Zničujúce kybernetické útoky sa zvyčajne začínajú cez víkendy a sviatky. V skutočnosti sa však začali dávno pred tým, ako na to prídete.

Detegovať ransomvérového „votrelca“ v systéme alebo v sieti trvá priemerne 207 dní. Vo väčšine prípadov však útočníkom stačí osemdesiat dní, aby získali, čo potrebujú.

Nočná mora

Nočná mora kyberbezpečnosti minulého roka sa oficiálne začala počas májového víkendu.

Zločinci zneužili zraniteľnosť v aplikácii na prenos súborov MOVEit. Išlo o takzvanú zero-day zraniteľnosť, kde nie sú vydané bezpečnostné záplaty. Keďže aplikácia je široko používaná, útoky boli masívne.

Výrobca okamžite vydal bezpečnostné záplaty a varovania, ale útok sa valil ako cunami. Útočníci túto zraniteľnosť poznali viac ako dva roky a mali dosť času, aby údaje v napadnutých organizáciách skúmali a kradli.

Tisícky cieľov

Obeťami sa stali vládne agentúry, školy, univerzity, zdravotnícke zariadenia, médiá, banky, letecké spoločnosti, zábavný priemysel či účtovnícke korporácie. Podľa monitorovania Emsisoft to bolo viac ako 2 600 postihnutých organizácií.

K útokom sa prihlásil známy ransomvérový gang Cl0p. V tomto prípade však údaje nešifrovali a rovno žiadali výkupné. Za to, že nezverejnia získané údaje. Experti odhadujú, že doteraz mohli získať výkupné 75 – 100 miliónov dolárov.

Červené čísla

V súvislosti s kauzou „hackMOVEit“ sa odhaduje, sa, že uniklo 83 miliónov údajov. Ak mienkotvorný report IBM uvádza priemerné náklady na narušený údaj 165 dolárov, sumárne škody sa blížia k 14 miliardám dolárov.

Doteraz najvyššiu škodu – desať miliárd dolárov – vykazuje ransomvér NotPetya, ktorý spôsobuje nedostupnosť systémov a údajov.

V reakcii na závažnosť útoku hack MOVEit vyhlásila vláda USA odmenu desať miliónov dolárov za akékoľvek informácie vedúce k zatknutiu a odsúdeniu páchateľov.

Nový trend na scéne

Jakub Souček, výskumník spoločnosti ESET, považuje tento ransomvérový útok za míľnik, keďže „aj bez šifrovania ukazuje rozvíjajúce sa techniky a potenciálny vplyv kybernetických útokov“.

Prípadne sa pri útokoch používa wiper, čiže softvér, ktorý údaje u obete úplne zničí.

„Ransomvér už nie je len nejaký druh počítačového vírusu. Je to celý škodlivý ekosystém zložený z organizovaných skupín, postupov, nástrojov a dokonca i pravidiel, ktoré sa v týchto skupinách zdieľajú. Nebezpečným ho robí aj to, že dnes sa už dá bežne kúpiť na darknete ako,služba’,“ varuje Jaroslav Ďurovka riaditeľ Národného centra kybernetickej bezpečnosti.

Nie sme výnimka

Ján Doboš z Národného centra kybernetickej bezpečnosti potvrdzuje rastúci trend aj na Slovensku: „Ransomvér sa týka každého z nás, bez ohľadu na veľkosť organizácie, a bývajú zasiahnuté aj fyzické osoby.“ V minulom roku bolo evidovaných viacero ransomvérových útokov, pričom iba minimum z nich bolo medializovaných, či už ide o súkromný sektor alebo verejnú správu.

Útoky boli detegované, keď sa prejavili náhodné výpadky služieb či spomalenie počítačov, pričom boli objavené súbory s podozrivými prílohami. V niektorých prípadoch to bolo cielené „bombardovanie“ a zneužitie prístupových údajov, v iných zanedbanie kyberbezpečnostnej hygieny.

Slabé miesta

Analytický tím Coveware upozorňuje, že malé a stredné firmy predstavujú takmer dve tretiny obetí ransomvéru. V minulom kvartáli zasiahol ransomvér globálne najmä organizácie s počtom zamestnancov od sto do tisíc. Tesne za nimi nasledujú ešte menšie firmy či inštitúcie od desať do sto zamestnancov.

Menej robustné bezpečnostné systémy v malých firmách sú totiž lákavým cieľom. Investície do najmodernejších bezpečnostných riešení sú privysoké a rovnako nepravdepodobný je špecializovaný interný tím. Okrem toho, menšie organizácie často platia výkupné, aby rýchlo obnovili systémy a údaje.

Ako sa to začne

V malých podnikov sa útočníci pokúšajú získať neoprávnený prístup k počítaču alebo sieťovému zariadeniu. Pri útoku hrubou silou využívajú automatizované nástroje alebo softvér, ktorý generuje a testuje veľké množstvo používateľských mien a hesiel za krátky čas. Skúšajú, skúšajú, až trafia.

Aktéri útokov na stredné až veľké podniky využívajú zraniteľností, a čoraz sofistikovanejšie techniky sociálneho inžinierstva. Sem patria aj útoky SIM Swap, keď útočník zmanipuluje operátora, aby preniesol číslo obete na jeho SIM kartu.

Miliarda výkupného

Spoločnosť Chainalysis, ktorá sa špecializuje na sledovanie pohybu kryptomien, hlási rekord – miliarda dolárov v minulom roku ako výkupné pri ransomvéri. Je to takmer dvojnásobný medziročný rast.

Report Coveware však uvádza, že čoraz viac organizácií odmieta platiť výkupné. V štvrtom štvrťroku 2023 zaplatila výkupné menej ako tretina obetí (29 percent), pričom pred piatimi rokmi to bolo 85 percent platiacich.

Organizácie tvrdia, že sú už lepšie pripravené a neveria útočníkom, že nezverejnia ukradnuté údaje. V niektorých štátoch je už dokonca zaplatenie výkupného nelegálne.

S čím počítať

Ak rastie objem zaplateného výkupného a zároveň obete odmietajú platiť, má to dva hlavné dôvody – útočníci pýtajú vyššie výkupné a súčasne pribúda aj útokov.

Frekvencia a závažnosť útokov závisia od rôznych faktorov ako geografická poloha či príslušnosť k sektoru. Vzhľadom na citlivosť a hodnotu údajov sú však atraktívnymi cieľmi zdravotníctvo, financie a energetika.

Samotný zločinecký biznis je stále lepšie organizovaný, drajvovaný umelou inteligenciou či podporovaný štátnou mocou. Odborníci sa zhodujú, že rozsah aj sila ransomvéru budú rásť.

Hlásiť alebo utajiť

Kybernetický útok nie je hanba. A ak ide o ransomvérový incident, na jeho zvládnutie je nevyhnutný špeciálny proces a spôsob manipulácie s infikovanými zariadeniami. Preto sa v tomto prípade odporúča koordinácia so špecializovaným tímom.

Pre prevádzkovateľov základných služieb je hlásenie závažného incidentu štátnej autorite povinné. Ján Doboš však odporúča aj dobrovoľné hlásenia, keď môže NCKB aktívne pomôcť skúsenosťami či vydať varovanie pre príslušný segment. V konečnom dôsledku, o samotnom incidente môže komunikovať výlučne postihnutý subjekt a spolupracujúci profesionáli sú viazaní mlčanlivosťou.