Hlavní navigace

Zaplať, nebo nedostaneš data. Příběh o tom, jak lehce vám může zatopit ransomware

Jan Sedlák

Ransomware je nejvýnosnější druh škodlivého kódu v historii. Zašifrovat data a chtít výpalné je přitom dost snadné.

Paní G. pracuje v jednom menším zdravotnickém zařízení v Brně. Jde o soukromý podnik, který má smlouvy s pojišťovnami a jednotky zaměstnanců. Když tato firmička řešila, jak si v kancelářích vyřeší IT zázemí, pozvala paní G. jednoho svého kamaráda ajťáka, který se o hodně věcí postaral. „Plně jsme jeho řešení důvěřovali,“ říká pro Lupu.

Z běžného počítače s Windows 8 tak vznikl server, na kterém běžel pro firmu důležitý zdravotnický software zaznamenávající údaje o pacientech. Záznamy přibývaly po desítkách za den. Letos koncem října se ale něco stalo.

K informacím, které na serveru byly uloženy, se nebylo možné dostat. Při snahách o jejich otevření se vždy objevila informace s e-mailovou adresou, na které se v Brně měli dozvědět, kolik je bude stát, aby se ke svým datům dostali.

Zaplať a k datům se dostaneš

Ve firmě propukla panika, 30. října totiž muselo být hotové vyúčtování, ke kterému byl stěžejní software běžící na Microsoft SQL databázi potřeba. Přesný název softwaru, své jméno ani název společnosti nechce paní G. zveřejňovat právě kvůli případným komplikacím s pojišťovnami. „Pojišťovnám jsme neměli co ukázat,“ říká paní G.

Asi 50 procent organizací bylo napadeno ransomwarem.
Autor: Osterman Research

Asi 50 procent organizací bylo napadeno ransomwarem.

Počítač brněnské firmy napadl takzvaný ransomware, což je druh škodlivého softwaru, který různými způsoby zašifruje data. Útočníci pak uvedou kontakty (často ve formě wallpaperu na ploše) a způsoby, jakými je možné zaplatit a nechat si data opět odšifrovat.

Malá zdravotnická organizace kvůli ransomwaru ztratila přístup ke všem údajům. „Vůbec jsme nevěděli, co máme dělat. Začala jsem googlovat a hledat všemožné informace. Pomoc je ale strašně těžko dohledatelná. Začala jsem volat do různých antivirových společností, ovšem nikam jsem se moc nedostala,“ vzpomíná paní G.

Během hledání informací na internetu se paní G. podařilo najít článek od výzkumníků z brněnské centrály AVG (dnes už Avast). „Zavolala jsem tedy na recepci AVG a chtěla jsem, aby mě přepojili na autora článku. Mohli mi dát jenom jeho e-mail, takže jsem se na něj obrátila a byla jsem velmi překvapená, že někdo zareagoval.“

Štěstí v neštěstí

V AVG začali po e-mailu problém řešit. „Byli jsme velice překvapení, že nám paní G. poslala velice dobrý a přesný popis toho, co se děje,“ popisují výzkumníci v brněnských kancelářích. „Paní měla štěstí, protože už jsme nějakou dobu na rodině ransomware, která její firmu napadla, pracovali. Měli jsme prototyp softwaru na jeho rozšifrování, takže jsme ho mohli otestovat na ukázkových souborech v praxi.“

Průměrný počet nakažení ransomwarem.
Autor: Symantec

Průměrný počet nakažení ransomwarem.

Zdravotnická firma byla napadena ransomwarem CrySiS. Štěstí bylo v tom, že k jeho použité variantě byly na kyberbezpečnostních fórech zveřejněny dešifrovací klíče (bylo jich asi 200), díky čemuž bylo možné dešifrovací nástroje vytvořit. „Nyní už se šíří varianty s novými klíči. Obecně lze říci, že když je šifrování v ransomwaru implementováno správně, nejde rozšifrovat,“ navazují lidé z AVG.

Různé kyberbezpečnostní společnosti postupně vydávají nástroje, které zvládnou určité typy ransomwaru rozšifrovat, jako vždy v tomto odvětví jde ale o nikdy nekončící boj. Firmy v podstatě na kybernetické kriminálníky pouze reagují. „Když vydáme nástroj, který umí dešifrovat, zároveň dáváme autorům ransomwaru vějičku, co a jak dělají špatně.“

Případ paní G. nakonec dopadl celkem dobře a stroj se povedlo rozšifrovat. Firma ale neprováděla externí zálohy a obnovená záloha tak byla dva roky stará. Firma měla novější údaje vytištěny, takže je pak musela přepsat. V Brně každopádně nemuseli nikomu nic platit. „Mí známí dříve zaplatili 100 tisíc korun a data zpátky dostali,“ říká paní G.

