[Partnerské video] Techniky ransomwarových útočníků se mění. Zjistili, že firmy častěji zálohují, takže teď je vydírají i hrozbou, že zveřejní interní materiály, které při průniku do firemního systému stáhli, říká v rozhovoru pro Lupu security engineer kyberbezpečnostní firmy Check Point Petr Kadrmas.
Mluví také o bezpečnosti chytrých zařízení připojených k domácím sítím, zranitelnosti v čipech Qualcommu či o sílících pokusech útočníků získat přihlašovací údaje k firemním cloudovým systémům. Množí se případy, kdy se útočníci vydávali za zaměstnance firmy, dostali se do e-mailů a pak se pokusili přesměrovat platby na své účty, říká.
Část rozhovoru jsme přepsali do textové podoby (viz níže), na celý se můžete podívat zde:
Zásadní událostí roku 2020 je epidemie koronaviru. Projevila se nějakým způsobem i v oblasti kyberbezpečnosti?
Určitě ano, je to jedno z hlavních témat, která jsme zaznamenali. Souvisí s velkým posunem v tom, jak organizace začaly na jaře fungovat. Během několika málo dnů musely přejít na vzdálenou práci z domova. Řada firem na to nebyla připravená. Vnímali jsme velký zájem o řešení vzdáleného přístupu a ne vždy to šlo v souladu s požadavky na bezpečnost, protože řada firem do té doby řešila bezpečnost jen na úrovni svého perimetru. Vzdálený přístup měly většinou nějak řešený, ale ne pro tak masivní množství uživatelů, takže velkým problémem byl výkon těch systémů a dalším problémem bylo, že ne pro všechny uživatele byla dostupná zařízení firemního typu, která by byla nějakým způsobem ochráněná. Nebyl ani čas na vzdělávání z hlediska možných hrozeb při práci z domova.
Celý rozhovor si můžete pustit také ve formě podcastu:
Kolem COVID-19 jsme zaznamenali i obrovský nárůst aktivit útočníků. Třeba v dubnu jsme pozorovali týdenní nárůsty v řádu desítek tisíc registrovaných domén, které s motivem COVID-19 souvisely. Řada z nich samozřejmě vznikala se záměrem nějakého zneužití jak k phishingovým kampaním, tak k šíření malwaru.
Je vidět, jak se to posouvalo. Na začátku, kdy lidé nevěděli, co se děje, šlo hodně témat směrem k falešným informacím o tom, jak se nemoc šíří, jak na ni reagovat, kde sehnat rukavice, roušky a podobně. Dnes zaznamenáváme nová témata směrem k nabídce falešných vakcín, které opět souvisí s phishingem. Pokud uživatel takovou informaci otevře, může nakazit svoje zařízení.
Takže phishing, věčná stálice kyberhrozeb, byl v roce 2020 stále na vzestupu?
Lidé by možná očekávali, že velká část útoků se bude týkat malwaru, ale obrovská část je phishing. Ten někdy mívá za úkol nějakým způsobem doručit malware na stanice uživatelů. Dalším velkým tématem jsou ale dnes krádeže přihlašovacích údajů, což hodně souvisí s akcelerací přechodu ke cloudovým službám. Řada firem začala věci, jako je e-mailová komunikace, masivně přesouvat do cloudových služeb tak, aby odlehčily svým on-premise řešením, která byla s ohledem na množství připojovaných uživatelů pod velkým výkonnostním tlakem.
Problém krádeží přihlašovacích údajů u cloudových služeb je obrovský. Když útočník přihlašovací údaje získá, má okamžitě přístup do infrastruktury, která je dostupná odkudkoli z internetu, a může ji zneužívat pro nekalé útoky. Velký dopad z pohledu finanční ztráty nemá jen ransomware, ale také něco, co se nazývá business e-mail compromise, což je obrovský problém po celém světě.
Útočníci jsou schopní se infiltrovat do e-mailové komunikace, ovládnout třeba prostředí Office 365 a nastavit si tam pravidla pro přesměrování důležitých e-mailů ohledně velkých zakázek. A před odesláním platby pak pošlou informaci, která platbu převede někam úplně jinam. Zdálo by se, že jde o exotický problém, ale měl jsem možnost mluvit i se zástupci Policie ČR, kteří mi potvrdili, že je to velké téma i v Česku a že to řeší téměř na denní bázi.
