Ransomware představuje jednu z nejvážnějších kybernetických hrozeb pro firmy. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vloni varoval, že čím dál častěji se útočníci zaměřují také na státní a veřejné instituce. Podle dat je Česká republika stejně častým cílem jako jiné země. Podle odhadů NÚKIBu pro rok 2021 existuje až 70% pravděpodobnost ransomware útoku v Česku.
Pokud k takovému incidentu dojde, řeší firmy dilema, zda s útočníky vyjednávat a zaplatit požadované výkupné, či nikoli. Obvykle je nutné se rozhodnout opravdu rychle. Navíc útočníci přicházejí s dalšími metodami, jak na svých obětech vydělat i v případě, že firma zaplatit odmítá.
Výkupné za dešifrovací klíč dosahovalo loni průměrně 170 tisíc dolarů.
Placení výkupného není bezpečnostní rozhodnutí, ale strategické. Vyplacení podporuje zločince, naopak obnova ze záloh trvá nějaký čas a firma riskuje obchodní ztráty. Některé firmy se pro placení rozhodnou proto, že nemají zálohy, ze kterých by provoz obnovily, doufají, že tak udrží incident pod pokličkou nebo jim to vyjde jako nejracionálnější varianta, protože obnovení vlastním IT teamem by bylo moc drahé nebo zdlouhavé.
V některých případech se útočníci skrývají v interní síti i týdny a čekají, až dojde k připojení záloh, aby je mohli zašifrovat také. V takovém případě nedávají firmě jinou možnost než vyjednávat. Obecně ale experti placení nedoporučují, pojďme se podívat proč.
# 1 Výkupné není zárukou ničeho
I když si s útočníky vyjednáte přijatelnou výši výkupného, neznamená to automaticky, že vám výměnou poskytnou dešifrovací klíče. Krom slibu hackera nemáte žádnou záruku, že klíč obdržíte. A položme si otázku: Dá se věřit slovům zloděje?
Zárukou není ani to, že v průběhu jednání útočníci dešifrují nějaký soubor dat jako důkaz. Dokáží jen to, že sami dešifrovacím klíčem (případně danými soubory) disponují, nikoli to, že jej odešlou.
#2 Útočník zpravidla dešifruje jen část dat
V podstatě nikdy se nestává, že by po zaplacení došlo k dešifrování všech souborů.
Dešifrovací klíč nebo malware mohou obsahovat chyby, které kompletní obnovu dat zkomplikují. Z logiky věci, se útočníci soustředí méně na funkčnost dešifrovacího nástroje, než na celý útok. Vaše firma obdrží klíč či aplikaci s klíčem, ale odblokování dat je už jen na vašem interním týmu a jeho schopnostech. Případné technické problémy tedy budete muset vyřešit sami.
Pokud se jedná o starší ransomware, můžete se podívat na webové stránky iniciativy No More Ransom, jde o projekt bezpečnostních firem a institucí sdružující nástroje pro dešifrování různých typů ransomware rodin a jejich mutací, aniž byste museli výkupné platit.
Bohužel dnes používají ransomware jen technicky hodně vyspělé skupiny útočníků a ti používají pro každou oběť (často i každý soubor) unikátní dešifrovací klíč a ten nelze reverzní analýzou toho jejich výtvoru vyzjistit.
#3 Platbou podporujete kybernetický zločin
Kybernetický zločin je v současnosti výnosnější než třeba drogový průmysl. Točí se v něm neuvěřitelné množství peněz a každá platba výkupného jen dává útočníkům další možnosti. Více peněz pro konkrétní gang znamená, že mohou financovat vývoj dalšího malware, nábor a výcvik nových spolupracovníků, kvalitnější backend nebo hardware, nic z toho není levná záležitost.
Platbou výkupného podporujete zločin.
Financování kybernetického zločinu je vážná morální a právní otázka. NÚKIB ostatně varuje, že za určitých okolností může zaplacení výkupného představovat porušení zásad péče řádného hospodáře. Samotné zaplacení ale nyní zákon nepostihuje.
#4 Budete znovu terčem
Zaplatíte jednou a mezi útočníky se rozkřikne, že jste svolní vyjednávat. Pokud tedy po incidentu rychle neopravíte zranitelná místa, je možné, že se stanete obětí znovu. Například s prolomenými přístupy k RDP se obchoduje na černém trhu. Doporučujeme zaměřit se na to, jak k útoku došlo, a opravte zranitelná místa sítě.
Nemusí nutně dojít k dalšímu zašifrování souborů, útočníci vás mohou vydírat zveřejněním exfiltrovaných souborů či nasadit do sítě backdoor, který lze v budoucnu zneužít.
Vystavujete se také riziku, že příští výkupné bude mnohem vyšší. Ostatně, proč by si útočník neměl říct o víc, když mu to minule prošlo.
#5 Další náklady na obnovu procesů
Je nutné vzít v úvahu, že samotným zaplacením výkupného malware z vaší sítě nezmizí, dojde jen k dešifrování. Je docela možné, že ex-post náklady budou velmi vysoké. Nemluvě o ušlém zisku. Své o tom vědí v Baltimoru, kde po zašifrování městské sítě stálo obnovení provozu 10 milionů dolarů (dešifrování dat prováděli IT správci sami, výkupné uhrazeno nebylo).
Před ransomwarem se lze chránit
Stejně jako u dalších kybernetických incidentů je klíčová prevence. Optimální je, pokud se útočník k datům vůbec nedostane. Většina útoků probíhá masovými kanály, například e-mailem, proti tomu je snazší se bránit.
Při bezpečnostním incidentu oceníte dobrou zálohu podle schématu 3-2-1.
Často nutí firmy platit výkupné fakt, že nemají, jak jinak data získat zpět. Jinými slovy: nemají dostupné zálohy. Právě dobře nastavená politika pro zálohování důležitých dat je klíčová. V ideálním případě by firmy měly zálohovat podle schématu 3-2-1:
- Mít 3 kopie dat
- Na 2 různých zařízeních
- Z toho 1 na geograficky jiném místě
Obrana proti ransomware se nijak neliší od obrany před jinými typy kybernetických hrozeb. Je tak nutné co nejvíce snížit potenciální útočnou plochu. To znamená zaměřit se na aktualizace, pravidelné patchování veškerého softwarového vybavení a používání kvalitního anti-malware produktu.
Velmi často se útočníci zaměřují na všechny uživatele v organizaci, kteří nemají s IT bezpečností tolik zkušeností. Phishingový e-mail přistane spíše u recepční než na IT oddělení. Není proto od věci pravidelně školit všechny zaměstnance, aby věděli, jak podvodné zprávy poznat a také, jak mají reagovat, pokud se děje cokoli nestandardního.
Technická doporučení pro administrátory, jak se chránit před ransomwarem, shrnuje NÚKIB v tomto dokumentu. Obecně je vhodné zaměřit se na více faktorovou autentizaci, segmentování sítě, používání servisních účtů, sledování perimetru sítě nebo provádění bezpečnostního monitoringu za využití aplikací pro vzdálenou správu bezpečnostních produktů.