Martin Mareček 
Kybernetické útoky se vyvíjejí k vysoké úrovni sofistikovanosti a efektivity. Kyberzločinci sázejí na cílené útoky výměnou za vyšší sbírku, když požadují výkupné od obětí, jak se SophosLabs, výzkumnému týmu společnosti Sophos, která se zabývá kybernetickou bezpečností, podařilo ověřit ve studii provedené po stopách peněz vybraných notoricky známými. ransomware SamSam.
Toto vyšetřování umožnilo SophosLabs identifikovat větší počet postižených a dozvědět se o nových technikách počítačové kriminality. Podle vyšetřování ransomware SamSam, který se poprvé objevil v prosinci 2015, používá techniku cíleného útoku řízenou kvalifikovaným týmem, který pronikne do sítě oběti, monitoruje ji a poté ručně spustí malware takovým způsobem, aby zajistil maximální škody výměnou za velké výkupné, které se odhaduje na desítky tisíc dolarů.
Tato nová forma útoku se liší od tradičního ransomwaru, který se šíří ve velkých, hlučných spamových kampaních zasílaných tisícům nebo dokonce stovkám tisíc lidí. Tyto jednoduché techniky mají za cíl získat velké množství peněz, ale požadují relativně malé výkupné. Průměrná čísla se pohybují kolem několika set dolarů za každou oběť.
Právě kvůli malému počtu obětí ransomwaru SamSam zůstal bez povšimnutí, takže nebyly známy podrobnosti o tom, jak funguje a jak jsou útoky prováděny. Společnost Sophos však zahájila vyčerpávající vyšetřování, které odhaluje velký počet obětí, stejně jako zvýšení výše požadavku na výkupné, které v současnosti činí téměř 6 milionů dolarů, což je asi šestkrát více, než bylo hlášeno. nejnovější studie.
Při provádění tohoto vyšetřování Sophos spolupracoval se společností Neutrino, která monitoruje kryptoměny, což usnadnilo sledování peněz a identifikaci mnoha výkupných a obětí. Schopnost najít další oběti dala Sophos vědět, že soukromý sektor skutečně nesl tíhu SamSamu.
Jak se útoky vyvíjejí
V analýze Sophos zjistil, že SamSam skenuje sítě obětí, aby definoval zařízení, která mají být šifrována. SamSam získává přístup k sítím obětí prostřednictvím protokolu RDP (Remote Desktop Protocol) pomocí softwaru, jako je NLBrute k uhodnutí slabých hesel. K těmto útokům dochází s přihlédnutím k časovému pásmu oběti, a to tak, že k nim dochází v noci, když oběti spí.
Na rozdíl od jiných známých útoků ransomwaru, jako je WannaCry nebo NotPetya, SamSam není červ nebo virus, takže se nemůže šířit sám. Místo toho záleží na lidském faktoru, aby to šířil: stojí za ním člověk, který dokáže přizpůsobit taktiku prostředí a obraně a přitom dohlížet na cíl. SamSam je nasazen na počítačích v síti oběti se stejnými nástroji, se kterými se nasazují legitimní softwarové aplikace.
Po získání přístupu k síti používá operátor SamSam řadu nástrojů k povýšení svých oprávnění na úroveň správce. Poté vyhledávají v síti cenné cíle a nasazují a spouštějí malware jako každý správce systému pomocí PsExec nebo PaExec.
Jakmile se ransomware rozšíří široko daleko, několik kopií ransomwaru se centrálně aktivuje během několika sekund. Na každém infikovaném zařízení jsou soubory zašifrovány způsobem vypočítaným tak, aby způsobily největší škody v co nejkratším čase. Když jsou počítače již infikovány, útočník počká, zda oběť naváže kontakt prostřednictvím platebního webu Dark Web, na který odkazuje výkupné. Požadavky na výkupné se postupem času zvyšovaly a aktuálně se pohybují kolem 60 000 dolarů, což je mnohem více než trojciferné částky typické pro necílené ransomwarové útoky.
Tipy, jak se vyhnout oběti SamSam
Aby se podniky rychle zotavily z útoku SamSam, potřebují více než jen plán na obnovu dat – potřebují komplexní plán na přestavbu zařízení.
Nejlepší obranou proti SamSam je dostat se na základy tím, že se k bezpečnosti přiblížíte vrstveným a hloubkovým přístupem. Udržování aktualizací záplat a používání silných hesel poskytne dobrou bariéru před útoky SamSam. Tuto bariéru lze výrazně posílit pomocí těchto jednoduchých kroků:
1. Omezte přístup RDP na zaměstnance připojující se prostřednictvím VPN.
2. Pro přístup k VPN a citlivé interní systémy používejte vícefaktorové ověřování.
3. Provádějte pravidelné kontroly zranitelnosti a penetrační testy.
4. Udržujte zálohy mimo počítač a síť.
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
