Kybernetické hrozby jsou dnes všudypřítomné – kromě tradičních virů je v současné době dominantní formou útoku ransomware; druh malwaru, který zašifruje vaše data a znemožní vám se k nim dostat, pokud nezaplatíte útočníkovi „výpalné“.
Právě na boj proti ransomwaru se dnes zaměřuje řada antivirových a zálohovacích společností: dostat jej do svého počítače je totiž velice jednoduché; zbavit se jej naopak často hraničí s nemožným.
Za příklad mohou sloužit kybernetické útoky skupiny Turla, které analyzovala slovenská antivirová společnost ESET. Do počítačů poškozených uživatelů se dostanou velmi jednoduše – využitím zranitelnosti v PDF dokumentech zasílaných jako příloha v e-mailu. Nejde sice přímo o ransomware, jedná se o jiný druh malwaru, ale průběh infikování počítače je podobný.
Malware snadno a rychle
Nejnovější verze tohoto specifického malwaru (jde o backdoor, někdy do češtiny překládaný jako „zadní vrátka“) cílí na populární Microsoft Outlook, e-mailový klient hojně využívaný jak ve firmách, tak běžnými spotřebiteli. Malware skupiny Turla je specifický v tom, že k provedení různých příkazů používá speciálně upravené PDF soubory. Ty po otevření v příloze e-mailu dokáží kupříkladu odesílat data, stahovat soubory nebo spouštět další programy.
Backdoor infikuje registry Windows a způsobí, že při každém spuštění Outlooku se samostatně aktivuje. Kdykoliv poté přes klienta uživatel pošle e-mail, vygeneruje program skupině Turla protokol s informacemi o zprávě, odesílateli, předmětu a příloze.
Neméně nebezpečné jako PDF přílohy jsou také dokumenty typu .docx nebo .doc, tedy s příponami Wordu. U nich hrozí výskyt spustitelných skriptů, které jsou schopny zneužít zranitelnosti ve Visual Basicu Microsoftu a do počítače ransomware dostat jednoduše a bohužel i rychle.
Právě e-mail a zasílané přílohy obecně patří mezi největší hrozby – pro útočníka jsou totiž snadným přístupem do systému a ve spojení s phishingem a sociálním inženýrstvím mají poměrně vysokou naději uspět. Faktury ve formátu PDF dostává mnoho podniků; pokud se do účetního oddělení vloudí e-mail útočníka, který je strukturován podobně jako e-maily od dodavatelů a tváří se oficiálně, je snadné přílohu otevřít.
Pokud už se ransomwaru podaří do počítače proniknout, je velmi těžké se jej zbavit.
Poté už nezbývá než doufat, že je záloha aktuální nebo zabezpečení dostatečně sofistikované.
Útočníci obvykle žádají za odšifrování dat nemalé částky, a obzvláště u velkých firem jim tato strategie mnohdy vychází – podniky raději za svá zaplatí. Není však známo, jak často oběti skutečně data za poplatek odšifrují.
Obrana je složitá, ale možná; klíčové jsou zálohy
Nejjistější formou ochrany proti ransomwaru je pravidelné zálohování např. na cloudovém úložišti, ale antivirové společnosti se snaží přicházet s novými možnostmi, jak proti těmto hrozbám bojovat. ESET se v tomto případě zaměřil na podnikovou sféru a vytvořil rafinovaný systém, který dokáže útočníky „přechytračit“.
Na včerejší tiskové konferenci firma odhalila nový software na ochranu koncových bodů ESET Enterprise Inspector. Je určen primárně pro IT administrátory, kterým umožňuje sledovat, jakým způsobem hrozba počítač infikovala a jak následně postupovala při průniku do systému. Díky tomu je schopen zjistit užitečné informace a případně sám soubory dešifrovat.
Pokud kupříkladu program obsah disku vloží do souborů typu .rar (což je velmi běžný postup), tak administrátor v softwaru uvidí, jaké heslo útočník k zašifrování použil a pomocí něj soubory dokáže opětovně odblokovat.
Jde jen o jeden ze způsobů, jak s malwarem v počítači bojovat. V současné době je důležitý komplexní přístup, nikoli pouhé řešení následků; je samozřejmě ideální, když se virus do sítě vůbec nedostane, a pokud, tak je izolován na jediném zařízení. ESET nově představil množství produktů určených primárně pro firmy, které se mají postarat o „svatou čtveřici“ kybernetického zabezpečení: predikci, prevenci, detekci a reakci.
Nejčastější způsob, jakým dnes útočníci do systému pronikají, je sociální inženýrství. Základním a nejlépe fungujícím řešením, jak se ransomwarem nenakazit, je zásadně neotvírat neznámé nebo neočekávané e-mailové přílohy; pozor také na e-maily, které se zdají jakožto oficiální zpráva od instituce – často banky či pojišťovny – ale ve skutečnosti jsou jen falešným účtem útočníka.
Velmi užitečné je také nechat si zobrazit přípony souborů v průzkumníku Windows. Někdy se stažené soubory mohou zdát bezpečné, s ikonkou obrázku či PDF souboru. Jenže po zapnutí přípon leckdy zjistíme, že soubor se místo „soubor.jpg“ jmenuje „soubor.jpg.exe“ a pouze se tváří jakožto obrázek, ale je ve skutečnosti spustitelným programem – a přes ty se malware dokáže rozšířit bleskovou rychlostí.