpoznaná struktura dat). Uvedené soubory je nutné zkontrolovat a poté ověřit jejich konzistenci. Kontrola se provádí na jakémkoliv systému, který má aktualizovaný antivirový software, jedná se o běžnou kontrolu. Pravděpodobně u velkého množství souborů upozorní na poškozenou strukturu.

    Následuje kontrola, které z těchto souborů jsou čitelné a použitelné. Uvedené závisí na stavu NTFS před zašifrováním MTF tabulky, běžně se účinnost pohybuje okolo 10%. Pokud budete mít štěstí, může se vám podařit obnovit vše. Případně můžete zkusit připojit obraz disku pod Windows a spustit některý z nástrojů na obnovu souborů.

    Autor: Jan Dušátko, redaktor ICT SECURITY a ICT NETWORK NEWS
    Specialista v oblasti šifrování a bezpečnosti

  • Studie ukázala, že ​​přichází nový typ kyberútoků s cílem masivně poškozovat firmy

    V budoucnu se setkáme s novým typem ničivých kybernetických útoků, tzv. DeOS útoky. Ty budou mít jediný cíl – napáchat maximální škody a zničit veškeré zálohovací mechanismy, které organizace potřebují k obnově systému a dat.

    S těmito závěry přišla studie Cisco 2017 Midyear Cybersecurity Report, která pravidelně mapuje globální trendy a situaci v kybernetické bezpečnosti. Studie dále poukazuje na to, že je na vzestupu obchod s vyděračským softwarem, ransomwarem, a jeho spuštění se pro útočníky stává stále snazším. Větší škody ale globálně způsobí útoky využívající sociálního inženýrství. Ty se zaměřují na konkrétní firmy a snaží se donutit oběť, aby útočníkovi převedla své peníze. Za 3 roky si takto hackeři vydělali 5,3 miliardy dolarů. Studie také přinesla závěry průzkumu mezi 3000 bezpečnostními profesionály, který ukázal, s jakými největšími výzvami se potýkají jednotlivá průmyslová odvětví.

    „Nedávné globální útoky ransomwaru WannaCry a Nyetya ukázaly, že tradiční útoky vyděračských softwarů se stávají stále ničivějšími. Odhadujeme, že jsou tyto incidenty předzvěstí nového typu, tzv. DeOS útoku, který dokáže napáchat mnohem větší škody, a ze kterého se napadené organizace budou jen těžko vzpamatovávat,“ říká Milan Habrcetl, bezpečnostní expert společnosti Cisco a doplňuje: „Nové možnosti kybernetickým útočníkům otevírá také rychlý rozvoj internetu věcí. Nedávná aktivita některých internetových robotů provádějících nežádoucí činnost (tzv. botnetů) naznačuje, že útočníci mohou položit základy počítačových hrozeb s obrovským dopadem, které by potenciálně mohly narušit i samotný provoz internetu. Dnes vidíme, že lépe na takové útoky reagují firmy, které průběžně monitorují provoz v síti a bezpečnostní řešení je její součástí.“

    Pro minimalizaci těchto škod je klíčová doba, za kterou organizace dokážou nový kybernetický útok odhalit. Společnost Cisco pravidelně měří schopnost svých bezpečnostních řešení nové hrozby odhalit. Od listopadu 2015 snížila společnost Cisco průměrnou dobu odhalení útoku z 39 hodin na současných 3,5 hodiny (měřeno v období listopad 2016 až květen 2017).

    Ransomware lze snadněji objednat

    Výzkumníci společnosti Cisco monitorovali vývoj kybernetických hrozeb v první polovině roku 2017 a zjistili i nové postupy útočníků. Ti stále častěji využívají technik, které vyžadují uživatelovo kliknutí na infikovaný odkaz či přílohu emailu. Hackeři dnes vyvíjejí malware, který nemá formu klasického souboru, ale ukládá se rovnou do paměti. Tento typ je mnohem náročnější detekovat a analyzovat, neboť se automaticky vymaže po restartování počítače. Útočníci také stále častěji spoléhají na anonymizovanou a decentralizovanou infrastrukturu, jako je například proxy služba Tor.

    Studie společnosti Cisco ukazuje aktuální trendy a techniky, které útočníci využívají. Mezi ně patří:

