Hlavní navigace

Veselé Vánoce aneb Jak ransomware zašifroval firmám z Prahy data před účetní uzávěrkou

Jan Sedlák

Další příběh o ransomwaru má nakonec šťastný konec. Jen obnovení dat a doplnění informací z nekompletních záloh ale zabralo měsíc.

Náš článek z konce loňského roku o tom, jak jednu malou zdravotnickou firmu v Brně napadl ransomware, vyvolal řadu debat. Hodně lidí se podivovalo především nad tím, že si někdo v podniku stále nechá dělat IT od „syna souseda od vedle“ a kvůli tomu zvýší bezpečnostní rizika. Dnešní příběh je z Prahy a ukazuje, že ransomware může zatopit i menší firmě plné technicky zdatnějších lidí.

Přesněji řečeno jde o dvě firmy s jedním majetkovým propojením. Jedna z nich se soustředí na obchodování s mobilními technologiemi a zaměstnává kolem patnácti lidí, druhá pak provozuje restauraci a práci dává asi osmi lidem.

Tyto propojené společnosti už řadu věcí kolem informačních technologií v minulosti přesunuly „ven“, fungují například na e-mailových službách od Googlu. Jedna věc ale i z historických důvodů zůstávala – server vytvořený z obyčejného počítače s Windows 10 běžící v kancelářích. Jeho jediným účelem bylo provozovat účetní software Pohoda.

Check Point

Check Point Software Technologies Ltd. je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.

Check Point Software Technologies Ltd., hlavní partner speciálu o ransomwaru.

Veselé Vánoce

Koncem roku 2016, někdy kolem Vánoc, když přišel čas na účetní uzávěrku, se to stalo. Asi šest lidí se k účetnímu serveru připojuje přes vzdálenou plochu (RDP), tentokrát ale nebyla k dispozici žádná data. Objevila se pouze hláška, že informace na serveru jsou zašifrovány, a pokud je chce firma dostat zpět, má zaplatit. 

Ransomware Merry X-Mas
Autor: Check Point Software Technologies

Ransomware Merry X-Mas

Náš předchozí příběh z Brna ukazoval, jak složitě se k informacím o ransomwaru dostávají lidé bez zkušeností s IT, v pražském podniku ale několik zaměstnanců vědělo, o co jde. Začali tedy hledat informace na internetu. Zjistili jenom to, že v té době k dotyčnému malwaru ještě neexistoval veřejně dostupný klíč pro dešifrování.

„Došli jsme k tomu, že jde o typ ransomwaru, ke kterému zatím klíče nejsou. Začali jsme tedy řešit, jestli máme zaplatit,“ popisuje pro Lupu pan D. „To ale moc nikam nevedlo. Jeden kolega našel, že zrovna tito útočníci po zaplacení skutečně data odšifrují, druhý kolega ale našel přesný opak. Takže jsme se radši rozhodli nezaplatit.“

Jen toto vyhledávání informací zabralo několik dnů. Následovalo rozhodnutí, že si firmy obnoví data ze zálohy. Ta naštěstí byla uložena na hostovaném serveru mimo kanceláře. Jenže například restaurace přišla o účetní data za půl roku a zálohy rozhodně nebyly prováděny na denní či týdenní bázi.

Podíl ransomwaru na trhu
Autor: Check Point Software Technologies

Podíl ransomwaru na trhu

Příběh má relativně dobrý konec, data se nakonec podařilo znovu poskládat dohromady. Nicméně zaměstnancům to zabralo měsíc času a náklady se odhadem pohybovaly mezi 50 až 60 tisíci. Mimochodem, dešifrovací nástroj na tento typ ransomwaru už dnes existuje.

Dvojnásobný růst ransomwaru

Server s Windows 10 a Pohodou ve dvou vinohradských firmách běží i nadále. Jsou tu ovšem některé změny: je třeba za firewallem, předělaly se porty a je nastavené pravidelné zálohování dat mimo kanceláře. V reakci na problém s ransomwarem firmy také přesouvají další služby do cloudu. „I jako malá firma vidíme cloud jako více bezpečný. Nezaměstnáváme odborníky na kybernetickou bezpečnost a naše starosti jsou jinde,“ říká pan D.

Vývoj ransomwaru na Androidu
Autor: ESET

Vývoj ransomwaru na Androidu

To, jak se ransomware na server dostal, firmy do detailů nezjišťovaly. Některé typy ransomwaru každopádně útočí právě přes RDP, které se k připojování ve firmě používá. „Také je možné, že tam [na serveru] šéf něco udělal,“ říká pan D. Ransomware se jinak šíří různými cestami (PDF, přílohy, EXE soubory a tak dále) a kopíruje metody tradičního malwaru.

Podle společnosti Check Point se počet odhalených útoků přes ransomware v druhé polovině loňského roku zdvojnásobil a s podobným trendem lze počítat i do budoucna. Ransomware už tvořil 10,5 procenta útoků (více ve studii). Už dřívější průzkumy ukázaly, že jde nejspíše o nejvýdělečnější malware v historii, výkupné totiž platí i tři až pět procent napadených firem. Ransomware už má tisíce variant a hlavní rodiny se postupně modifikují a vyvíjejí.

Tip Content Kortanová

Největší podíl mezi ransomwary má podle Check Pointu Locky (41 procent) následovaný Cryptowallem (27 procent) a Cerberem (23 procent). Ransomware už se také dá pronajímat jako služba (malware-as-a-service).

Společnost ESET zase upozorňuje, že se navyšuje i využívání ransomwaru v rámci mobilních zařízení, zejména Androidu. Objevují se zejména takzvané lockscreeny, které uzamknou úvodní obrazovku a tradiční zašifrování dat. Podle ESETu ransomware útoky na Android rostou rychleji než útoky jako celek (více ve studii). Ransomware už se objevuje také na chytrých televizích s Androidem.

Našli jste v článku chybu?
23. 3. 2017 11:05
M (neregistrovaný)

ikdyby si hrál s tou stanicí, tak vzhledem k tomu jak se to pak chová, by mu ta Pohoda jaxi stejně nešla korektně provozovat - takže spíš to bude celé vymyšlené - ale hlavně od někoho, kdo toho o fungovaní TS zas tak moc neví. Prostě dětinská reklama z toho smrdí na sto honů.

23. 3. 2017 12:53
OB (neregistrovaný)

Článek neříká, že se všichni připojují najednou. Pokud se vystřídají, je to OK.