Typicky sa dostáva do počítača emailom alebo v súbore stiahnutom na webe, šifruje dáta a za dešifrovanie si útočníci pýtajú platbu. Môže ísť o rodinné fotky alebo dôležité firemné dáta, a tak sa obeťami stávajú bežní používatelia aj známe organizácie.
Oportunistický ransomvér sa šíri náhodne a útočníci čakajú, koho škodlivý kód zasiahne. Výkupné je väčšinou nižšie, aby sa požívateľovi oplatilo zaplatiť, ale obetí sú tisíce. Takýmto útokom bol aj WannaCry v roku 2017. Kód sa replikoval a zasiahol viac ako 200-tisíc staníc v 150 krajinách. Zdravotnícka organizácia NHS vo Veľkej Británii musela následkom útoku zavrieť niektoré prevádzky a rušiť operácie.
Oportunistický ransomvérový útok vie byť úspešný, ak sú splnené dve podmienky. Po prvé - organizácie nemajú dobrú bezpečnostnú hygienu záloh a obnôv, nezálohujú kritické dáta dôsledne a medzi zálohovaniami sú dlhé úseky. Druhá častá chyba je spoliehať sa výlučne na antivírus, ktorý reaguje iba na už známe hrozby. Keďže ransomvér vie zmutovať do minúty, často statické antivírusy nedokážu škodlivý kód zachytiť.
Čo sa však pre útočníkov ukázalo lukratívnejšie ako plošné šírenie, je cielenie útokov. Obeťou bývajú organizácie, kde aj krátky výpadok IT služieb znamená vysoké škody.
Útočníci si pri cielení ransomvérového útoku dávajú námahu najmä s prieskumom. Zisťujú si v organizácii využívané technológie, ich zraniteľnosti a najcitlivejšie dáta, ktoré sa oplatí zašifrovať.
Po vstupnom prieniku postupujú mimoriadne trpezlivo. Povyšujú si práva na systémoch, aby neboli detegovaní aj celé mesiace. Zároveň riešia aj scenáre obnov, čiže znefunkčňujú zálohy a vytvárajú si back-door privilegované účty.
Keď je všetko pripravené, útočníci zašifrujú dáta a dajú obeti niekoľkodňové okno, aby zaplatila výkupné. Často je útok tak dobre pripravený, že obeť nemá inú možnosť, ako zaplatiť a spoliehať sa, že útočníci aj spravia sľúbenú nápravu. A keby sa obeť pokúsila o obnovu bez zaplatenia výkupného, útočníci cez zadné vrátka udrú znova.
Z analýzy ransomvérových útokov je jasná jedna vec - nedá sa spoliehať na jediné bezpečnostné riešenie na koncovej stanici.
Aby útočníkom sťažili prienik a povyšovanie práv, organizácie vrstvia rôzne stupne ochrán. Počínajúc pravidelným zaplátovaním, aplikačným lockdownom na staniciach, nastavením iba nevyhnutných práv používateľom až po dôslednú ochranu privilegovaných účtov.
Ransomvér to bude s nami ešte roky. Ransomvérových nástrojov typu urob-si-sám je na dark webe hromada, výnos môže byť v miliónoch, polícia je na páchateľov prikrátka a stopercentná technologická ochrana neexistuje. Preto je dôležité prijať nastavenie „predpokladáme, že už sme boli heknutí“ a z neho vychádzať pri osobnej a firemnej bezpečnostnej stratégii.
Daniel Hetenyi, regionálny manažér CyberArk
(Natívna informácia)