Již dříve jsme se na tomto blogu věnovali tématu ransomware, konkrétně Avaddon ransomware. Avaddon je však pouze jedna z mnoha ransomwarových skupin, které v dnešní době působí na internetové scéně. V době psaní tohoto článku je dokonce již nečinná. Z článku můžete nabýt základní povědomí o tom, co to ransomware vlastně je a čím se vyznačuje. Metodám, jak předcházet napadení IT infrastruktury tímto malware bylvšak věnován jen malý odstavec na konci. V tomto článku se blíže věnuji metodám a krokům, jak postupovat po úspěšném napadení. Dále se zaměřím na minimalizaci škod případného napadení Vaší společnosti. Na závěr představím doporučení pro minimalizaci rizika infiltrace IT infrastruktury společnosti.
Představme si scénář, kde se firma ABC, s.r.o. ocitne v situaci, kdy se na všech firemních počítačích objeví zlá červená obrazovka s informací o úspěšném napadení celé společnosti. Po bližším zkoumání IT oddělení zjistí, že jsou všechna data zašifrovaná a tím pádem nečitelná a nepoužitelná. Nefungují žádné systémy a zašifrované jsou dokonce i zálohy umístěné na zálohovacím serveru. Pro firmu ten nejhorší možný scénář. Nejdůležitější krok nastává hned po odhalení napadení: nezpanikařit a bezpečně odpojit všechna zařízení od sítě, vypnout je, izolovat všechny USB Flash disky, externí disky i ostatní zařízení. Někdy se doporučuje také odpojit všechny periferie koncových stanic. Následně je nejvhodnější co nejrychleji kontaktovat odbornou pomoc, která má s těmito útoky zkušenosti. Je nezbytné podoktnout, že rychlost jednání je velmi důležitá, protože hrozí okamžité zveřejnění dat. Skupiny hackerů navíc čas od času úkončují své činnosti, případně reagují jenom po nějakou dobu od útoku.
Společnosti by také měli brát zřetel na svoje legislativní, či regulatorní povinnosti a skutečnost napadnutí hlásit na příslušné orgány.
Následně je nezbytné zjistit rozsah útoku a způsobených škod. Klíčová otázka je, jestli byly také napadeny zálohy. Pokud ne, tak zjistit, jestli je možné prostředí obnovit z nich. V případě že byly, se dostáváme do nejhoršího možného scénáře a zbývá pokračovat v dalších krocích pro pokus o alespoň částečný návrat do provozu.
Pro identifikaci škod a zjištění o jaký ransomware se jedná, je důležité po úspěšném odpojení všech zařízení vybrat jeden pevný disk, nejlépe z nějaké koncové uživatelské stanice. Následně pomocí forenzních linuxových distribucí, či nástrojů, vytvořit kopii tohoto disku. Tato záloha slouží jednak pro dokumentaci stavu po útoku pro její další využití, ale také jako testovací prostředí. V žádném případě nespouštějte žádné programy z tohoto disku, ani z něj nestartujte počítač. Vytvoříme tak zálohu zašifrovaného disku, na kterém můžeme provádět další úkony bez rizika poškození zašifrovaných dat. Ve chvíli, kdy máme k dispozici kopii šifrovaného disku, si ho připojíme do izolovaného a bezpečného prostředí tak, abychom byli schopni číst jeho data. I když jsou data zašifrovaná, jsou při neexistenci záloh to jediné, co ve společnosti zůstalo.
Je velmi pravděpodobné, že nám útočníci nechali nějaké vodítko, jak je kontaktovat. Je to vlastně v jejich zájmu, protože v případě, že oběť nebude mít možnost útočníky kontaktovat, se útočníkům pravděpodobně nepodaří z oběti dostat požadované výkupné. O jakou ransomwarovou skupinu se jedná, je velmi často patrné již z koncovek šifrovaných dat.
Uvažujme nyní, že jsme nalezli na ploše šifrovaného disku jeden nezašifrovaný textový soubor. Z jeho obsahu bylo možné zjistit, že se jedná o hackerskou skupinu XYZ a soubor obsahoval také řetězec znaků a čísel označený jako ID. Poslední informací v souboru byla webová adresa vedoucí na stránky hackerské skupiny na Dark Netu.
