Náš článek z konce loňského roku o tom, jak jednu malou zdravotnickou firmu v Brně napadl ransomware, vyvolal řadu debat. Hodně lidí se podivovalo především nad tím, že si někdo v podniku stále nechá dělat IT od „syna souseda od vedle“ a kvůli tomu zvýší bezpečnostní rizika. Dnešní příběh je z Prahy a ukazuje, že ransomware může zatopit i menší firmě plné technicky zdatnějších lidí.
Přesněji řečeno jde o dvě firmy s jedním majetkovým propojením. Jedna z nich se soustředí na obchodování s mobilními technologiemi a zaměstnává kolem patnácti lidí, druhá pak provozuje restauraci a práci dává asi osmi lidem.
Tyto propojené společnosti už řadu věcí kolem informačních technologií v minulosti přesunuly „ven“, fungují například na e-mailových službách od Googlu. Jedna věc ale i z historických důvodů zůstávala – server vytvořený z obyčejného počítače s Windows 10 běžící v kancelářích. Jeho jediným účelem bylo provozovat účetní software Pohoda.
Check Point Software Technologies Ltd. je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.
Check Point Software Technologies Ltd., hlavní partner speciálu o ransomwaru.
Veselé Vánoce
Koncem roku 2016, někdy kolem Vánoc, když přišel čas na účetní uzávěrku, se to stalo. Asi šest lidí se k účetnímu serveru připojuje přes vzdálenou plochu (RDP), tentokrát ale nebyla k dispozici žádná data. Objevila se pouze hláška, že informace na serveru jsou zašifrovány, a pokud je chce firma dostat zpět, má zaplatit.
Náš předchozí příběh z Brna ukazoval, jak složitě se k informacím o ransomwaru dostávají lidé bez zkušeností s IT, v pražském podniku ale několik zaměstnanců vědělo, o co jde. Začali tedy hledat informace na internetu. Zjistili jenom to, že v té době k dotyčnému malwaru ještě neexistoval veřejně dostupný klíč pro dešifrování.
„Došli jsme k tomu, že jde o typ ransomwaru, ke kterému zatím klíče nejsou. Začali jsme tedy řešit, jestli máme zaplatit,“ popisuje pro Lupu pan D. „To ale moc nikam nevedlo. Jeden kolega našel, že zrovna tito útočníci po zaplacení skutečně data odšifrují, druhý kolega ale našel přesný opak. Takže jsme se radši rozhodli nezaplatit.“
Jen toto vyhledávání informací zabralo několik dnů. Následovalo rozhodnutí, že si firmy obnoví data ze zálohy. Ta naštěstí byla uložena na hostovaném serveru mimo kanceláře. Jenže například restaurace přišla o účetní data za půl roku a zálohy rozhodně nebyly prováděny na denní či týdenní bázi.
Příběh má relativně dobrý konec, data se nakonec podařilo znovu poskládat dohromady. Nicméně zaměstnancům to zabralo měsíc času a náklady se odhadem pohybovaly mezi 50 až 60 tisíci. Mimochodem, dešifrovací nástroj na tento typ ransomwaru už dnes existuje.
Dvojnásobný růst ransomwaru
Server s Windows 10 a Pohodou ve dvou vinohradských firmách běží i nadále. Jsou tu ovšem některé změny: je třeba za firewallem, předělaly se porty a je nastavené pravidelné zálohování dat mimo kanceláře. V reakci na problém s ransomwarem firmy také přesouvají další služby do cloudu. „I jako malá firma vidíme cloud jako více bezpečný. Nezaměstnáváme odborníky na kybernetickou bezpečnost a naše starosti jsou jinde,“ říká pan D.
To, jak se ransomware na server dostal, firmy do detailů nezjišťovaly. Některé typy ransomwaru každopádně útočí právě přes RDP, které se k připojování ve firmě používá. „Také je možné, že tam [na serveru] šéf něco udělal,“ říká pan D. Ransomware se jinak šíří různými cestami (PDF, přílohy, EXE soubory a tak dále) a kopíruje metody tradičního malwaru.
Podle společnosti Check Point se počet odhalených útoků přes ransomware v druhé polovině loňského roku zdvojnásobil a s podobným trendem lze počítat i do budoucna. Ransomware už tvořil 10,5 procenta útoků (více ve studii). Už dřívější průzkumy ukázaly, že jde nejspíše o nejvýdělečnější malware v historii, výkupné totiž platí i tři až pět procent napadených firem. Ransomware už má tisíce variant a hlavní rodiny se postupně modifikují a vyvíjejí.
Největší podíl mezi ransomwary má podle Check Pointu Locky (41 procent) následovaný Cryptowallem (27 procent) a Cerberem (23 procent). Ransomware už se také dá pronajímat jako služba (malware-as-a-service).
Společnost ESET zase upozorňuje, že se navyšuje i využívání ransomwaru v rámci mobilních zařízení, zejména Androidu. Objevují se zejména takzvané lockscreeny, které uzamknou úvodní obrazovku a tradiční zašifrování dat. Podle ESETu ransomware útoky na Android rostou rychleji než útoky jako celek (více ve studii). Ransomware už se objevuje také na chytrých televizích s Androidem.