V Praze se v polovině června uskutečnila odborná tisková konference s názvem Ransomware aneb zaplať, nebo...!, kterou pořádal celosvětový lídr v oblasti bezpečnostních řešení, společnost Trend Micro. Setkání s mírně provokativním názvem bylo zaměřené na problematiku ransomwaru.
Ransom znamená anglicky výkupné a přesně o to hackerům při útocích jde. Za odblokování počítače a zpřístupnění uložených dat si žádají sumy v rozmezí stovek až desítek tisíc amerických dolarů a ransomware tak pro počítačové podsvětí znamená skutečně výdělečný byznys. Nejčastěji žádají kyberzločinci částku 400 dolarů zaplacenou v Bitcoinech. Ransomware je v podstatě specializovaným druhem malwaru, který z více než 80 % využívá techniku zašifrování dat v napadených systémech a evolučně navazuje na ransomware, který pouze žádal o výkupné, ale data ještě nešifroval. Nejde přitom o ojedinělou záležitost, každý měsíc se totiž objevují stovky tisíc nových unikátních vzorků ransomwaru.
Účastníky konference přivítal Michal Jarski, regionální obchodní ředitel Trend Micro pro oblast střední a východní Evropy, který se ve svém úvodním slovu věnoval jak samotné podstatě ransomwaru, tak i vážnosti a širším souvislostem spojeným s tímto typem hrozby. Uvedl například, že jen reportované ztráty amerických uživatelů a organizací již dosáhly desítek milionů dolarů. Realita bude ovšem s největší pravděpodobností mnohem horší, odhady totiž hovoří o přibližně 90 000 nových úspěšných infiltrací denně.
Michal Jarski upozornil i na to, že drtivá většina útoků, až 90 %, je vytvořena s cílem napadnout jeden konkrétní přístroj, ať už stolní počítač, notebook nebo mobilní telefon. Jde o sofistikované bezpečnostní incidenty, které využívají velmi dobrou znalost cílového prostředí s cílem vydírat konkrétní organizace. Zpochybnil také falešnou představu o dlouhodobosti útoku ransomwaru: 60 % zdrojů - webových stránek s tímto typem infekce - ve skutečnosti neexistuje déle než jednu hodinu. Svůj účel rychle splní a zaniknou. Počítačoví zločinci jsou tak v reálném bezpečí před odhalením a jasný nepoměr mezi rizikem a možným výdělkem hraje v jejich prospěch.
Řešení využívaná pro vývoj hrozeb typu ransomware jsou velmi flexibilní a umožňují rychle reagovat na změny podmínek. Pružnost je dokonce tak velká, že se dnes začíná objevovat i ransomware dostupný jako služba - za pěti- až dvacetiprocentní podíl jsou na černém trhu k dispozici platformy, které umožňují snadnou tvorbu a aplikování své vlastní varianty ransomwaru. Vedle rychlé a snadné tvorby nového ransomwaru patří mezi závažné důsledky tohoto trendu také velmi malá šance na odhalení skutečných aktérů bezpečnostního incidentu. Jinak řečeno, peníze zaplacené jako „výpalné" již s největší pravděpodobností vyjma zločinců nikdo nedohledá.
„V oblasti informačních technologií se pohybuji již více než patnáct let a mohu potvrdit, že v poslední době dochází k jasné změně v motivech hackerů. Počítačoví zločinci se stále častěji orientují na generování finančních zisků a ostatní dříve rozšířené motivy včetně touhy po uznání ustupují do pozadí. Bohužel ransomware je přesně tím typem hrozby, který tento trend umožňuje a podporuje," dodal Michal Jarski.
Předchozí slova potvrdil i Robin Bay, Sales Engineer společnosti Trend Micro a jeden z členů české pobočky této globální společnosti. Vedle konkrétních příkladů, mimo jiné na University of Calgary, kde zaplatili výkupné ve výši 20 000 dolarů, účastníkům konference podrobně popsal, jak ransomware funguje, a zaměřil se i na možné reakce v případě úspěšných infiltrací. Vyvrátil zažitou představu, že ransomware cílí jen na lokální zdroje, a upozornil, že k zašifrování může dojít i u dat uložených na sdílených síťových discích. Infiltrace navíc nejsou primárně zapříčiněné nedostatečnou softwarovou nebo hardwarovou ochranou, ale selháním lidského faktoru. Technické prostředky přebírají svůj díl viny až v dalších fázích, kdy zejména nedokážou včas nebo vůbec zachytit následnou komunikaci. Velmi důležitá je proto mnohovrstvá ochrana.
