Oblast kyberbezpečnosti v letošním roce ovlivnila především covidová pandemie, která před uživatele postavila nové výzvy a útočníkům přinesla netušené možnosti.
Bezprostředně po vypuknutí pandemie se začaly objevovat phishingové útoky, především mailové, které zneužívaly zájmu obětí o vše, co souvisí s pandemií. Velmi rychle se také přišla série podvodů okolo nedostatkových ochranných prostředků, především roušek. A se začátkem vývoje vakcín se začaly množit špionážní útoky s cílem ukrást související duševní vlastnictví.
Vedle těchto přímých zneužití situace útočníci začali využívat i hlubších změn, které pandemie způsobila. Především je to nástup milionů pracujících na home office, který přinesl dramatický pokles bezpečnosti organizací. Většina organizací se s přechodem zaměstnanců na režim home office již vypořádala a řada hrozeb, které byly relevantní hlavně v počátečních fázích pandemie, tak už pominula.
Před některými však experti Kaspersky varují i do budoucna. Jedním příkladem jsou „brute force“ útoky na zabezpečení RDP připojení, kdy se útočníci snaží uhodnout hesla. RDP (Remote Desktop Protocol) umožňuje vzdálené připojení k počítači; legitimním využitím je vzdálená podpora, ale z pohledu útočníka jde o skvělý nástroj ke špionáži nebo instalaci ransomware. Systémy Kaspersky detekovaly začátkem roku 100-150 tisíc těchto útoků denně, krátce po vypuknutí pandemie se jejich počet zvýšil na téměř milion.
Dalším příkladem jsou útoky související s gamingem. Nárůst jejich intenzity dávají experti Kaspersky do souvislosti nejen s nárůstem počtu hráčů i času, který věnují hraní (pro zajímavost, v třetím březnovém týdnu vzrostl prodej digitálních her meziročně o 50 % a prodej herních konzolí dokonce o 160 procent). Pracovníci na home office totiž často hrají na strojích, z nichž se přihlašují do firemních sítí – což z nich dělá možný nástroj k útoku na potenciálně zajímavý cíl.
V tomto článku se soustředíme na ty hlavní trendy, které experti Kaspersky považují za relevantní pro rok 2021 a které se dotýkají uživatelů v Česku. Většina z nich souvisí s ransomware, který aktuálně představuje největší hrozbu.
Mizející hranice mezi pokročilými trvalými hrozbami a kybernetickou kriminalitou
Dlouho platilo, že takzvané APT (z Advanced Persistent Threats) nepředstavují pro běžnou firmu (a už vůbec pro běžného uživatele internetu) reálné nebezpečí. Platilo, že sofistikované útoky, které typicky měly za cíl špionáž, míří pouze na významné instituce. A naopak, že „běžné“ počítačové útoky jsou celkem jednoduché a chránit se před nimi není velký problém.
V prognóze pro rok 2020 experti Kaspersky varovali, že můžeme očekávat nástup cílených ransomware útoků. Jde o útoky, kde zločinci investují velké úsilí do přípravných fází, aby detailně poznali prostředí oběti, našli slabá místa v zabezpečení a přizpůsobili své nástroje. Tomu všemu navíc předchází detailní finanční analýza: zločinci tak mají jasnou představu, na kolik si daná organizace svá data může cenit a jak mají nastavit požadované výkupné.
V roce 2020 se, bohužel, tato prognóza bezezbytku naplnila. A nejen, že běžní kriminálníci převzali metody zavedených APT skupin – vydírání se naplno začala věnovat například notoricky známá APT skupina Lazarus, spojovaná se severokorejským režimem. Ta je známá velkými investicemi do vývoje nových nástrojů; například v létě 2020 experti Kaspersky popsali nový framework této skupiny nazvaný MATA. Jde o komplexní sadu sofistikovaných nástrojů k proniknutí do systémů oběti, jejich prozkoumání, nasazení dalšího malware a orchestraci celého útoku. Výjimečné je, že MATA má verze pro Windows, Linux i macOS.