    • Ransomware jako služba: Podle odhadů dosáhl zisk kybernetických útočníků z ransomware kampaní v roce 2016 více než 1 miliardu amerických dolarů. I proto se černý trh rozrůstá a společnost Cisco pozoruje nárůst modelu Ransomware jako služba (Ransomware‑as‑a‑service). Ten umožňuje útočníkům provést útok vyděračského softwaru, aniž by oni sami disponovali potřebnými nástroji a dovednostmi.
    • Sociální inženýrství: Větší finanční ztrátu než ransomware způsobily organizacím útoky s podvodnými emaily, které využívaly také technik sociálního inženýrství. V nich se útočnici snaží, aby organizace v domnění, že jde o legální transakci, převedly peníze na jejich účet. Tento byznys je velmi výnosný. Podle odhadů odborníků z amerického týmu Internet Crime Complaint Center dokázali hackeři mezi říjnem 2013 a prosincem 2016 tímto způsobem vydělat 5,3 miliardy dolarů.
    • Objem spamu stále narůstá:Kybernetičtí útočníci stále častěji využívají k šíření útoků nevyžádanou poštu. Výzkumníci společnosti Cisco očekávají, že objem spamu poroste i nadále, zatímco obliba exploit kitů (nástroje pro šíření škodlivého softwaru) bude klesat.
    • Firmy podceňují spyware a adware:Mnoho bezpečnostních odborníků stále považuje soubory typu spyware (špehovací software odesílající data bez vědomí uživatele) a adware (software zobrazující nevyžádané reklamy) za spíše nepříjemné než nebezpečné. Nicméně i tyto soubory mohou znamenat pro firmy vysoké riziko. Výzkumníci společnosti Cisco odhalili, že 20 % firem má ve firemní síti alespoň jeden ze 3 nejrozšířenějších typů spywaru. Ty přitom mohou odesílat útočníkům informace o firmě a tím zvýšit riziko nakažení skutečným malwarem.

    Různá odvětví, podobná rizika

    Studie Cisco 2017 Midyear Cybersecurity Report dále zkoumala, jakým hlavním hrozbám čelí jednotlivá průmyslová odvětví. I přesto, že hackeři používají sofistikovanější techniky a zvyšují intenzitu, organizace se stále potýkají i se základními požadavky na kyberbezpečnost. Se stále užším propojením IT a operačních technologií, i v souvislosti s rozvojem internetu věcí, se firmám nedaří zajistit viditelnost provozu sítě a komplexní přístup k bezpečnosti.

    Průzkum, kterého se zúčastnilo 3000 bezpečnostních profesionálů, zjistil, že bezpečnostní týmy jsou neustále pod tlakem zvyšujícího se množství útoků. Dále průzkum zjistil, že:

    • Pouze 2/3 organizací skutečně prošetřují bezpečnostní upozornění. V některých odvětvích (například zdravotnictví či doprava) je to dokonce jenom kolem 50 %.
    • I v nejrizikovějších odvětvích (jako je finančnictví či zdravotnictví) jsou podniky schopny efektivně reagovat na skutečné útoky v méně než 50 % případů.
    • Úspěšné průniky jsou motivací ke zlepšení. Napříč většinou odvětví znamená úspěšný útok přinejmenším minimální posílení bezpečnosti v alespoň 90 % organizací.

    Mezi další zjištění v jednotlivých odvětvích patří:

    • Veřejný sektor: Ze všech zkoumaných hrozeb bylo 32 % z nich označeno jako skutečně oprávněných (ohrožujících). Ovšem pouze proti 47 % z nich vytvořily organizace dodatečnou obranu.
    • Maloobchod: 32 % podniků říká, že v posledních několika letech se jim kvůli kybernetickým útokům snížily zisky. Zhruba 25 % pak ztratilo zákazníky nebo obchodní příležitosti.
    • Výroba: 40 % bezpečnostních profesionálu z oblasti výroby řeklo, že nemají oficiální bezpečnostní strategii, ani neaplikují bezpečnostní normy, jako jsou ISO 27001 či NIST 800‑53.
    • Sektor utilit: Bezpečnostní profesionálové označili za největší bezpečnostní rizika cílené útoky (42 %) a tzv. přetrvávající pokročilé hrozby (advanced persistent threats). Ty jako největší hrozbu vnímá 40 % dotázaných.
    • Zdravotnictví: Za vysoké riziko označilo 37 % respondentů cílené útoky.

    6 rad společnosti Cisco

    Aby se organizace efektivněji bránily současným stále sofistikovanějším útoků, měly by zvolit proaktivní přístup. Bezpečnostní tým Cisco radí:

    • Pravidelně aktualizujte infrastrukturu i aplikace, aby útočníci nemohli využít již známé zranitelnosti.
    • Bezpečnostní prvky musí být integrované. Omezte investice do izolovaných řešení.
    • Zapojte do kyberbezpečnosti nejvyšší členy vedení, aby porozuměli rizikům, výhodám i rozpočtovým omezením.
    • Vytvořte jasné metriky. Používejte je, abyste lépe pochopili přínosy konkrétních kroků a mohli svoji bezpečnost dále zlepšovat.
    • Zkontrolujte úroveň znalostí svých zaměstnanců prostřednictvím tréninkových postupů se zaměřením na konkrétní pracovní pozice i na obecné školení.
    • Snažte se vyvážit obranu s aktivní reakcí. Obrana před útoky spočívá v průběžné činnosti, nikoliv pouze v prvotním nasazení a následné pasivitě.

    Autor: Petr Smolník, šéfredaktor