Kybernetický zločin sa transformuje na výkonný aparát, ktorý zasahuje všetky oblasti ekonomiky a života.Dreamstime
StoryEditor

Ako dnes (naozaj) prebiehajú ransomvérové útoky

31.01.2025, 00:00

Od jednoduchých emailových príloh až po sofistikované služby na čiernom trhu.

Mnohí si pod ransomvérovým útokom predstavujú jednoduchý scenár: niekto otvoril prílohu v e-maili, ktorá obsahovala nebezpečný  spustiteľný súbor. Po kliknutí na súbor sa začne šifrovacia rošáda. Dnes je však situácia omnoho zložitejšia.

Zločinecký ekosystém

Ransomvérová scéna prešla za posledné roky dramatickým vývojom. Namiesto jednoduchých „klikačiek“ na škodlivé prílohy sa čoraz častejšie stretávame s premyslenými postupmi, ktoré môžu prebiehať celé týždne.

Kyberzločinci totiž vybudovali dynamické a agresívne ekosystémy. Existuje dodávateľský reťazec kyberkriminálnikov, kde sa predáva a kupuje prístup, zdieľajú sa informácie o potenciálnych cieľoch a ich zraniteľnostiach a využívajú sa profesionálne nástroje. Ransomvérové kampane tak fungujú ako moderný biznis.

Áno, ale

Áno, phishing a podvodné prílohy stále predstavujú bežný a veľmi častý spôsob šírenia respektíve  kompromitácie ransomvérom.

Je však dôležité uvedomiť si, že súčasné ransomvérové kampane často využívajú aj sofistikovanejšie techniky. Sú to útoky na neaktualizované a zraniteľné systémy, zneužitie protokolov na diaľkovú správu zariadení, či nákup odcudzených prihlasovacích údajov.

Škodliví aktéri často vykonávajú laterálne pohyby v sieti, pričom postupne získavajú najvyššie systémové oprávnenia a kradnú citlivé informácie. Dá sa teda povedať, že operácie sa tak viac podobajú aktivitám skupín pokročilých hrozieb APT (Advanced Persistent Threat) skupín, kde sa útočníci snažia zostať v sieti čo najdlhšie neodhalení.

Služba ako každá

Jedným z hlavných dôvodov rapídneho nárastu ransomvérových útokov je služba Ransomware-as-a-Service (RaaS), kedy autori škodlivého kódu poskytujú platformu iným kriminálnym skupinám. Títo „partneri“ potom vykonajú samotný útok a delia sa o zisky.

Tento obchodný model umožňuje i menej skúseným aktérom prevádzkovať ransomvérové kampane vo veľkom meradle.

Navyše existuje celý rad zločincov, ktorí sa špecializujú výhradne na prienik do sietí – či už cez phishing,  útoky hrubou silou na heslá, alebo zneužitie zraniteľností. Takto získaný prístup následne na čiernom trhu predávajú takzvaní Initial Access Brokeri.

RaaS partneri potom už nemusia investovať do prelomenia obrany. Stačí im kúpiť si hotový prístup, napríklad administrátorské účty alebo VPN prístup do firemnej siete a rovno nasadiť ransomvér.

Trojitá hrozba

Ak ste si mysleli, že šifrovanie je to najhoršie čo sa môže stať, tak ste na veľkom omyle. Kedysi útok spočíval len v zneprístupnení dát - typicky to bolo zašifrovanie súborov, a potom nasledovala požiadavka na výkupné za znovu-sprístupnenie dát, teda dešifrovanie.

Dnes útočníci dáta aj odcudzia, aj sa vyhrážajú ich zverejnením. Navyše niektoré skupiny pridávajú  multi-extortion taktiky, aby zvýšili nátlak na obeť. Vyhrážajú sa ďalšími DDoS útokmi, či kontaktovaním zákazníkov napadnutej spoločnosti.

Dáta nepustia

Podľa reportu Data Breach Investigations spoločnosti Verizon za rok 2023 bol ransomvér súčasťou takmer štvrtiny skúmaných narušení bezpečnosti (24 %). Medzi najčastejšie vektory prieniku patrili phishingové e-maily, zneužitie zraniteľností a odcudzené prihlasovacie údaje.

Spoločnosť CrowdStrike v Globálnom reporte hrozieb 2023 zdôrazňuje, že útočníci často využívajú prístupy sprostredkované Initial Access Brokermi a len čo získajú prístup do systémov či sietí obete, vedia ho v priebehu niekoľkých hodín rozšíriť na celú firmu.

To, že ransomvér stále patrí medzi najčastejšie formy útokov, potvrdzuje aj správa IBM Security X-Force Threat Intelligence Index 2023.

Nie sme bezbranní

Kombináciou technických opatrení a budovaním bezpečnostnej kultúry môžu firmy výrazne znížiť riziko úspešného útoku. Opatrenia ako segmentácia siete, aktualizovanie systémov, multifaktorová autentifikácia sú dlhoročným základom, ku ktorému sa pridávajú školenia, simulované phishingové testy a table-top cvičenia.

Kľúčom je rozpoznať, že najlepšou obranou je proaktívny prístup – nepodceniť základné opatrenia, pristupovať ku kybernetickej bezpečnosti systematicky a mať jasné plány, ako postupovať pri incidente.

Michal Srnec vedúci oddelenia informačnej bezpečnosti Aliter Technologies

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
31. január 2025 00:03