V záplavě nového vyděračského malware roku 2020 stojí za pozornost rodina VHD ransomware, kterou Kaspersky objevil. Jde o propracovaný malware - takový, jaký se běžně prodává na kriminálních fórech, aby jeho tvůrci pokryli náklady na vývoj. Ale VHD ransomware se na běžných kriminálních fórech nevyskytuje, a navíc, jeho detekce jsou jen zřídkavé, což indikuje velmi cílené používání. Tomu odpovídá i mechanismus, jakým se VHD ransomware šíří. Nástroj k jeho šíření obsahuje sadu IP adres a administrátorských přihlašovacích údajů. To obecně znamená, že nasazení samotného ransomware navazuje na předchozí útok – který v tomto případě proběhl s nasazením zmíněného frameworku MATA skupiny Lazarus.
Samozřejmě, že Lazarus představuje jen malou část scény APT skupin, takže fakt, že do svého repertoáru přidala ransomware, sám o sobě nepředstavuje zásadní změnu. Ostatně, většina ransomware útoků, které společnost Kaspersky v roce 2020 reportovala, nebylo možné spojit s žádnou APT známou skupinou – ale i u těchto útoků je možné pozorovat trend precizního cílení na konkrétní oběti.
Takovým útokem byla v létě 2020 paralyzována například společnost Garmin, která je známá svými spotřebitelskými produkty na bázi GPS, ale neméně významná je jako dodavatel avionických systémů. Poté, co se dostali do její sítě, malware operátoři svůj útok dokončili ručně. Pomocí příkazové řádky hledali ochranné mechanismy a paralyzovali je, vybírali cílové adresáře a spouštěli na nich šifrovací utilitu. S tou si naopak hlavu nelámali: například všechny soubory šifrovali pomocí identického šifrovacího klíče. To by byla slabina u masového útoku - teoreticky by stačilo, aby výkupné zaplatila jediná oběť a získaný šifrovací klíč by umožnil dešifrování dat u všech obětí. To však u cíleného útoku není slabina, ale výhoda. Toto řešení totiž umožní data spolehlivěji dešifrovat, což je v tomto špinavém byznysu zásadní, protože selhání by další oběti odradilo od placení.
Zaplatit výkupné může být riziko
Placení výkupného (podle Agentury EU pro kybernetickou bezpečnost zaplatily oběti ransomware útoků v roce 2019 na celém světě 10,1 miliardy eur) je další oblastí, která se se může dramaticky proměnit. Společnost Kaspersky v jednom ze svých reportů upozorňuje na výstrahu amerických úřadů, že placení výkupného může představovat porušení mezinárodních sankcí, protože výkupné se může dostat k sankcionovanému subjektu. Toto varování je zdánlivě banální, protože platby přece probíhají v digitálních měnách (mimochodem, dalším trendem je odklon od Bitcoinu k ještě bezpečnějším/anonymnějším měnám typu Monero, kde je dohledání vlastníka účtu opravdu nemožné). Platba však není jediná stopa k útočníkovi – ještě je možné identifikovat ho podle charakteristiky samotného útoku.
Přiřazení útoku ke konkrétní skupině není jednoduché, a bezpečnostní firmy se z mnoha důvodů vyhýbají tomu, ukázat na konkrétní skupinu (platí to hlavně v případě APT skupin spojovaných s nějakým státem). Společnost Kaspersky proto přišla v roce 2020 s novým produktem, Threat Attribution Engine. Jde o nástroj, který porovná znaky útoku se znaky útoků známých skupin – a určí, které z nich, a s jakou pravděpodobností, se daný útok dá přiřadit.
