Virus NotPetya se začal šířit obrovskou rychlostí jen pár měsíců po známém viru WannaCry v roce 2017. Proč byl úspěšný a může se takový útok opakovat? Ptali jsme se bezpečnostního experta Avastu Jakuba Křoustka
Jak je možné, že byl virus NotPetya tak úspěšný? Co z něj udělalo takovou hrozbu?
Útok byl jeho autory velice dobře připraven. NotPetya se nejdříve šířil pomocí účetního softwaru ukrajinské společnosti M.E.Doc. Kyberzločinci zneužili systému automatické aktualizace a nastavili jej tak, že se při ní NotPetya automaticky distribuoval do počítačů uživatelů. Je to vlastně paradox, protože protože pravidelné aktualizování softwaru je uživatelům neustále doporučováno. V tomto případě to ale byla právě aktualizace softwaru, která masové šíření viru započala. V té době nebyly tyto typy útoků (supply chain attack) časté, a proto nějakou chvíli trvalo, než se zjistilo, kde k problému dochází. Bylo až fascinující sledovat rychlost, jakou se šířil.
Virus údajně zneužil dávno známé zranitelnosti v ochraně operačních systémů. Jak se z toho společnosti poučily?
K šíření viru NotPetya docházelo hned třemi metodami: exploity EternalBlue (známého už z WannaCry) a EternalRomance, také skrz sítí protokoly Windows, kde kyberzločinci užívali ukradené osobní údaje uživatelů (které se jim podařilo získat nástrojem podobnému Mimikatz, který umí zjistit přístupová hesla uživatelů) a pomocí nástrojů PSEXEC a WMIC. Tyto techniky, mezi které patřilo i zneužití už známých zranitelností, jejichž opravy byly už nějakou dobu dostupné, se staly zřejmě hlavním důvodem, proč byl virus NotPetya tak úspěšný. A to i přes to, že se o EternalBlue hodně mluvilo, protože útok WannaCry byl od viru NotPetya vzdálen pouhé dva měsíce.
Myslíte si, že by se něco podobného jako NotPetya mohlo opakovat?
Je jenom otázkou času, než se podobný útok bude opakovat. Jak a kdy se tak stane ale záleží na mnoha faktorech, počínaje dostupností kvalitního exploitu jako byl EternalBlue, kdo budou útočníci a jaká bude jejich motivace.
Společnost Microsoft exploit EternalBlue ve svých novějších systémech opravila. Zranitelnost ale zůstává v systémech jako jsou Windows 7 nebo Windows XP. Avšak z počítačů, které jsme v Avastu oskenovali mezi 22. květnem až 23. červnem 2020, používala EternalBlue pouhá 4 % z nich, konkrétně u nás v Česku to bylo 1,72 %.
Jak se mohou společnosti podobným útokům bránit?
Je hned několik kroků, které mohou společnosti podniknout, aby se před kyberzločinci ochránily. Rozhodně by každá společnost měla dbát na to, aby měla několik vrstev ochrany. Ta by měla zahrnovat antivirový software, firewall, IDS a další. Také by měly pravidelně aktualizovat veškerý software a firmware. Svým zaměstnancům by firmy měly zajistit taková oprávnění k užívání jejich systémů, která odpovídají jejich potřebám. Pokud vlastníte firmu, zkuste také zhodnotit, zda používáte vhodný software, který by měl pravidelně dostávat bezpečnostní aktualizace.
Zásadní chybou ale obvykle bývá podcenění lidského faktoru. Lidé zkrátka dělají chyby a kyberzločinci toho rádi využívají. Se svými zaměstnanci by měly o bezpečnosti firmy vést diskuzi a zároveň je pravidelně informovat o osvědčených postupech, jak bezpečnosti firmy budovat.
Společnosti by také měly pravidelně provádět penetrační testování, tedy simulované útoky na vlastní ochranu. Tím zjistí, kde leží jejich slabá místa, která by hackeři mohli potenciálně zneužít. Nejlepší je podobné testování provádět několikrát ročně, protože kyberzločinci hledají slabiny ve vaší ochraně prakticky neustále.
Poslední zásadou by mělo být zálohování veškerých dat. V dnešní době je hned několik způsobů, které můžete pro ukládání vašich dat využít, od externích hard disků, přes síťová zařízení až po cloudová úložiště. Počet záloh je podobně důležitý jako zařízení, které si pro zálohování vyberete. Když budete svá data ukládat na dvě místa, například na externí hard disk a cloudové úložiště, budou vše data ve větším bezpečí, než kdybyste použili pouze jeden způsob zálohování. Nezapomeňte také váš externí hard disk odpojit ve chvíli, kdy je zálohování dokončeno. Většina ransomware kmenů se už umí z počítače rozšířit i do těchto zařízení, která jsou k němu připojena. A nakonec jedno z nejdůležitějších pravidel zálohování je povolit jakoukoliv automatickou zálohu dat, kterou vám úložiště nabídne. Díky tomu se vaše data budou zálohovat automaticky a vy tak uniknete pokušení klikat na tlačítko „Připomenout později”.