Rok 2018 bol pre kybernetických zločincov skvelý, čo potvrdia najmä útočníci využívajúci ransomware. V roku 2018 stúpol počet útokov cielených konkrétne na firmy. Ku koncu roka 2018 dosiahol počet útokov ransomwaru historický rekord a to isté platí aj o výške požadovaného výkupného. Útoky ransomwaru sú stále dômyselnejšie a škodlivejšie, a šíria sa medzi stále väčším počtom organizácií. Obzvlášť zraniteľné voči tejto kriminalite sú malé a stredne veľké organizácie, ktoré boli v poslednom štvrťroku roka 2018 cieľom 71 % útokov ransomwaru. Podľa názoru niektorých komentátorov sa dá očakávať, že ku koncu roka 2019 dôjde k útoku ransomwaru na organizácie každých 14 sekúnd.
Nie všetky útoky ransomwaru sú úspešné. Avšak tie, ktoré úspešné sú, môžu mať pre obete katastrofálne dôsledky a ľahko ich priviesť do existenčných problémov. Ransomware zneprístupní a/alebo zmaže životne dôležité dáta, bez ktorých organizácie nemôžu fungovať. Navyše hrozí, že obete útoku svoje dáta možno už nikdy neuvidia ani po zaplatení výkupného. Ransomware je totiž niekedy kódovaný spôsobom znemožňujúcim obnovu dát, kedy ten, kto kód upravil, už necieli primárne na vydieranie, ale len na poškodenie dát. Spôsobená škoda sa však neobmedzuje len na finančné straty spôsobené prestojmi, úhradou výkupného a stratou dát: ransomware niekedy obsahuje trojské kone určené ku krádeži bankových a prihlasovacích údajov a narušená povesť organizácie navyše môže potenciálnych zákazníkov a klientov odradzovať ešte mnoho ďalších rokov po útoku. Pokiaľ navyše dôjde ku krádeži osobných údajov zákazníkov, je v hre ešte problematika GDPR a to môže priniesť ďalšie podstatné náklady.
Čo teda organizácie majú robiť v situácii, keď s nimi útočníci šíriaci ransomware hrajú túto nákladnú hru na mačku a myš?
Nestrkajte hlavu do piesku
Organizácie nedokážu riešiť problémy, ktoré nepoznajú, a preto by prvým krokom v boji s ransomwarom mali byť lepšie znalosti. Ransomware je pohyblivý cieľ, ktorý sa vyznačuje častou zmenou hrozieb a vstupných bodov. Preto je dôležité poznať túto hrozbu a držať krok s aktuálnym dianím. To platí nie len pre management, ale pre všetkých zamestnancov. E-mailové prílohy, odkazy, nezabezpečené stránky, sťahované súbory a podozrivé reklamy, to všetko sú kanály, ktorými ransomware vstupuje do systémov a preto každý v organizácii musí vedieť, ako ich používať a podozrivý obsah sa snažiť rozpoznať. Je nutné pravidelne inštalovať záplaty, aktualizovať operačné systémy a všetok software, a taktiež pravidelne zálohovať všetky dáta. V tejto súvislosti je žiadúce dodržiavať pravidlo 321: je vhodné mať aspoň tri kópie dát, ktoré by mali byť uložené aspoň na dvoch miestach, z ktorých jedno by malo byť offline. Pre zálohovanie na offline úložisko používajte iné mená a heslá pre prihlásenie v kombinácii s iným typom prenosu, trebárs protokol FTP. Tiež stojí za to venovať pozornosť právam spojeným s účtami: malware obvykle funguje na úrovni užívateľa, ktorý ho spustil, takže obmedzením týchto práv znížite riziko šírenia ransomwaru.
Ransomware a protokol RDP
Protokol RDP (Remote Desktop Protocol) predstavuje praktický a v prípade riadneho zabezpečenia aj celkovo bezpečný spôsob vzdialeného prístupu na pracovných staniciach a serveroch. Pokiaľ ale protokol RDP nie je zabezpečený, kybernetickí zločinci ho môžu ľahko využiť ako vstupnú bránu do siete. Organizácie by mali zvážiť, či protokol RDP naozaj potrebujú a prípadne ho deaktivovať (protokol RDP je štandardne nainštalovaný v systéme Windows a je k dispozícii pre ostatné operačné systémy). Pokiaľ je protokol RDP nevyhnutný, mal by byť používaný s maximálnou opatrnosťou. To znamená, že budete vyžadovať overenie identity a silné heslá, sieť zaistíte pred internými a externými útokmi a používanie protokolu RDP umožníte len tým osobám, ktoré ho skutočne potrebujú. Firewallom je možné taktiež jednoducho povoliť RDP len skôr overeným užívateľom cez firewall alebo finálne prevádzkovať RDP v zabezpečenom šifrovanom VPN tuneli. RDP však nie je jedinou vstupnou bránou, ktorú majú v obľube útočníci s ransomwarom. Nech už k útokom malwaru dochádza cez protokol RDP, či inak, väčšina z nich sú útoky hrubou silou, čo znamená, že pre užívateľov RDP i všetkých ostatných je maximálne dôležité dodržiavať obvyklé preventívne opatrenia (tzn. používať silné heslá a viacfaktorovú autentizáciu, obmedziť používanie nedôveryhodných zariadení, minimalizovať užívateľskej úrovne a to najmä v prípade účtov pripájajúcich sa k internetu, atď.).
A čo ransomware a cloud?
Mnoho ľudí si ransomware spája (mylne) s lokálnymi zariadeniami. Vzhľadom k rozsiahlej migrácii dát do cloudu a ku stále obľúbenejšiemu používaniu softwaru ako služby, je ľahké sa domnievať, že v cloude sú dáta v bezpečí. To platí len do určitej miery: cloud je vynikajúce miesto pre zálohovanie dát podľa vyššie uvedeného pravidla 321, avšak ani on nie je voči útokom malwaru imúnny. Prostriedkom pre šírenie ransomwaru môže byť napríklad synchronizácia lokálnych súborov (najmä na zdieľaných) z napadnutého zariadenia na cloud. Pokiaľ taká situácia nastane, zrejme sa vám nepodarí obnoviť nič iného než predchádzajúcu verziu vašich súborov. Kybernetické útoky navyše mieria tiež priamo na cloudové služby: v roku 2016 ransomware Cerber zaútočil na cloudovú službu Microsoft Office 365 a v roku 2017 spoločnosť Microsoft potvrdila obrovský nárast útokov na jej cloudové produkty.
Z tohoto dôvodu je kontrolovanie a zabezpečenie cloudových systémov rovnako dôležité ako zabezpečenie miestnych sietí a zariadení.
Organizácie môžu na cloudové servery a úložiská inštalovať bezpečnostné produkty, čo najmä tie malé a stredne veľké riešia formou outsourcingu. V takom prípade musia organizácie mať istotu, že spolupracujú s partnerom poskytujúcim zodpovedajúcu úroveň ochrany a požiadať ho o oznámenie informácií o používaných systémoch, úspešnosti detekcie, rýchlosti, akou jeho nástroje detegujú ransomware a o tom, koľko percent ich súborov bolo poškodených. Pokiaľ poskytovateľ nedokáže tieto otázky uspokojivo zodpovedať, je vhodné sa obrátiť inam.
Záverečné zhrnutie
Ransomware je dynamická hrozba, ktorá je schopná poškodiť organizácie všetkých veľkostí a ktorá v súčasnosti často mieri na malé a stredne veľké organizácie. Ransomware spôsobuje katastrofálne škody. Aby k nim nedošlo, musia malé a stredne veľké organizácie zaistiť bezpečnosť všetkých zariadení a cloudových služieb, dodržiavať pravidlo 321 pre pravidelné zálohovanie dát a naďalej presadzovať tradičné bezpečnostné opatrenia, to znamená používať silné heslá, obmedzovať nedôveryhodné zariadenia, používať pre prístup do siete len účty s nízkym oprávnením a vyžadovať viacfaktorovú autentizáciu. A v neposlednom rade, pokiaľ k sieťovým službám využívajú tretiu stranu, musia sa malé a stredne veľké organizácie informovať u týchto poskytovateľov o dostupných úrovniach zabezpečenia (vrátane zabezpečenia cloudu) a uistiť sa, že tieto úrovne uspokoja ich potreby.