Robin Bay vyzdvihl i souvislost počítačové kriminality s „běžně známou" zločinností. Díky novým možnostem online kriminality dochází k poklesu klasické kriminality a naopak k nárůstu té kybernetické. Upozornil také na to, že hackeři již dávno nejsou pouze teenageři v přítmí sklepení, ale najdou se mezi nimi i vysoce vzdělaní lidé s rozsáhlými IT znalostmi. Dále se věnoval také psychologickému pohledu na úspěšnost tohoto typu hrozby, která je vysoká díky zaměření na strach obětí - například zaměstnanci často nechtějí přiznat, že o data přišli, a tak raději zaplatí. Strach působí i u soukromých uživatelů, kterým kyberzločinci mnohdy vyhrožují, že zveřejní jejich intimní fotografie, citlivé osobní údaje apod. Psychologii útočníci využívají i při jednání o výši výkupného, kdy obětem dávají určitý čas na rozmyšlenou a cenu s přibývajícím časem zvyšují.
Boj s ransomwarem mají ale stále ve svých rukou samotní uživatelé. Vedle technických prostředků mohou plány hackerů zmařit zejména zálohováním v režimu 3-2-1 (3 kopie na 2 různých zařízeních s 1 geograficky oddělenou zálohou nepřipojenou do primární síťové infrastruktury), prováděním aktualizací, definováním i prosazováním bezpečnostních politik i zvyšováním bezpečnostního povědomí uživatelů. Ale pravděpodobně nejdůležitější je výkupné nikdy neplatit. Jednak existují případy, kdy zaplacení obětem nepomohlo, jednak úhradami ransomware nezmizí - právě naopak.
„Stále častějším cílem ransomwaru jsou dnes bohužel i státní instituce a sektor veřejných služeb včetně zdravotnictví. Je to pochopitelné, protože například ve zdravotnickém zařízení je obhajitelnější nákup léčebného přístroje než kvalitní ochrany proti počítačovým hrozbám. Jen ve Spojených státech amerických se loni s úspěšným incidentem tohoto typu setkala více než polovina nemocnic," upozornil Robin Bay. „V českém prostředí takto přesnou statistiku nemáme, protože většina státních institucí i soukromých firem napadení ransomwarem a případně i zaplacení výkupného tají. To by ovšem měla změnit nová směrnice Evropské unie, která nařizuje závažné bezpečnostní incidenty oznamovat," dodal Robin Bay.
Poslední část konference byla věnovaná problematice neznámých hrozeb, na kterou se zaměřil Jiří Gogela, vedoucí české pobočky bezpečnostní laboratoře DVLabs. Tato laboratoř je součástí společnosti Trend Micro díky akvizici firmy Tipping Point z října loňského roku. Pobočka této laboratoře byla založena právě v Praze z několika důvodů. Praha nabízí vzdělané IT profesionály pracující za nižší platy než jejich kolegové v západní Evropě, i když tento rozdíl se již stírá. Za druhé je Praha nádherným místem k životu, a tudíž i lákavou destinací pro vývojáře z okolních zemí, na rozdíl třeba od zvažované Sofie. Jako poslední a možná nejzajímavější důvod je relativní politická stabilita českého prostředí. DVLabs pracuje s velmi citlivými údaji, jejichž kompromitování například jinou vládou by mohlo mít fatální důsledky.
Jiří Gogela dále účastníky seznámil s fungováním programu Zero Day Initiative (ZDI), který slouží k podpoře nezávislých bezpečnostních výzkumníků v jejich úsilí o identifikaci dosud neznámých zranitelností a za poskytnuté informace nabízí lákavou finanční odměnu. Díky svým aktivitám zajišťuje DVLabs ochranu před slabinami systémů a infrastruktur již tři měsíce před zveřejněním konkrétní zranitelnosti. Na závěr pak nechyběla ani ukázka toho, jak DVLabs dokáže v některých případech zpětně zachytit proces kódování a odšifrovat zamknuté soubory bez nutnosti platit „výkupné".