Při jakékoli činnosti na temné straně internetu doporučuji dbát náležitých bezpečnostních opatření. Například používat vhodný webový prohlížeč na patřičném operačním systému. Mám na mysli prohlížeč TOR, který směruje veškerý webový provoz skrze anonymizační síť TOR. Doporučuji také využívat bezpečnější operační systémy, jako jsou například TAILS či Qubes OS, o kterých jsem psal také dříve v tomto článku. Nyní se nacházíme na „stránkách podpory“ hackerské skupiny a začíná vyjednávací hra. V této fázi se oběť většinou dozví veškeré požadavky, respektive cenu za poskytnutí dešifrovacího programu a termín k odeslání výkupného. Je velmi důležité při vyjednávání neztratit hlavu a jednat s jistou mírou pokory. Oběť si musí uvědomit, že bez získání dešifrovacího programu je nemožné obnovit její data do původní podoby.
Neříkám však, že není možné obnovit data bez zaplacení výkupného. Malá šance existuje vždy. Možnost dešifrování dat hrubou silou (kontrolované odhalení klíče testováním všech možných kombinací) je velmi nepravděpodobná. Kdyby tento postup byl tak jednoduchý, tak by všechny internetové služby měly velký problém, protože jsou postaveny na stejných, moderních, kryptografických principech. Kdybychom dokázali prolomit šifrování nějakého ransomware, byli bychom schopni také prolomit šifrování libovolné bankovní instituce. Tudy tedy cesta nepovede a je třeba nad celým problémem přemýšlet trochu jinak. Zatímco probíhá vyjednávání, máme možnost provést své vlastní pokusy o nápravu.
Víme, o jakou hackerskou skupinu se jedná a známe typ ransomware. Z různých zákoutí Dark Netu se nám může podařit zjistit, jaké kryptografické protokoly tento druh ransomware používá. Je možné, že objevíme zneužitelnou chybu v šifrovacím protokolu, či samotném šifrovacím programu nalezeném na disku infikovaného zařízení. Existuje také organizace No More Ransom, která neustále sleduje dění na tomto poli a snaží se analyzovat různé druhy ransomware a případně vydat i nějaký obecný dekryptor. Vhodným krokem je tedy také odzkoušení existujících dešifrovacích programů na zálohovaných šifrovaných datech.
Generálně to lze shrnout tak, že prolomení bezchybného šifrování, je nemožné. I tak ale stojí za zkoušku identifikovat možné postupy pro dekrypci. Čas od času se stane, že v ransomware je chyba, či hackerská skupina „ukončí“ svoji činnost a zveřejní generální dekryptor. Kdybych přirovnal pravděpodobnost úspěchu k loterii, tak pravděpodobnost „výhry“ bude velmi podobná.
Pokusy o dešifrování byly neúspěšné, jaké mám tedy možnosti?
Je pravděpodobné, že se data obnovit nepodaří dříve, než vyprší termín pro zaplacení výkupného. Nyní existují pouze dva scénáře. Oběť se rozhodne zaplatit výkupné nebo se jej rozhodne nezaplatit.
|
ZAPLATÍM |
NEZAPLATÍM |
|
+ mám naději na plnou obnovu dat |
+ nepodporuji nelegální aktivitu |
|
+ hackeři mohou poskytnout informace o tom, kudy se společnost podařilo napadnout |
- naděje na plnou obnovu dat je téměř nulová |
|
- nemám garanci, že mi po zaplacení poskytnou dešifrovací program (důvěřuji útočníkům) |
- hackeři neposkytnout informace o tom, kudy se společnost podařilo napadnout |
|
- nemám garanci, že nezveřejní citlivá ukradená data (důvěřuji útočníkům) |
- je pravděpodobné, že zveřejní citlivá ukradená data |
|
- nemám garanci, že si neponechají citlivá ukradená data (důvěřuji útočníkům) |
- je pravděpodobné, že si ponechají ukradená citlivá data |
|
- počítače a systémy jsou stále infikovány |
- počítače a systémy jsou stále infikovány |
|
- musím opravit celou infrastrukturu, nasadit vhodná bezpečnostní opatření |
- musím opravit celou infrastrukturu, nasadit vhodná bezpečnostní opatření |
|
- podporuji nelegální aktivitu |
- nezaplacení neznamená, že se skupina na společnost již nikdy nezaměří |
|
- získají ze mě peníze a znají mé systémy, stanu se lákavým cílem i do budoucna |
- náklady na obnovu a zabezpečení |
|
- výkupné nebývá pro firmu likvidační částka, ale významně ji pocítí |
|
|
- náklady na obnovu a zabezpečení |
|
V každém případě platí jednoznačné doporučení, a tím je neplatit. Placením prostředků útočníkům jsou podporovány jejich nelegální činnosti. S troškou nadsázky je to možné přirovnat k zakoupení kradeného auta, či výkupného za jinou trestnou činnost.