V souvislosti se zmíněným americkým varováním se dá předpokládat, že o toto řešení bude zájem. Těžko se teď totiž najde někdo, na koho dosáhnou americké úřady (a protože globální finanční systémy kontrolují americké firmy, tak to jsou prakticky všechny ekonomické subjekty na světě), kdo by jen tak zaplatil výkupné. K tomu by musel mít připravený argument, že útočníkem byla známá kriminální – tedy nikoli sankcionovaným státem sponzorovaná – skupina. Právě k tomu může Threat Attribution Engine poskytnout cenné podklady.
Pro úplnost, ještě je možnost, že by se zaplacení výkupného podařilo utajit. To je však často nereálné – zejména v případě, když je výkupné placené z pojistky proti kybernetickým rizikům. Vedlejším dopadem nového přístupu amerických úřadů tak může být konec pojišťování firem proti rizikům ransomware (což je byznys, který se nenápadně rozrostl do obrovských rozměrů).
Pojištění je jednu ze dvou „berliček“ v boji s ransomware, a firmy o ni teď nejspíš přijdou. Přijdou navíc i o tu druhou – zálohování. Může za to další trend, který se v roce 2020 rozšířil: vyděrači nově data nejen zašifrují, ale navíc i ukradnou – a vyhrožují zveřejněním, pokud oběť nezaplatí. Zálohování, dlouho považované za perfektní řešení, v takových případech poskytuje jen částečnou ochranu.
Pro firmy z toho vyplývá, že jediným udržitelným způsobem ochrany před ransomware útoky je posílení celkové kybernetické bezpečnosti.
Další trendy
Oborem, který může v roce 2021 očekávat zvýšený zájem úročníků, je podle prognóz společnosti Kaspersky například průmysl. Pro průmyslové podniky byla dlouho primární obavou špionáž, ale nově k tomu přibývají hrozby útoků na produkční technologie. Může jít o vydírání nebo o sabotáže; v každém případě je to pro firmy důvod posílit zabezpečení těchto technologií, jejichž rizika byla dosud chronicky přehlížena.
Ve finančním sektoru bude podle Kaspersky dál přibývat útoků souvisejících s Bitcoinem a dalšími měnami – ať už přímo na jejich uživatele, nebo na platformy, které s těmito měnami operují. Za pozornost stojí nastupující vlna brazilského bankovního malware; ten je překvapivě pokročilý a banky (a ani bezpečnostní komunita) ve světě s ním zatím nemají mnoho zkušeností.
S narůstajícím zájmem uživatelů o mobilní bankovnictví bude přibývat útoku na bankovní appky. Co se týče dalších mobilních hrozeb, experti Kaspersky varují rostoucím podílem neodstranitelného malware. Buď se útočníkovi podaří získat administrátorská práva, což umožní instalovat malware do přímo dovnitř systému, nebo takový malware nainstaluje samotný výrobce přístroje nebo jeho distributor.
Dobrá zpráva na závěr
Přehled trendů v oblasti bezpečnosti z definice nemůže být uklidňující čtení – přesto by bylo dobře skončit na optimistickou notu. Stejně jako v minulých letech k tomuto účelu může sloužit pokles aktivit využívajících takzvané exploit kits. Jde o nástroje, které zkouší proniknout do systému oběti na základě některé ze známých zranitelností. Útoky využívající exploity jsou extrémně zákeřné, protože k úspěchu nepotřebují žádnou součinnost oběti (třeba povolení nějaké operace).
Naštěstí se v roce 2020 neobjevily žádné zásadní zranitelnosti, které by byly snadno využitelné k útokům. Nejohroženější tak zůstávají uživatelé zastaralého prohlížeče Internet Explorer a ti, kdo stále ještě používají Adobe Flash Player (přestože jej vyžadují jen pouze dvě procenta webových stránek, vesměs obskurních). Pro ostatní již exploit kity, kdysi tak obávané, nepředstavují žádné ohrožení.
PŘEDPLATNÉ
ČLÁNKY DO MAILU