Typický kyber útok na firmu aneb Ransomware v praxi

Horší scénář si už ani neumíme představit. Globální výrobní firma o více pobočkách. Jednoho pondělního rána dorazili zaměstnanci firmy do práce, zapnuli počítač a on se nenastartoval. Zavolali na helpdesk v jiné zemi svému IT supportu. A začal zmatek. Jak to? Co se stalo? Všichni si kladli otázky. Proč neběží servery ani počítače? Ve výrobě se nerozjely ani CNC stroje, aby naplnily denní kvótu nasmlouvaným odběratelům, účetní nemohla vystavovat faktury za dodané zboží a mzdové oddělení nemohlo dát příkazy k úhradě, aby odešly platy zaměstnancům. Na zapnutých počítačích vyskočila zpráva: Ahoj, já jsem Ransomware a zašifroval jsem ti všechny data. Pokud je chceš dešifrovat a pokračovat, převeď na můj účet peníze v kryptoměně. Bezva, lepší pondělí si ani nedovedete představit, pomyslel si ředitel a začal jednat. Vzhledem k americké podílové účasti ve firmě nebylo možné výkupné zaplatit, neboť podle amerického práva se s vyděrači nevyjednává a případ se musí hlásit FBI. Současně ředitel povolal bezpečnostní experty a pokusit se útok minimalizovat a rychle obnovit výrobu. Nastalo krizové řízení firmy. Přes dobré kontakty dostal doporučení na firmu Comsource a ještě týž den se případu začal věnovat bezpečnostní team společnosti ComSource. Se „sekuriťákem“ si stanovili priority, na čem pracovat nejdříve:

• Minimlizovat škody – tedy zalepit „díru“, kudy do firmy útočníci vnikli
• Rozhodli o okamžité obnově účetního systému, aby mohli odejít zaměstnancům výplaty
• Dále bylo potřeba obnovit výrobní linku, neboť hrozili milionové sankce od odběratelů fungujících na principu výroby „just in time“
• A další kroky, které vedli k pozvolnému rozjezdu firmy.

V tomto konkrétním případě se podařilo obnovit chod firmy v několika málo dnech. Náš specialista na zabezpečení a odhalování kybernetických útoků si po prvním úspěchu v obnově účetních systémů získal důvěru generálního ředitele, což je v krizovém řízení velice důležitý faktor. Dále pak již postupovali jako partneři. Ředitel brzy pochopil, že vzdálené firemní IT na jiném kontinentě nebude mít reakční čas tak rychlý, jako lokální expert. Takže s firemním IT celou věc začali řešit administrativně a paralelně s tím se pomalu obnovoval provoz. Firmě se tak podařilo zachránit cca 300-400 tis USD na výkupném.

Je to jednoduché:

Útočníkovi se podařilo dostat do sítě, podařilo se mu získat oprávnění administrátora, správce sítě. Tím pádem získá neomezený přístup do celé firmy. Vypne antivirové programy, vytvoří jednoduchý script na všech počítačích a začne šifrovat. Jedná se o organizované skupiny, kterým se během pár hodin podaří ovládnout celou firmu! Strategicky si volí pro útok čtvrtek nebo pátek, aby měli víkend dostatek času ve firmě v klidu škodit. Průměrné výkupné dnes činí 250 tis USD, většinou požadují 10% z obratu firmu, což snadno zjistí z dostupných, firmami zveřejňovaných výročních zpráv.

Co tedy dělat, když ráno v práci najdete vzkaz od svého Ransomwaru?

Nepanikařte. Rozhodně to však vypovídá o konfiguraci vaší sítě a zabezpečení kybernetické bezpečnosti a bylo by dobré se nad tím zamyslet:

1. Nejrychlejší cesta je samozřejmě zaplatit výkupné (pokud máte zašifrované i zálohy). Ransomware skupiny si nemohou dovolit zaplatit a neobnovit data, rozkřiklo by se to a nikdo by jim už nezaplatil. I tato cesta má svá rizika a je vhodné využít specialistu pro komunikaci a vyjednávání s útočníkem.
2. Anebo to můžete řešit – najít zabezpečovacího experta, který vám pomůže „zabarikádovat“ díru, kudy se Vám tam útočníci dostali, pokusí se zjistit odkud tam přišli (vektor útoku) a krok za krokem obnovíte data a provoz. Začít konečně brát kybernetickou bezpečnosti vážně.

Co nedělat:

Rozhodně se nespoléhejte pouze na svůj IT tým. Velice často se stane, že obnoví firemní provoz ze záložních dat. V takovém případě můžete očekávat do 14 dnů další útok se stejným průnikem do Vaší sítě s poněkud vyšším výkupným..

Jak se může stát, že Ransomware pronikne do firmy?

1. E-mail (phishing) – tedy do inboxu vám dorazí maskovaný e-mail – může mít podobu vašich dodavatelských společností, antivirového programu nebo i interní sítě – a žádá vás, abyste rozklikli link ve zprávě. Tím otevíráte dveře do firmy nedočkavým útočníkům a není cesty zpět. (50 % útoků)
2. Zranitelnost zabezpečení systému nebo aplikace – dříve stačily firewally, dnes již nejsou pro průměrného hackera překážkou (25 % útoků)
3. Zranitelnost přes RDP – Remote Desktop Protokol – drtivá většina serverů s povoleným protokolem RDP připojených k internetu chrání jejich správci pouze pomocí tradičních přihlašovacích údajů, tedy jménem a heslem. A mnoho z těchto hesel je dostatečně slabých na to, aby je bylo možné hrubou silou uhodnout. Stačí „trefit“ heslo jednoho z takto nedostatečně zabezpečených počítačů a útočník úspěšně pronikne do síťové infrastruktury (20 % útoků)
4. Ostatní – jiný průnik do sítě než výše zmíněný. (5 % útoků)

Jinými slovy – v dnešní době 70 % útoků přichází z interní sítě.

Celá řada firem má v rámci implementace různých ISO připravené scénáře pro krizové řízení, co dělat, když nastane požár nebo nějaký jiný problém. Kybernetická bezpečnost je však stále velmi podceňována, management firem v záplavě jiných „nezbytných“ opatření IT bezpečnost přehlíží, nemyslí na to, co dělat, když jim nepojedou IT systémy. Dokonce se setkáváme s názorem, že se kybernetická bezpečnost týká hlavně IT firem a poskytovatelů.

Realita je však jiná: Týká se to naprosto všech.

Prověřte svou bezpečnost ještě dnes, třeba i jen formou jednoduchého auditu. Firewally a antivir v dnešní době již nestačí. A především aktuální světové dění rozpoutalo o poznání větší kybernetickou válku, která se bude dotýkat bez rozdílu všech.