Site icon Martin Haller, Blog o ochraně a správě firemního IT

Hackeři mají nový trik. Naučili se s ransomware lépe vydírat

Ransomware locking a computer and asking for money

Ransomware locking a computer and asking for moneyartwork illustration depicts internet ransomware, virus, security breached and computer data locked by cyber syndicate criminal.

Ransomware, ve své moderní podobě, je s námi již od roku 2013. Slušná řádka let. Očekával jsem, že se za tu dobu ransomware plně vyvinul a ničím novým náš už nepřekvapí. Mýlil jsem se! Co se za poslední měsíce/rok změnilo?

Zaplať a nikomu o tom neřekneme

Doposud útočníci vydírali ve stylu: „Chceš svá data zpět? Zaplať!“ Nově však vyhrůžku rozšířili na „Chceš svá data zpět? Zaplať! Pokud nezaplatíš, ukradená data zveřejníme.“ Hrozí obětem, že pokud nezaplatí, celý svět se dozví o jejich hacknutí a jejich interní (většinou citlivá/utajovaná) data dají na internet ke stažení.

Možná se to nezdá, ale zásadně to mění situaci. Doteď se útok skrze ransomware nepokládal za „únik dat“. Firmy zašifrovaná data obnovily ze záloh (pokud to šlo), případně zaplatily a nikdo se o útoku nedozvěděl ani jej nikde nehlásil.

Jenomže teď, když útočníci vyhrožují, že ukradená data zveřejní (resp. už tak i činí – viz dále), to už nevyřeší dobré zálohování. Jakmile je jednou firma prolomena, je jen na útočnících, zdali si data nechají pro sebe, nebo je zveřejní.

Obětem v případě zveřejnění ukradených dat hrozí:

Od útočníků je to dost chytrý tah, protože z jejich strany to nevyžaduje příliš úsilí navíc (v podstatě data ze sítí kradli nejspíše tak jako tak). Zatímco pro řadu firem je to pádný argument, proč zaplatit výkupné (samozřejmě cílem je mít dobře zabezpečenou síť, abychom toto nemuseli nikdy řešit).

Maze ransomware

S tímto upgradem přišla skupina stojící za ransomware Maze. Nejspíše je štvalo, že řada firem s nimi nespolupracovala (nezaplatila výkupné) a data si obnovila ze záloh. Začali tak některé napadené firmy oslovovat a žádat výpalné za to, že jejich data a informace o hacknutí nezveřejní.

Jejich výhrůžkám zřejmě řada firem nevěřila, tak začali konat. Kontaktovali autora webu bleepingcomputer.com a začali celou kauzu medializovat. Viz článek „Allied Universal Breached by Maze Ransomware, Stolen Data Leaked“, který určitě stojí za přečtení.

Obecně je tahle skupina stojící za Maze ransomware dost zajímavá. V květnu 2019 se psalo o tom, jak do svého ransomware implementovala proměnlivou výši výkupného („Maze Ransomware Says Computer Type Determines Ransom Amount“) – do té doby bylo výkupné stejné pro všechny oběti. Výše výkupného závisela na tom, zdali bylo napadané zařízení domácí počítač, firemní počítač, server, zálohovací server, nebo doménový řadič.

Zároveň to nejsou žádní troškaři, protože za nezveřejnění dat firmy „Allied Universal“ chtěli 2,3M$. Za rozšifrování dat firmy „Andrew Agencies“ chtěli 1,1M$, po městě Pensacola 1M$ a po firmě „Southwire Co.“ 6,1M$. To jsou peníze, se kterými už se nějaká ta hackerská loupežnická skupina dá provozovat.

Opravdu splní své sliby?

Možná vás napadne, jakou má vlastně oběť záruku, že hackeři její data nezveřejní, přestože jim zaplatí. Dobrá otázka! Záruku nemá žádnou. Hackeři z Maze group však reagují následovně:

„It is just a logic. If we disclose it who will believe us? It is not in our interest, it will be silly to disclose as we gain nothing from it. We also delete data because it is not really interesting. We are neither espionage group nor any other type of APT, the data is not interesting for us.“ (zdroj: Bleepingcomputer.com)

„Je to jednoduché. Pokud bychom oběť podvedli, kdo by nám pak věřil? Ukradená data nás v podstatě nezajímají a po zaplacení je mažeme. Nejsme žádná špiónská ani APT skupina.“ (velmi volný překlad anglického originálu).

Ideální je mít vše dobře zabezpečené a nestát se obětí. Pokud se obětí stanete, je dobré operovat se scénářem, že ukradená data budou zveřejněna. Protože data opravdu zveřejňují!

Jak data zveřejňují?

Skupina za Maze ransomware si rozjela svůj vlastní „naming and shaming“ web. Kde zveřejňuje seznam firem/institucí, které kompromitovala (nejspíše jen těch, co nezaplatili 😊). Na webu je zatím poměrně rušno a téměř každý den přibývá informace o jedné či více napadených firmách.

Obrázek 1: Screenshot z „shaming“ webu skupiny Maze (pořízeno 27.12.).

U každé firmy útočníci uvádějí:

Ze zveřejněných informací je patrné, že se útočníkům zatím nedaří z napadených sítí vynést tolik dat. Většinou jsou to jednotky či desítky GB. Což jsou pouhá procenta oproti celkovému množství zašifrovaných data v síti (řadově jednotky či desítky TB).

Možná je to tím, že firmy mají často „pomalý“ internet (upload) a tak útočníci nestihnou přenést dostatek dat, než je útok odhalen. Druhou možností je, že s útočníci zatím tolik nezaměřovali na to, aby „ukradli“ co nejvíce dat. Nejspíše to bude od obojího trochu a do budoucna proto očekávám, že ukradených dat bude mnohem více.

Co nás s ransomware čeká a nemine

Celou dobu jsem popisoval strategii skupiny stojící za ransomware Maze. Vypadá to však, že ostatní hackerské skupiny se přidají (viz post člena skupiny Sodinokibi/rEvil z jednoho fóra). Mám se tedy na co „těšit“.

Obrázek 2: Zdroj: https://www.bleepingcomputer.com/news/security/another-ransomware-will-now-publish-victims-data-if-not-paid/

Většina firem přitom nedokáže říct, kolik dat bylo v případě útoku ze sítě ukradeno. Chybí jim k tomu totiž vhodné technologie (např. Mendel od GreyCortexu, nebo FortiAnalyzer od FortiNetu).

Jediná obrana je dělat věci pořádně. Stojí to čas a peníze, ale pro firmy, které bez IT nefungují, je to jediná cesta. Nestačí si „šetřit do prasátka“ a jednou za dva roky zaplatit pár desítek tisíc korun hackerům jako výkupné. Jednak se tím tohle vše podporuje. A za druhé může být příští výkupné v řádu miliónů (nebo jej ani nepůjde zaplatit).

Nechť jsou v roce 2020 vaše sítě bezpečné a vše se vám daří. Pokud byste hledali tipy na obranu, podívejte se na můj předchozí článek „Co dokáží hackeři s ransomware ve vaší firemní síti“. Když by se náhodou vaše síť dostala do potíží a potřebovali jste pomocnou ruku, e-mail na mne je v patičce blogu, nebo na straně spolupráce (máme toho sice hodně, ale pokusíme se vás nenechat ve štychu).

Souhlasíte s článkem? Máte podobou zkušenost, nebo se setkáváte s odlišným chováním hackerům, než co popisuji? Napadají vás další způsoby obrany? Těším se na vaše komentáře pod článkem. 👇

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Exit mobile version