Média a my

Vývoj bezpečnostních hrozeb a jak se jim bránit

Předpovídat vývoj v oblasti hrozeb nebylo lehké, dalo se však usuzovat ze současného stavu. Po objevení první verze malwaru pro mobilní zařízení bylo možné s velkou pravděpodobností tvrdit, že malware pro mobilní platformy zažije velký boom. Když jsem byl tedy před několika lety dotázán, jaká bude situace další rok, bylo to tehdy poměrně jednoduché. V každoroční předpovědi se tedy postupně zohledňovala témata, která se uplynulý rok skloňovala nejvíce – ransomware pro Windows, mobilní hrozby, ransomware pro mobilní zařízení, problematika ochrany internetu věcí (IoT), cílené útoky a kyberšpionáž jako celek.

Všechny předpovědi se vyplnily, hrozby pro mobilní zařízení přibývají geometrickou řadou, setkali jsme se s ransomwarem pro mobilní platformu, botnet ze zařízení IoT byl pro mnoho lidí naprosto nepředstavitel- nou skutečností. A pak se během loňského roku objevil botnet Mirai, který využil při- bližně 100 000 nezabezpečených zařízení jako například internetové kamery. Takto zneužitá zařízení posloužila k obrovskému DDoS útoku, jehož cílem se staly služby jako Twitter, Reddit nebo Spotify.

 

Množství škodlivého kódu neklesá. A už vůbec ne vytrvalost útočníků

Čísla reprezentující množství malwaru zachyceného každý den nejsou zanedbatelná. Stále mluvíme o stovkách tisíc nových vzorků každý den. Jde o obrovské množ- ství škodlivých e-mailů uživatelům, které mají za cíl oklamat, infikovat a okrást. Dle společnosti Trend Micro (TrendLabs 2016 Security Roundup) bylo během uplynulého roku zachyceno 81 miliard hrozeb, což je o 56% více než v roce 2015. Může za to pochopitelně růst ransomwaru, ale také množství cílených phishingových kampaní mířených na firemní sektor. V průměru jde asi o 2 580 zachycených hrozeb za sekundu. Proti předchozím obdobím je také velmi dobře vidět, že útočníci změnili techni- ky, kterými škodlivý kód doručují. Třeba v uplynulém roce snad všichni výrobci re- gistrovali posun ke skriptovacím jazykům. I v České republice měly útoky pomocí JavaScriptu obrovský podíl – nejčastější- mi typy škodlivých souborů byly .js, .vbs, .xls. V uplynulých letech byl zřejmý posun ve vývoji hrozeb i pro operační systémy macOS a Linux. Popularita a rozšířenost systému přináší i zájem útočníků.

 

Ransomware

V posledních letech asi nejvíce diskuto- vaný typ malwaru, se kterým se uživatelé po celém světě setkávají nejčastěji. Nejde samozřejmě o zjištění jen jednoho z výrob- ců bezpečnostních řešení. Pokud bychom se totiž zaměřili na statistiky nejčastějších forem útoků, reportovaných bezpečnostními firmami, dostaneme se k velmi podobným statistikám. Kyberkriminalita už dávno pa- tří k odvětvím, ve kterých se dá z pohledu zločince získat nemalé množství finančních prostředků. A to jak přímo z bankovních účtů obětí, tak z prodeje odcizených informací z napadených zařízení. Využití ransomwaru je z mého pohledu jednou z těch jednoduš- ších cest k monetizaci obětí. Mnoho z nás má v paměti z dnešního podhledu spíše už legrační formu lockscreenu ve formě „policejního viru", který svého času patřil k velmi častým projevům infikovaných zařízení. Jeho dopady nebyly fatální, odstranit malware ze systému šlo poměrně rychle. 

