Na najsofistikovanejšie útoky je základná úroveň zabezpečenia prikrátka. Pokročilé pretrvávajúce hrozby (APT hrozby), nové typy ransomvérov či bezsúborové útoky odvráti iba komplexnejšia viacvrstvová ochrana – nástroj na detekciu a reakciu na útoky na koncové zariadenia (EDR). Spoločnosť ESET má vo svojom arzenáli riešenie ESET Enterprise Inspector.
Podoby ransomvéru
Ransomvér sa kedysi vyznačoval tým, že útočník zašifroval citlivý obsah, ku ktorému sa obeť dostala po zaplatení výkupného. Dnes si útočníci nechávajú otvorené zadné dvierka pre prípad, že obeť odmietne zaplatiť za sprístupnenie dát, ktoré má zálohované inde. Aby hackeri vedeli aj v takom prípade vymáhať peniaze, súbory si kopírujú v predstihu s cieľom vydierať ich zverejnením. To si vyžaduje, aby pomocou sofistikovaných metód dlhšie nepozorovane sliedili v zariadeniach napadnutých osôb či firiem.
Od konca 80. rokov minulého storočia mal ransomvér mnohé podoby. Najprv cez infikované diskety napádal počítače, kde ukrýval adresáre a šifroval názvy súborov na harddisku. Používateľa vyzval, aby si obnovil licenciu zaslaním 189 dolárov do poštovej schránky na Paname. Známe sú aj prípady, keď útočníci zablokovali zariadenie bez toho, aby niečo zašifrovali. Výnimkou nie je ani uzamknutie obrazovky či zobrazovanie pornografických materiálov. Spoločným menovateľom všetkých nepríjemných situácií je vymáhanie výkupného.
Zablokovanie nestačí
Mnohé firmy sa rokmi z útokov poučili. Zaviedli ochranné technológie, vytvorili si odolné zálohy a sú čoraz menej ochotné platiť hackerom za sprístupnenie údajov. Útočníci sa však príjmov vzdať nechcú a siahajú po pláne B. Nespoliehajú sa na šifrovanie a blokovanie súborov. Citlivé dokumenty si rovno kopírujú. Obetiam sa následne vyhrážajú, že ich v prípade nezaplatenia zverejnia. Nejde pritom o novú techniku vydierania, útokov pribúda čoraz viac.
Takýto postup je zdĺhavejší a vyžaduje si, aby útočníci disponovali špecifickými zručnosťami a dávkou trpezlivosti. Do siete sa musia hackeri dostať potichu. Nestačí rozposlať jednoduché phishingové maily a dúfať, že nepozorný zamestnanec vpustí do systému ransomvér. Vstupnými bránami pre takéto útoky je aj zraniteľnosť protokolov na vzdialený prístup, útoky zamerané na krádež prístupových údajov aj tradičné techniky sociálneho inžinierstva.
Keď sa útočníkom podarí preniknúť do firemnej siete, musia sa v nej pohybovať bez povšimnutia. Zbierajú informácie a prístupové údaje, ktoré im zabezpečia zotrvanie v systéme aj po odstrihnutí pôvodnej prístupovej cesty. Zmapovanie firemných dokumentov je časovo náročné. Hackerské skupiny cielia na dáta, ktoré majú pre firmy cenu zlata. Idú po súboroch, ktorých zablokovanie či zverejnenie podnikom spôsobí kolosálne škody. Až keď ich potajomky získajú, prechádza útok do otvoreného vymáhania peňazí.
Astronomické výkupné
Nutnosť financovania sofistikovanejších taktík sa premietla aj do cenníkov hackerských skupín. Nárast požadovaného výkupného je astronomický. Pre ilustráciu, v roku 2018 zasiahol americkú Atlantu tradičný ransomvérový útok. Hackeri zašifrovali servery kľúčovej infraštruktúry a požadovali od mesta 51-tisíc dolárov. Atlanta reagovala správne, odmietla zaplatiť a infraštruktúru si vybudovala nanovo za deväť a pol milióna dolárov. Rok na to útočníci zasiahli mestá Lake City a Riviera Beach City na Floride, ktoré sa rozhodli hackerom vyhovieť a obe zaplatili 500-tisíc a 600-tisíc dolárov.
Počas ransomvérového útoku na jeden z najväčších amerických ropovodov v máji tohto roka kybernetickí zločinci ochromili dodávku pohonných hmôt vo východnej časti USA. Spoločnosť Colonial Pipeline nakoniec útočníkom zaplatila až 4,4 milióna dolárov. V porovnaní s touto sumou vyzerá výkupné požadované pred troma rokmi od Atlanty ako zanedbateľné. Všetko však nasvedčuje tomu, že zvyšovanie výkupného bude pokračovať aj naďalej.