Následné obnovení provozu je nutné dělat postupně v krocích a spouštět pouze nově nainstalované systémy. Teprve po jejich správné konfiguraci je možné zpřístupnit data. Původní systémy, a to včetně například virtualizační platformy, určitě nezapojovat do sítě. Nikdy nevíte, jestli si tam útočník nenechal zadní vrátka.
Výše uvedené kroky není možné chápat jako bezpečný návod pro obnovení dat a provozu po provedení útoků. Pokud se stanete obětí útoku, neváhejte, a co nejrychleji se obraťte na odborníky.
Jak předcházet napadení ransomware?
Z textu výše může čtenář pochopit, že být obětí ransomware útoku není žádná legrace. I bez započítání případného výkupného je škoda velmi vysoká. Musíme počítat ušlý zisk z doby nečinnosti společnosti, možné ztráty zákazníků z nemožnosti poskytovat služby, či z pozastavení výroby produktů. Dále jsou zde pak náklady na obnovu infrastruktury a investice do bezpečnostních opatření. Přestože žádný systém není dokonalý, existuje řada doporučení pro minimalizaci rizik infiltrace společnosti.
|
PROVOZ DATOVÉHO CENTRA |
|
|
Bezpečnostní incidenty |
Mít nastavené postupy pro management bezpečnostních incidentů, i těm finálně označených jako falešný poplach. |
|
Oprávnění systémů |
Žádné systémy ani databáze nesmí běžet pod privilegovanými uživateli, pokud to není vyloženě nutné (ve většině případů není!) . |
|
Zálohování |
Mít vhodně nastaveno zálohování a mít k dispozici také offline verzi těchto záloh umístěných mimo lokalitu společnosti. Je důležité také pravidelně testovat obnovu záloh. Zálohy jsou k ničemu, pokud z nich v době potřeby nebude možné obnovit systémy. |
|
Bezpečnostní prvky |
Nasazení bezpečnostních prvků jako jsou UPS, firewall, IDS/IPS, antivirová ochrana. |
|
Segmentace sítě |
Je důležité mít také správně segmentovanou síť (VLAN). Oddělená síť pro návštěvníky, vnitřní části sítě dle povahy jejich činností a servery dostupné z internetu mít umístěné v izolovaném segmentu sítě bez přístupu do vnitřní části sítě. |
|
Vzdálený přístup |
Tam, kde není nutný přístup z internetu pro veřejnost mít aktivní VPN odpovídající současným standardům a bez zranitelností. |
|
ÚDRŽBA SOFTWAROVÉHO VYBAVENÍ |
|
|
Zranitelnosti systémů |
Pravidelné skenování zranitelností a penetrační testování infrastruktury vůči známým zranitelnostem. S tím souvisí také pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti, protože sociální inženýrství je nejjednodušší metoda infiltrace sítě společnosti. |
|
Aktualizace |
Instalace aktualizací systémů. |
|
Zastaralé systémy |
Znemožnění existence operačního systému na síti, kterému skončila podpora od výrobce. |
|
Testování |
Testování nových částí softwarů a rozdělení testovacího a produkčního prostředí. Monitorovat data mezi komunikujícími systémy. |
|
ŘÍZENÍ PŘÍSTUPŮ |
|
|
Politika hesel |
Mít vhodně nastavenou politiku hesel a vynucovat její uplatňování. |
|
Rozdělení oprávnění |
Správně rozdělovat oprávnění a vhodně jej spravovat. Měly by být nastaveny postupy pro řízení uživatelských účtů (terminace, vytváření, editace). Vhodným nástrojem je pravidelná revize uživatelských oprávnění. |
|
Vzdálený přístup uživatelů |
Pro vzdálenou práci využívat vhodných nástrojů, jako je například tunelované, šifrované připojení skrze VPN. |
|
Více faktorová autentizace |
Využívat více-faktorovou autentizaci všude, kde je to možné. |
|
LIDSKÉ ZDROJE |
|
|
Školení |
Pravidelně školit veškeré uživatele. |
|
Komunikace |
Komunikovat s nimi o kybernetických rizicích. |
|
Simulované útoky |
Vhodným prvkem je také realizace školení formou simulovaných útoků přes sociální inženýrství a na jejich základě postupně vysvětlovat, jak bylo možné pokus identifikovat jako pokus. |
|
Poučení |
|
|
Poučit se |
Doufat, že se to již nestane a ptát se sám sebe: “udělal jsem vše pro to, aby se to neopakovalo?” |