KYBEZ

Ransomware, to je počítačové výpalné za rozšifrování dat a jeden z možných útoků nultého dne. Jak pracují a jak se lze proti těmto útokům, zejména proti serverové podnikové infrastruktuře, bránit,jsme se bavili s René Pospíšilem, což je CEO a security solution strategist ve firmě IS4 Technologies a zástupce Bitdefenderu v ČR a Slovensku.

Co vlastně je ransomware?

Ransomware pracuje způsobem, že útočník zašifruje bez vašeho vědomí vaše data a pak požaduje výpalné za jejich zpřístupnění. Ransomware tedy znamená „počítačové výpalné“ – pokud nezaplatíte, nedostanete se
ke svým datům, neboť klíč na jejich odkódování má hacker.

Ransomware představuje za poslední tři roky velmi úspěšnou formu útoků přicházejících z internetu a patří k nejnebezpečnějším útokům v oblasti malwaru. V roce 2015 způsobil ransomware škodu více než devět miliard korun. Jen samotný malware Cryptolocker „vytěžil“ více než 600 milionů korun z nechráněných zákazníků používajících nedostatečnou antivirovou ochranu.

Do jakých zařízení se může ransomware dostat?

Tento malware se může dostat do každého počítače v infrastruktuře s operačním systémem, tedy jak do PC, tak do serveru, teoreticky do jakéhokoliv systému, který lze zašifrovat. Náchylné jsou především OS od Microsoftu, přičemž poslední dobou se ale tento jev nevyhýbá ani Linuxu či Mac OS. Jako každý malware i ransomware využívá zranitelnosti OS. Šíří se například z infikovaných stránek, z nichž si uživatel nechtěně stáhne útočný kód, který získá přístup k vašemu operačnímu systému –, a pak už může začít šifrovat vaše disky. Útočníci typicky využívají sociální média, legitimní stránky, které nakazí škodlivým kódem, nebo vám jej pošlou v infikované příloze e‑mailu.

Jak se můžeme chránit?

Hlavně je třeba používat dostatečně výkonné antimalwarové řešení, které není závislé na pouhých signaturách malwaru, jeho součástí by měly být heuristické algoritmy specializované právě na ransomware. To znamená, že takový antimalware dokáže rovněž rozpoznat, co aplikace v systému dělá, jelikož hodnotí jeho chování. Pokud se pak nějaký software snaží něco nelegitimně šifrovat, musí dokázat toto počínání zachytit už při samotném útoku i bez znalosti signatury neznámého malwaru.

Jde o typické „útoky nultého dne“. Díky heuristickým algoritmům už proti nim existují konkrétní metriky a postupy, jak jim odolat. Doporučuji se orientovat proto podle nezávazných testů heuristických AV‑Comparatives a AV‑Test. Přitom s ohledem na výkonnost nejdůležitější je, aby antivir měl v sobě „vakcínu“ proti ransomwaru i proti všem známým i neznámým útokům tohoto druhu. Základem vhodného řešení jsou i heuristické metriky, které zabrání podezřelému chování ještě před samotným zašifrováním dat a k tomuto účelu musí být vybavené nejlépe čtyřvrstvou ochranou.

První vrstva je klasická na bázi signatur (nejlépe s updaty v hodinovém rytmu). Druhá je technologie sandboxu (analýza ve vlastním virtuálním prostředí před spuštěním v OS), kde se prověřují stahované soubory v bezpečně oddělené zóně, ještě než jej pustí k operačnímu systému. Třetí vrstva je nejdůležitější a zásadní pro ochranu v reálném čase na bázi heuristických metrik a musí také fungovat bez signatur, musí monitorovat v aktivním prostředí každou aplikaci a hlavně musí obsahovat účinné algoritmy proti nechtěnému zašifrování dat – musí obsahovat vakcínu proti ransomwaru.

Protože některé analýzy bezpečnostního rázu potřebují výkon v reálném čase, je nutná i čtvrtá, poslední ochranná vrstva, která musí umět vykonávat analýzy opřené o obrovský výpočetní výkon bezpečnostní sítě. V této poslední čtvrté vrstvě by se mělo rozhodovat pomocí hloubkové analýzy pomocí umělé inteligence a strojového učení různé analýzy korelací bezpečnostních událostí v sekundách, tak aby zamezila účinně například pokusu o zašifrování dat hackerem prostřednictvím ransomwaru, a to na jakékoliv platformě. Velikost sítě hraje také obrovskou roli, aby řešení odchytlo dostatečně velký vzorek populace.

Umí ochránit proti ransomwaru a dalším útokům nultého dne i běžný antimalware?

Ačkoliv by se dalo čekat, že by to měl umět standardně každý antimalware, realita je alarmující, neboť většina řešení na tento zákeřný princip „naletí“. Problém spočívá v nedostatečně účinné detekci a ochraně proti neznámým hrozbám, tj. proti útokům nultého dne.

Ransomware velmi často projde skrz antivirovou ochranu, protože drtivá většina řešení na trhu nemá dostatečně chytré algoritmy s antiransomware vakcínou. Doporučuji při výběru antiviru poptat přímo funkcionalitu antiransomwaru a srovnat tvrzení výrobce s nezávislými institucemi specializovanými dlouhodobě na test antivirů.

Nedávno jsem byl na prohlídce AV‑Test. org jako zástupce Bitdefenderu CZ/SK a mluvil přímo s Andreasem Marxem, šéfem AV Test.org. Podle něj dlouhodobě testují i účinnost v kategorii ransomware a bude ji v brzké době publikovat na svých stránkách. Momentálně lze získat tato data a další podporu na vyžádání na www.bitdefender.cz a www.avtest.org.