Ako sa chrániť
Spoločnosti, ktoré sa rozhodnú investovať do prevencie, sa katastrofického scenára o nútenom vyplácaní sedemciferných súm nemusia obávať. Proti sofistikovaným ransomvérovým útokom existuje účinná ochrana, konkrétne nástroj detekcie a reakcie na útoky na koncové zariadenia (EDR). Spoločnosť ESET je so svojim riešením ESET Enterprise Inspector o krok pred útočníkmi.
EDR nástroj dokáže odvrátiť už prvú skrytú fázu ransomvérového útoku, ktorú neodhalil základný bezpečnostný softvér. Umožňuje detailnú analýzu podozrivých aktivít v počiatočnom štádiu útoku, zabráni hackerom dostať sa hlbšie do systému a nepretržite v reálnom čase monitoruje siete a aktivity na koncových zariadeniach. Ransomvéry proaktívne vyhľadáva včasnou detekciou skrytých vnútorných hrozieb či phishingu.
Nie je tajomstvom, že kybernetickí útočníci sa snažia využívať techniky, pri ktorých je náročné odhaliť a odvrátiť ich nekalú aktivitu. Spoliehajú sa najmä na skompromitovanie legitímnych a pre používateľov dôveryhodných už nainštalovaných programov. Keďže útoky sa odohrávajú mimo súborov, páchatelia zanechávajú po sebe len minimálne stopy. Podozrivé správanie, ktoré si základný bezpečnostný softvér nevšimne, dokážu aj v tomto prípade odhaliť sofistikovanejšie EDR nástroje.
Komplexné cielené útoky
V uplynulých rokoch sme boli svedkami využívania čoraz komplexnejších a presne mierených útokov. Bezpečnostní experti v tejto súvislosti upozorňujú na bezsúborové útoky, ktoré sa odohrávajú prostredníctvom vlastných nástrojov operačného systému. Útočníci sa infiltrujú do predinštalovaných programov bez toho, aby do zariadenia zaviedli dodatočné škodlivé súbory. Malvér sa dostane do legitímnych aplikácií cez ich zraniteľnosti.
Spúšťačom útokov bývajú spravidla používatelia. Bežným scenárom sú kliknutia na skompromitovaný odkaz vo phishingovom maile. Aby sa zobrazil obsah, stránka spustí Flash. Cez jeho zraniteľnosť sa škodlivý kód dostane na Powershell, ktorý je softvérovým komponentom Microsoft Windows a má neobmedzený prístup k operačnému systému.
Takto sa malvér dostane do predinštalovaných aplikácií bez toho, aby zalarmoval základný bezpečnostný softvér. Škodlivé aktivity sú často vykonávané z pamäte a nezanechávajú po sebe takmer žiadne stopy. Malvér pôsobí v sieti i dlhodobo, čím útočník postupne získava čoraz väčšie privilégiá. Po získaní potrebných právomocí už páchateľom nič nebráni ukradnuté údaje vyniesť.
Keďže sú tieto útoky náročné na odhalenie, hackeri ich v snahe zostať neviditeľnými využívajú na zvýšenie efektívnosti nelegálnych aktivít. Nejde o nové formy útokov, no experti predpokladajú, že ich význam bude v najbližšej dobe narastať a cieľom hackerských skupín budú najmä kritická infraštruktúra a finančný sektor.
Sofistikovaná ochrana
Sofistikované bezsúborové útoky unikajú radarom štandardných bezpečnostných softvérov. V ohrození sú najmä spoločnosti, ktoré sa spoliehajú na základnú ochranu. Výhodu majú firmy, ktoré monitorujú životný cyklus hrozieb od prvotných pokusov páchateľa preniknúť do systému. Podniky by preto mali zvážiť zavedenie viacvrstvovej ochrany, vďaka ktorej sa zvýši viditeľnosť hrozieb.
Tempo s útočníkmi našťastie držia bezpečnostní experti. Tak ako pri nových formách ransomvérov, aj v prípade bezsúborových útokov dokáže spraviť škrt cez rozpočet hackerom EDR technológia, ktorá je schopná v reálnom čase rýchlo reagovať aj pri tom najmenšom náznaku podozrivej aktivity v celej sieti. ESET Enterpise Inspector zachytáva správanie, ktoré vyzerá nebezpečne už na začiatku. Zároveň analyzuje incidenty, ktoré by mohli byť súčasťou väčšieho útoku a izoluje zariadenia, ktoré môžu byť infikované.
Pandémia urýchlila digitálnu transformáciu, čo so sebou prináša aj bezpečnostné výzvy. Viac ako kedykoľvek predtým je preto kľúčové, aby spoločnosti dokázali včas podchytiť podozrivé správanie v celej sieti. Jeden nesprávny klik nepozorného zamestnanca na home-office dokáže totiž spustiť lavínu problémov pre celú firmu.
Tento článok vznikol v spolupráci s komerčným partnerom. Redakcia nie je jeho autorom, ale obsah článku považuje za prínosný pre čitateľa.
