Ransomvér a jeho dnešná realita
Určite nemusíme opäť vysvetľovať, čo je to ransomvér. V skratke – je to škodlivá aktivita, ktorá vedie k zašifrovaniu dát (diskov, a pri zle navrhnutej infraštruktúre aj záloh ak existujú). Následne útočník vydiera obeť a žiada vyplatenie určitej sumy (tzv. ransom ciže výkupné) najčastejšie v bitcoinoch či inej nevystopovateľnej krypotomene ako podmienku na rozšifrovanie dát.
Počet takýchto útokov na svete nikto reálne nevie presne spočítať. Podľa jednej zo štúdií je priemerná výška výkupného v roku 2020 v USA zhruba 312 493 USD, čo je 311% nárast oproti roku 2019. Štúdie zároveň spočítali, že priemerná doba odstávky služieb ransomvérom napadnutých spoločností je 21 dní (Coveware), priemerný počet dní, koľko trvá obetiam sa z útoku plne spamätať je 281 dní (Emisoft). V roku 2020 bolo zhruba 2400 obetí ransomvérového útoku medzi veľkými firmami len v USA. Podľa iného reportu (od spoločnosti Sophos) priemerne 50% organizácii na svete sa už obeťou ransomvéru stalo. Z celkového počtu obetí v priemere 26% organizácii skutočne výkupné zaplatilo. Priemerná výška zaplateného výkupného pre firmy od 100 do 1000 zamestnancov bola 505 827 USD, a pre spoločnosti od 1000 do 5000 zamestnancov 981 140 USD.
Najčastejšou cestou útočníkov do infraštruktúry obete býva stiahnutie škodlivého programu resp. linka na tento program zaslaná mailom (29% prípadov), cesta priamym útokom na slabo zabezpečený server (21%), spustením priamo mailom zaslaného programu (16%), zlou konfiguráciou cloud služieb (9%), prostredníctvom RDP (remote desktop protokolu) alebo prostredníctvom subdodávateľa po 9%.
Ransomvér je dnes považovaný za jednu z najväčších hrozieb, ktorá našim počítačom a dátam v nich reálne hrozí. Viaceré štáty (vrátane Slovenska) k nemu pristupujú až ako k problému národnej bezpečnosti, nakoľko jeho výsledkom (okrem finančnej straty) je často znefunkčnenie veľkej časti infraštruktúry a to aj u kritických podnikov (podnikov s pre štát a obyvateľov kritickými službami). A je čoraz častejší a čoraz nebezpečnejší.
Cieľom vydieračov býva od jednoduchého počítača u vás doma (s výkupným v prepočte v stovkách či málo tisícoch EUR) až po veľké spoločnosti, výrobné spoločnosti či poskytovateľov služieb v kritickej infraštruktúre. Medzi poslednými (a medzinárodne medializovanými) prípadmi je napríklad aj ransomvér útok na spoločnosť Colonial Pipeline, prevádzkovateľa kľúčového ropovodu dlhého 8900 km zvyčajne prepravujúceho 2.5 milóna barelov ropy denne na východnom pobreží USA.
Spolu so zašifrovaním kľúčových systémov spoločnosti útočníci ukradli skoro 100 GB dát. FBI potvrdila, že za útokom stojí skupina predtým identifikovaná ako DarkSide, ktorá požadovala ako výkupné skoro 5 miliónov USD. Podľa aktuálnych informácii spoločnosť Colonial Pipeline výkupné zaplatila aby bola schopná obnoviť prevádzku ropovodu, ktorého nefunkčnosť mohla paralyzovať významnú časť priemyselného východného pobrežia USA.
Podobný útok od rovnakého útočníka DarkSide sa udial len pred pár dňami aj v neďalekom Nemecku. Distribútor chemických produktov, spoločnosť Brenntag zaplatila výkupné (ransom) vo výške 4.4 milióna USD v bitcoinoch skupine DarkSide. Brenntag SE je svetovým lídrom v distribúcii chemických látok s viac ako 17 tisíc zamestnancami vo viac ako 670 pobočkách v 77 krajinách sveta vrátane pobočky na Slovensku. Počas útoku bolo ukradnutých viac ako 150 GB dát, ktorých zverejneniu Brenntag chcel zabrániť.
Posledný známy útok je z piatka 14.mája 2021. Týždeň po útoku na ropovod v USA Írska zdravotnícka autorita (HSE) oznámila, že po významnom ransomvérovom útoku vypína z preventívnych dôvodov všetky svoje počítačové systémy. HSE oznámila, že útok bol vykonaný kriminálnou skupinou s použitím adaptovaného ransomvér nástroja „Conti“. Ako jeden z výsledkov veľa pacientov priamo dostalo maily s vyhrážkou, že ak nezaplatia, tak sa ich osobné zdravotné údaje objavia na internete.
Takéto prípady máme reálne aj na Slovensku. Počet ransomvérových útokov neustále rastie. Pribúdajú aj organizácie, ktoré tieto útoky hlásia Národnému centru kybernetickej bezpečnosti SK-CERT (pre prevádzkovateľov základnej služby je to povinnosť podľa zákona o kybernetickej bezpečnosti, pre ostatných je to odporúčané). Aj na Slovensku sú prípady, kde bolo požadované výkupné v ráde stotisícov EUR a kde bolo takéto výkupné zaplatené. Takže si nemyslime, že je to vzdialený, nás sa netýkajúci problém.
Národné centrum kybernetickej bezpečnosti SK-CERT preto veľa krát varovalo pred týmto nebezpečenstvom. Varovania a odporúčania nájdete v článkoch tu, tu, tu alebo tu.
Zdroje:
The State of Ransomware 2020 (Sophos)
« Späť na zoznam
