Kyberzločinci teď cílí častěji na komerční společnosti

Odborníci Kaspersky Lab zaznamenali alarmující trend: stále více kyberzločinců si za oběti svých cílených útoků ransomwarem místo soukromých uživatelů vybírá komerční společnosti. Do vývoje a distribuce šifrujícího ransomwaru se zapojilo minimálně dalších osm kyberzločineckých skupin. Jejich primárním cílem jsou finanční instituce po celém světě. Odborníci Kaspersky Lab se setkali i s případy, kdy kybernetičtí zločinci požadovali výkupné vyšší než půl milionu dolarů.

Mezi osmi identifikovanými skupinami figurují autoři PetrWrap, kteří útočili na finanční instituce po celém světě, neblaze proslulá skupina Mamba a šest dalších, bezejmenných skupin taktéž cílících na korporátní uživatele. Zajímavým faktem přitom je, že právě těchto šest skupin dříve mnohem častěji útočilo na soukromé uživatele za použití provizního systému. V současnosti svou činnost přeorientovalo na firmy. Analytici Kaspersky Lab za tímto krokem vidí jasný důvod – kyberzločinci jsou přesvědčeni, že cílené ransomwarové útoky na firmy jsou potenciálně daleko výnosnější než hromadné útoky na soukromé uživatele. Úspěšný ransomwarový útok proti společnosti totiž dokáže ochromit její provoz na několik hodin či dokonce dnů, což může její majitele přimět k zaplacení výkupného.

Taktika, techniky a postupy těchto skupin jsou ve své podstatě velmi podobné. Vyhlédnuté organizace infikují malwarem, který k nim doručí skrz zranitelné servery nebo pomocí phishingových e-mailů. Následně se usadí v síti napadené společnosti a vyhledávají cenné zdroje, které zašifrují. Za jejich odšifrování nakonec požadují výkupné. Navzdory podobnostem některé skupiny vykazují své vlastní unikátní prvky.

Skupina Mamba například využívá svůj vlastní šifrovací malware, založený na open source softwaru DiskCryptor. Jakmile útočníci proniknou do sítě, zahájí její šifrování, přičemž k tomu využívají legální funkcionalitu pro vzdálené ovládání Windows. Díky tomuto přístupu je celá akce bezpečnostním specialistům napadené organizace méně nápadná. V některých případech, které zaznamenali odborníci Kaspersky Lab, dosahovalo výkupné za odšifrování jednoho koncového zařízení hodnoty až jednoho bitcoinu, jehož cena se na konci března 2017 pohybovala okolo tisíce dolarů.  

Další jedinečný nástroj využívaný k cíleným ransomwarovým útokům pochází od skupiny PetrWrap. Ta cílí především na velké společnosti, v jejichž síti se nachází velké množství zařízení. Pro každý útok, který probíhá i delší dobu, si cíl pečlivě vybírají. Ve firemní síti může PetrWrap působit až šest měsíců.

Aby společnosti zůstaly před podobnými útoky ransomwarem v bezpečí, doporučují bezpečnostní odborníci z Kaspersky Lab následující opatření:

  • Provádět pravidelné zálohování dat, tak aby mohly být soubory v případě ztráty ihned nahrazeny.
  • Využívat bezpečnostní řešení založené na behaviorálních detekčních technologiích. Tyto technologie umožňují odhalení malwaru, včetně ransomwaru, prostřednictvím sledování jeho chování v systému. Ransomware tak odhalí včas, dokonce i jeho neznámé mutace.
  • Navštívit stránku iniciativy „No More Ransom“, jejímž cílem je pomoci obětem ransomwaru odšifrovat svá data, aniž by musely platit výkupné.
  • Provést audit a pravidelnou aktualizaci nainstalovaného softwaru nejen na koncových zařízeních, ale na všech síťových uzlech a serverech.
  • Provést bezpečnostní test kontrolní sítě (např.: bezpečnostní audit, penetrační testy, analýza zranitelností), aby byly odhaleny a odstraněny veškeré bezpečnostní nedostatky. Provést kontrolu bezpečnostních standardů externích dodavatelů a třetích stran, pokud mají přímý přístup do kontrolní sítě.
  • Využít služby externí bezpečnostní firmy – expertíza uznávané bezpečnostní společnosti pomůže předvídat budoucí útoky.
  • Proškolit zaměstnance, především provozní a technický personál, v oblasti současných kybernetických hrozeb a útoků.
  • Zavést bezpečnostní opatření v rámci celé firemní sítě a systémů s přístupem. Účinná bezpečnostní strategie musí zahrnovat značné prostředky na odhalení útoků i na reakci na incidenty. Jedině tak dojde k zastavení útoku dříve, než zasáhne kriticky důležité objekty.

Autor: Petr Smolník, šéfredaktor