Chtělo jen trochu hledat na internetu, mít štěstí na správné návody a mít elementární znalosti v oblasti fungování operačního sys- tému. I když v době „policejního viru" dost lidí požadované výkupné zaplatilo, pořád to bylo pro útočníky málo. První verze ranso- mwaru, tedy malwaru, který šifruje soubory v napadených zařízeních, byly nedokonalé a málo rozšířené. V mnoha případech existo- valy způsoby, jak data poměrně lehce dešif- rovat. Žádný jiný typ malwaru ale v posled- ních letech nezažil takový vývoj jako právě ransomware. Z několika jednotek rodin jich jsou dnes stovky a každá rodina ransomwaru je něčím specifická. Není to samozřejmě jen o počtu rodin, jde o množství jednotlivých variant, použití šifrovacích algoritmů a způ- sob doručení škodlivého kódu k zákazníkovi. V řeči čísel se pak dostaneme k velmi za- jímavým hodnotám. V posledním Security Reportu společnosti Trend Micro najdeme přímé srovnání počtu rodin ransomwaru pro rok 2015 a 2016. V prostém číselném vyjádření jde o nárůst počtu rodin o 752% – z 29 rodin evidovaných v roce 2015 na 247 rodin v roce 2016. Tako obrovský nárůst je pochopitelný z několika důvodů. Prvním, zcela nezpochyb- nitelným důvodem je množství finančních pro- středků, které díky ransomwaru stále plynou útočníkům. Mnoho firem totiž raději zaplatí výkupné a spoléhá se, že už k podobnému útoku nedojde. Řešit posílení bezpečnostních opatření, podílet se na návrhu spolehlivého zálohovacího schématu atp. je pro některé firmy běh na dlouhou trať, a v mnohých pří- padech jsou podobná opatření samozřejmě mimo finanční možnosti konkrétních firem. Pokud je ale firma nucená zaplatit výkupné po druhém třetím útoku, velmi často zaplatí obdobné množství peněz, které by vynaložila na posílení bezpečnosti – o časové náročnosti na obnovu souborů, případně nedostupnosti souborů pro fungování společnosti nemluvě. Druhým důvodem je ten, že se útočníci zamě- řují na pro firmy kritické soubory, jako jsou databázové soubory, dokumenty, soubory vir- tuálních stanic a serverů, soubory CAD atp. A že se v uplynulém roce útočníkům dařilo, dokazují větší případy zásahu ransomwaru. Nemocnice, dopravní společnosti, hotely – zašifrované soubory, výkupné se v daných případech pohybovalo od 100 bitcoinů až po tisíce bitcoinů, při hodnotě 1 000 dola- rů za 1 bitcoin jde o obrovské peníze, které firmy musely v takových případech zaplatit. V roce 2016 jsme pak všichni byli svědky posunu rozšíření oblasti vývoje malwaru, velké množství škodlivého kódu bylo dostup- né jako MaaS (Malware as a Service), resp. RaaS (Ransomware as a Service), bylo tedy možné koupit již hotový malware a upravit si ho pro vlastní potřebu. Je velmi pravdě- podobné, že tento trend bude pokračovat i v budoucnu. Útočníci moc dobře vědí, že zmíněné techniky fungují, jsou si vědomi síly některých šifrovacích mechanismů, proto se proti prvním variantám nebojí říct o vel- ké množství peněz. Tím že se tento sektor rozšířil do podobných rozměrů, přicházejí na řadu helpdesky provozované tvůrci mal- waru, na kterých mohou napadení uživatelé získat podporu nebo cenné rady, jak zaplatit konkrétní částky za dešifrování.

 

TorrentLocker a vývoj šíření ransomwaru

Poměrně aktuální je pak zajímavý vývoj varianty TorrentLocker, který je specific- ký způsobem šíření přes oblíbené cloudové úložiště Dropbox. V minulosti byly varianty ransomwaru skoro ve všech případech spo- jovány především s infikovanými přílohami elektronické pošty, nicméně ransomware se velmi rychle vyvíjí a útočníci stále hledají nové cesty, jak se ke svým obětem dostat. Nové varianty ransomwaru TorrentLocker proto nedostávají uživatelé v podobě škodli- vých dokumentů či skriptů přímo, ale útoč- níci pošlou jen odkaz na úložiště Dropbox. Samotná zpráva přitom vypadá důvěryhodně a informuje o faktuře určené pro organizaci, ve které oběť pracuje. Nechybí ani základní platební údaje. Uvedený způsob šíření je velmi nebezpeč- ný, protože neumožňuje odchycení problé- mového e-mailu na bezpečnostních branách – jednoduše proto, že e-mail žádný škodlivý soubor neobsahuje a odkaz směřuje na legi- timní web. Problém samozřejmě nastane až ve chvíli, kdy se uživatel pokusí uvedený soubor spustit. A jak jsou na tom mobilní telefony a třeba chytré televizory? Ransomware pro mobilní telefony již nějakou dobu existuje, objeveno bylo několik desítek rodin lišících se jazyko- vou mutací, vizuálními projevy a samozřejmě cenou za dešifrování dat.

