Ransomware stálepředstavuje značnou hrozbu, jak ukazují například loňské útoky protizdravotnickým organizacím. Rostou ale také jeho schopnosti. Konkrétněji –autoři ransomwaru vědí, že zálohování představuje efektivní obranu, takžeupravují svůj malware tak, aby je hledal a znemožnil jejich použití.
Zaměřené na zálohy
Ransomware uždokáže mazat všechny zálohy, na které narazí, varuje Adam Kujawa, vedoucízpravodajství o malwaru ve společnosti Malwarebytes. Běžnou taktikou ransomwarunapříklad je mazat automatické kopie souborů, které vytváří systém Windows.
„Obnovenísystému tedy není standardně možné,“ tvrdí Kujawa. „Snaží se také o přístup na síťové disky.“
Dvěma dobře známými příklady ransomwaru napadající zálohy jsou SamSam a Ryuk. Nedávno americké ministerstvo spravedlnosti obvinilo dva Íránce z použití malwaru SamSam ke krádeži celkem více než 30 milionů dolarů od více než 200 obětí včetně nemocnic. Útočníci maximalizovali škody zahájením útoků mimo pravidelnou pracovní dobu a „šifrováním záloh napadených počítačů“, uvedla obžaloba.
Ryuk zase zasáhl několik významných cílů včetně periodika Los Angeles Times a společnosti Data Resolution, která je poskytovatelem cloudových služeb. Podle výzkumníků obsahuje Ryuk skript, který odstraní stínové svazky a záložní soubory.
„Přestožese tato konkrétní varianta malwaru nezaměřuje specificky na zálohy, ohrožujejednoduchá zálohovací řešení, která využívají pro ukládání dat sdílené síťovédisky,“popisuje Brian Downey, šéf produktového managementu společnosti Continuum, ježnabízí služby zálohování a obnovy dat.
Nejčastějšímzpůsobem, jak toho ransomware dosahuje, je pomocí funkce Microsoft Windowsnazývaná Předchozí verze, popisuje Mounir Hahad, vedoucí výzkumu hrozeb vespolečnosti Juniper Networks. Uživatelům tato funkcionalita dovoluje obnovitpředchozí verze souborů.
„Většinavariant ransomwaru smaže snapshoty stínových kopií,“ popisuje adodává, že většina útoků ransomwaru napadá také zálohy na připojených síťovýchdiscích.
Využití příležitostí
Když ransomwarenapadne zálohy, je to obvykle důsledek příležitosti, nikoli nějaké promyšlenéaktivity, prohlašuje David Lavinder, hlavní technolog společnosti Booz AllenHamilton.
V závislosti nakonkrétním typu ransomwaru obvykle dochází k procházení systému a hledáníkonkrétních typů souborů. „Pokud malwarenarazí na příponu souboru odpovídající zálohování, téměř s jistotou tentosoubor zašifruje,“ tvrdí Lavinder.
Ransomware sepodle něj také snaží rozšířit a infikovat co nejvíce dalších systémů. Tentodruh schopností červa, podobně jako v případě WannaCry, lze v budoucnu očekávatve větší míře. „Nepředpokládáme, že bydocházelo k úmyslnému zaměření na zálohování, ale očekáváme více snah o bočnípohyb,“ prohlašuje.
Zálohy a systémymůžete před těmito novými taktikami ransomwaru chránit pomocí několikanásledujících základních opatření.
1. Rozšíření záloh systému Windows o další kopie a nástroje třetích stran
Pro obranu protiransomwaru, který maže či šifruje místní záložní kopie souborů, doporučujeKujawa použít další zálohy a nástrojetřetích stran nebo další řešení, kterénejsou součástí výchozí konfigurace systému Windows.
„Pokudnebude řešení používat všeobecně známý způsob, nebude malware vědět, kde by mělmazat zálohy,“prohlašuje. „Pokud pak dojde k nákaze počítačů, lze je kompletně smazat aobnovit je ze záloh.“
2.Izolace záloh
Čím více překážekexistuje mezi infikovaným systémem a jeho zálohami, tím těžší bude proransomware se k nim dostat. Běžnou chybou je, že uživatelé používají stejnouautentizační metodu pro zálohy jako pro jiné účely, popisuje Landon Lewis,výkonný ředitel společnosti Pondurance, která se zaměřuje na kybernetickoubezpečnost.
„Když dojde kekompromitaci vašeho uživatelského účtu, první věc, kterou chce útočník udělat,je eskalovat svá oprávnění,“ připomíná. „Pokud využívá zálohovací systém stejnouautentizaci, mohou hackeři získat všechno.“
Samostatnýautentizační systém s jinými hesly tento krok výrazně ztěžuje.
3. Uchovávejte více záložních kopií na více místech
Lewis doporučuje,aby společnosti uchovávaly tři různé kopie svých důležitých souborů s využitímminimálně dvou různých zálohovacích metod a alespoň jedna z nich by měla být najiném místě.
Cloudově založenézálohování nabízí snadno použitelnou možnost zálohování na jiném místě. „Blokové úložiště na internetu je velmilevné. Je těžké zdůvodnit, proč by ho někdo neměl používatjako další zálohovací metodu. Pokud používáte jiný autentizační systém, je toještě lepší,“vysvětluje Lewis.
Mnoho dodavatelůzálohování také nabízí možnost vrácení předchozího stavu (rollback) a víceverzí stejného souboru.
Pokud totižransomware zaútočí a zašifruje soubory, zálohovací nástroj automaticky vytvoří backup zašifrované verze a přepíše dobréverze, takže se ransomware ani nepotřebuje dostat k zálohám.
V důsledku toho jerollback nezbytnou standardní funkcí, kterou by si měly firmy pohlídat, aby jizálohovací strategie obsahovala. „Mezinezbytnými kritérii nesmí chybět,“ prohlašuje Lewis.
4. Testujte své zálohování
Mnoho společnostízjistilo, že jejich zálohování nefunguje, nebo je příliš náročné na využití proúčely obnovení, až když se staly obětí útoku.
„Pokudjste neudělali žádnou formu nácviku obnovy, není k dispozici dostatečnádokumentace a nikdo není s obnovou dat dostatečně obeznámený, koledujetesi o účast v zástupu klientů, kteří zvažují placení výkupného, protože pro němůže být levnější zaplatit vyděračům výkupné než vykonat celý proces obnovy,pokud to vůbec je možné,“ varuje Lewis.
Bob Antia, ředitelzabezpečení ve firmě Kaseya, která nabízí řešení pro zálohování, takédoporučuje kontrolu, zda dokážou dodavatelé zálohování detekovat útokransomwaru, zejména pokud probíhá v novějších a skrytějších podobách.
Některý ransomwarepostupuje úmyslně pomalu, nebo je nějakou dobu neaktivní a doslova „spí“ předtím,než začne šifrovat, varuje Antia. „Tytodvě metody znamenají, že je těžké zjistit, k jakému bodu v čase je potřebaobnovit zálohy. Očekávám, že ransomware bude i nadále hledat složitějšízpůsoby, jak se skrýt, aby obnovu dat dále ztížil.“
V poslední dobějsme podle Antiy neviděli mnoho velkých útoků jako WannaCry a Petya. Když tovšak nastane, bude to extrémně ničivé, varuje. „V důsledku nedávných útoků jsme viděli v jednotlivých organizacíchškody v řádech milionů dolarů.“
PŘEDPLATNÉ
ČLÁNKY DO MAILU