Velmi dobrý obchod

Jenže něco takového není samozřejmost. Společnost Trend Micro například na výzkumu ve Velké Británii zjistila, že každá pátá firma, která výpalné provozovatelům ransomwaru zaplatila, svá data zpátky nezískala.

Platby za výpalné.
Autor: Symantec

Platby za výpalné.

Ransomware je velice výdělečný obchod. Podle nedávné studie Cisca jde dokonce o nejziskovější druh škodlivého softwaru v historii. Check Point zase hlásí, že jen třeba ransomware Cerber za měsíc dokáže vygenerovat „tržby“ 195 tisíc dolarů. Meziroční nárůsty ransomwaru hlásí každá bezpečnostní společnost trochu jiné, obecně jde ale i o stovky procent. Ransomware je považován za největší bezpečnostní problém dneška.

„Výpalné odhadem zaplatí 3 až 5 procent napadených organizací. Průměr je pak 500 dolarů na jednu infekci,“ dodávají v AVG. To je dokonce lepší poměr, než jaký generují například mobilní aplikace se svými mikrotransakcemi (často pod jedno procento). „Ransomware je mezi kybernetickými zločinci populární. Model podnikání je jednoduchý. Není třeba se někde schovávat, vyčkávat, kdy zaútočit a tak dále. Prostě se zašifrují data.“

Výnosnosti tohoto druhu „podnikání“ rovněž napomáhá systém plateb. Kybervyděrači v drtivé většině případů přijímají platby v bitcoinech a mnoho z nich poskytuje velmi přesné návody, jak si bitcoinovou peněženku založit a jak platbu poslat. Nabízí i něco jako „zákaznickou podporu“.

Ransomware také přidělává bolení hlav policii, které je možné případy takového napadení hlásit. Ta tuzemská nicméně podrobnější údaje a postupy vyšetřování nezveřejňuje. „Policie ČR se s takovými případy setkává, své postupy nezveřejňuje, nicméně občany nabádá k opatrnosti a k zálohování dat,“ říká pro Lupu mluvčí Národní centrály proti organizovanému zločinu Jaroslav Ibehej. Podle informací Lupy se nicméně policie často obrací právě na antivirové společnosti.

Mnoho cest vede na východ

Podle dlouhodobějšího pozorování Lupy se navíc nezdá, že by na ransomwaru dělali klišé hackeři v kapucích a sklepeních. Hodně útoků a kódu lze vystopovat do rusky mluvících zemí, kde útočníci často žijí nijak neskrývaně a na vysoké noze.

Metody doručování ransomwaru.
Autor: Osterman Research

Metody doručování ransomwaru.

Při rozhovorech s ruským kybernetickým podsvětím vychází často najevo, že tamní vláda po útočnících, kteří se zaměřují na cizinu, nijak zásadně nejde. Varuje je pouze před tím, aby něco takového nezkoušeli doma.

„To by tak odpovídalo. Narazili jsme třeba na druhy ransomwaru, které mají jasně definováno, že když je systém napadeného počítače v azbuce, nemá se nic škodlivého dít,“ říkají k tomu v AVG. Toto všechno ovšem neznamená, že by se ransomware ve velké míře netvořil i v dalších zemích po celém světě.

Kód, který napadl firmu paní G., byl se značnou pravděpodobností také ruského původu. Klávesnice napadeného stroje totiž byla přepnutá do ruštiny.

Pro paní G. ale z toho všeho pramení i značné ponaučení. Příklad této firmy je totiž hodně podobný tomu, jak se ve zdejších firmách řeší věci kolem IT – často je berou jenom jako nutné zlo, které za pár korun zvládne zařídit „syn od souseda“. „Určitě teď budeme více investovat. Už jsme si najali profesionála, který nám chystá nové řešení včetně zálohování a přístupu přes VPN,“ říká paní G., které se situaci s napadením díky dosti náhodné pomoci AVG nakonec podařilo vyřešit za 10 dní.

CIF17_Williams1

Rodina ransomwaru, která brněnskou společnost napadla, často útočí přes RDP protokol. Server byl připojený do internetu (v lokální síti pouze k jednomu počítači) a právě přes vzdálenou plochu k němu přistupoval pan doktor.

„Ale ta pomoc je opravdu strašně těžko dohledatelná,“ zakončuje paní G. „To je pro nás dobrý vstup. V tomto ohledu je potřeba osvěta,“ dodávají výzkumníci.

Našli jste v článku chybu?