 

Zranitelnosti a exploity

I přes obrovskou snahu výrobců aplikací ne- lze zaručit jejich bezpečnost. Tedy rozhodně ne stoprocentně. Trend Micro společně se ZeroDay Initiative objevily rekordních 765 zranitelností (včetně 60 0-day), zatímco v roce 2015 jich bylo pouze 714. Nejvíce zranitelností bylo objeveno v Adobe Acrobat Reader DC, několik zranitelností bylo objeveno i v systé- mu macOS, internetovém prohlížeči Microsoft Edge, ale samozřejmě také v OS Android. Proti předchozímu roku ubylo objevených zranitelností třeba pro Internet Explorer, přibylo zranitelností v systémech společnos- ti Apple a systémech SCADA (Supervisory Control Data Acquisition). Mnohem lépe se v minulém roce dařilo opravovat chyby spo- lečnosti Microsoft. Pozitivní zprávou, alespoň z pohledu zneu- žívání zranitelností, je praktický zánik exploit kitu Angler, který byl dlouhou dobu nejvy- užívanějším exploit kitem. Stál třeba za ne- slavným a velmi rozšířeným ransomwarem Locky, který byl i v České republice velmi častým zdrojem problémů a ztrát dat. Důvod k radosti to ale není. Útočníci začali používat prakticky ihned jiné exploit kity, jako napří- klad Neutrino nebo Sundown. Neutrino stá- lo za šířením ransomwaru Crypmic, Waltrix nebo třeba Cerber.

 

Jak z toho vyjít co nejlépe

Základem je určitě informovanost a připustit si, že nejsem nedotknutelný – alespoň z po- hledu ochrany firemních dat a infrastruktu- ry. Měl bych vědět, proti čemu stojím, mít představu, jak se proti tomu bránit a jaké to může mít dopady na můj byznys. Stejně tak je dobré vědět, jaké jsou dostupné nástroje pro ochranu mých cenných dat. Za dobu svého působení v bezpečnosti jsem se setkal s po- měrně velkým množstvím firem i jednotlivců, kteří neznali nebo z nějakého důvodu neřešili možná rizika. Mnoho z nich přišlo o cenné informace, o data, která už nikdy nedostanou zpět. Ve většině případů nešlo jen o to, že by nechtěli rizika řešit. Bylo to také z nedostat- ku informací, z nedostatku vůle a také z ne- dostatku finančních prostředků. V některých případech to byl ransomware, jindy to byl únik dat skrze nespokojeného zaměstnance. Naprosté většině zmíněných úniků dat se dalo předejít, nebo alespoň minimalizovat dopad na chod firem.

Nezapomínejme na vzdělávání lidí, kteří s námi spolupracují. Protože skrze ně se ně- kdo dříve či později pokusí ukrást vaše spo- lečná data. Sociální inženýrství je opravdu mocné, nelze ho jen tak přehlížet. Bohužel stále častěji narážíme na hrozby, o kte- rých nikdo neví dlouhé dny, měsíce a roky. Společnosti netuší, že se v síti děje něco špatného, nemají přehled o množství dat, která si uživatelé kopírují na externí disky. Naštěstí dnes dokážeme partnerům a zá- kazníkům nabídnout taková řešení, která dokážou odhalit a zablokovat takové pokusy. Řešení, která odhalí pokusy o přístup k dů- ležitým službám nebo která právě odhalí nechtěnou komunikaci malwaru v síti ještě v době, kdy se dá útoku zabránit. Nemusí jít jen o malware, ale třeba i o spolupráci při blokování konkrétních zranitelností přímo na vstupních branách. Nesmíme zapomenout ani na nástroje, které firmám zaručí shodu s některými nařízeními vyplývajícími z nových poža- davků na bezpečnost. Nejde jen o to, jak útoku zabránit, ale v případě vyšetřování je dobré dodat dostatek informací, jak k úto- ku došlo, k jakým datům se útočník dostal atp. Bez takových nástrojů je to hledání jehly v kupce sena. A to většinou končí neúspěchem.

 

Zdroj: https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup

 

Autor: Petr Šnajdr, business development manager pro značku Trend Micro, Veracomp

 

 

Další články

RSS

Naši partneři o nás