Přihlašovací údaje takoví útočníci nejčastěji získávají prostřednictvím phishingu?
Ano, uživatel dostane phishingový e-mail, který po něm vyžaduje ověření přihlášení do prostředí Office 365, ale dostane se samozřejmě na stránky, které perfektně imitují skutečné přihlašovací stránky. Neznalý uživatel ne vždycky kontroluje odkaz, na kterém je, a přihlašovací údaje tam může zadat.
Často se to šíří nejen přes klasickou e-mailovou komunikaci, ale i jinými kanály, například na mobilních zařízeních, kde se s oblibou využívají zkracovače URL, které v podstatě fungují jako technika obfuskace, skrytí konkrétního URL.
Na malých obrazovkách mobilních zařízení navíc řada prohlížečů nezobrazuje adresní řádek, takže uživatel vlastně nemá kontrolu nad tím, kam se dostal, a pokud stránka vypadá legitimně, není těžké ho zmást a přivést ho k tomu, aby své přihlašovací údaje zadal.
Co s tím? Pomůže v takovém případě dvoufaktorové přihlašování, tedy zadávání ještě nějakého přídavného hesla, které přijde třeba v SMS nebo se zobrazí v nějaké aplikaci?
Je to určitě jedna z důležitých metod. Existují také technologie, které dokáží vícefaktorové autentikační techniky doplnit o kontrolu toho, z jakého zařízení uživatel přistupuje, takže i když se útočníkovi povede ukrást přihlašovací údaje, systém rozpozná, že nepřistupuje z ověřeného zařízení.
Pokud je druhý faktor ve formě SMS zprávy, nemusí to vždycky pomoct, protože řada útočníků je schopná ovládnout i mobilní zařízení a ten druhý faktor ve formě nějakých jednorázových kódů si přeposlat. Lepší je tedy využívat dedikované autentikační aplikace nebo systémy, které dokážou multifaktorovou autentikaci ověřit a doplnit o další faktory.
Jsou podle vašich zkušeností firmy a uživatelé za uplynulý rok poučenější, nebo počet úspěšných útoků stále roste?
Počet útoků byl veliký hlavně na jaře, kdy byla situace v celém světě nepřehledná. Teď už se uživatelé trochu adaptovali. Ale útočníci zase hledají další techniky. Teď se například objevují útoky na nové zaměstnance v organizacích, kteří ještě úplně neznají organizační strukturu. Útočníci se vydávají třeba za IT oddělení s tím, že potřebují přenastavit nebo verifikovat heslo a podobně.
Teď, když se hodně hovoří o vakcinaci, jsme také zaznamenali nabídky falešných možností získání vakcíny, přes které útočníci cílí buď na získání informací, třeba čísel kreditních karet, nebo na distribuci malwaru.
Letos jsme byli svědky nebývalé míry ransomwarových útoků. Některé také souvisely s koronavirem – šlo třeba o útoky na nemocnice. I tam se útočníci dostávali do systémů prostřednictvím phishingu. Je ransomware stále na vzestupu?
Je to jeden z velkých problémů. Oproti předchozím letům ransomware trochu polevil z pohledu masivnosti – ubylo velkých kampaní, které se šířily přes celé země. Naopak se ale dnes zaměřuje na útoky na specifické organizace. Velký dopad měl na nemocnice nebo farmaceutické firmy a podobně.
U ransomwaru se také objevila jedna zajímavá změna – tzv. dvojité vydírání. Zejména větší, movitější firmy investovaly do zálohovacích systémů, které drží zálohy offline, takže jsou v případě zašifrování souborů schopné je obnovit. Kvůli tomu se změnila taktika útočníků, kteří se snaží před spuštěním šifrování z organizace získat co největší množství interních dat, a vydírají nejen možností obnovení souborů, ale i možností zveřejnění ukradených souborů, pokud ta organizace nezaplatí výkupné.
Jakým způsobem se před ransomwarem chránit? Jak se útočníci vydávají za kolegy z firmy? A jak velkou hrozbou jsou chytrá IoT zařízení připojená k domácí síti? Podívejte se na celý rozhovor: