Kybernetický útok představuje úmyslný a škodlivý pokus o proniknutí do počítačového systému či sítě. Využívá přitom existující zranitelnosti s cílem získat neoprávněný přístup. Tyto útoky jsou často vedeny za účelem odcizení citlivých informací nebo narušení běžného fungování systémů.
V poslední době se ransomware stává stále oblíbenější metodou kybernetických útoků. Mezi nejčastější cesty šíření patří phishingové e-maily, stahování škodlivého softwaru z webových stránek (tzv. drive-by downloads), nelegální software a protokol vzdálené plochy (RDP).
Jakmile ransomware infikuje počítač, zašifruje důležité soubory. Následně útočníci požadují výkupné za jejich dešifrování a obnovení.
Kybernetické útoky představují ohrožení národní bezpečnosti, mohou paralyzovat klíčové sektory ekonomiky a způsobit obrovské škody i značné finanční ztráty. Příkladem může být rozsáhlý ransomware útok WannaCry.
V květnu 2017 se ransomware WannaCry, pravděpodobně pocházející ze Severní Koreje, rozšířil po celém světě. Během pouhých dvou dnů infikoval více než 200 000 počítačů ve více než 150 zemích. WannaCry se zaměřoval na systémy s operačním systémem Windows a zneužil zranitelnost v protokolu SMB.
Jednou z největších obětí útoku se stala Národní zdravotnická služba Spojeného království (NHS). Bylo napadeno více než 70 000 zařízení, včetně počítačů, diagnostických přístrojů a skenerů MRI. Lékaři neměli přístup k systémům ani záznamům pacientů, což ohrozilo poskytování zdravotní péče. Tento útok způsobil NHS škody v hodnotě téměř 100 milionů dolarů.
Takovýto rozsah škod je alarmující, ale situace může být ještě horší, zejména s příchodem nových a nebezpečnějších ransomwarů, jako je BlackCat, který za sebou zanechává dlouhou řadu obětí.
BlackCat Ransomware
BlackCat ransomware, známý také pod označením ALPHV, je škodlivý software, který po proniknutí do systému zkopíruje a zašifruje data. Proces kopírování a přenosu dat se nazývá exfiltrace. Poté, co BlackCat data exfiltruje a zašifruje, požaduje výkupné, které má být zaplaceno v kryptoměně. Oběti musí zaplatit výkupné, aby získaly přístup ke svým datům.
BlackCat není běžný ransomware. Byl prvním úspěšným ransomwarem napsaným v programovacím jazyce Rust, na rozdíl od jiných, které jsou obvykle psány v jazycích C, C++, C#, Java nebo Python. BlackCat byl také prvním ransomwarem s webovou stránkou na veřejném internetu (tzv. clear web), kam uniká ukradené informace z útoků.
Dalším klíčovým rozdílem oproti ostatním ransomwarům je to, že BlackCat funguje na principu Ransomware jako služba (RaaS). V tomto modelu tvůrci pronajímají či prodávají svůj ransomware dalším skupinám či jednotlivcům.
Tvůrci tak poskytují potřebné nástroje a infrastrukturu pro šíření a provádění útoků výměnou za podíl na zisku z výkupného.
Proto se BlackCat zaměřuje především na organizace a podniky, které jsou obvykle ochotnější zaplatit výkupné než jednotlivci. Firmy také platí vyšší výkupné. Lidé, kteří stojí za kybernetickými útoky, se označují jako Cyber Threat Actors (CTA).
Aby BlackCat donutil oběti zaplatit, používá „techniku trojitého vydírání“. Ta zahrnuje kopírování a přenos dat, zašifrování dat v systémech a následné požadavky na výkupné. Pokud oběti nezaplatí, data uniknou na veřejnost nebo dojde k útokům typu odmítnutí služby (DoS) na jejich systémy.
V neposlední řadě jsou kontaktováni lidé, kterých se únik dat dotkl, tedy zákazníci, zaměstnanci a další partneři. To má za cíl vyvinout nátlak na oběti, aby zaplatily výkupné a předešly ztrátě reputace a soudním sporům.
Jak BlackCat Ransomware funguje
Podle varování FBI BlackCat ransomware využívá k přístupu do systémů dříve kompromitované uživatelské účty.
Po úspěšném proniknutí do systému BlackCat zneužije získaný přístup k ohrožení uživatelských a administrátorských účtů uložených v Active Directory. Poté pomocí Plánovače úloh systému Windows nakonfiguruje škodlivé objekty zásad skupiny (GPO), které mu umožní nasadit ransomware a zašifrovat soubory v systému.
Během útoku se skripty PowerShellu a Cobalt Strike používají k deaktivaci bezpečnostních funkcí. BlackCat následně ukradne data, včetně dat uložených u poskytovatelů cloudu. Poté útočník nasadí ransomware, který data zašifruje.
Oběti pak obdrží zprávu s požadavkem na výkupné, která je informuje o útoku a zašifrování důležitých souborů. Zpráva obsahuje i instrukce, jak výkupné zaplatit.
Proč je BlackCat nebezpečnější než průměrný ransomware?
BlackCat je ve srovnání s průměrným ransomwarem nebezpečný z několika důvodů:
Je napsán v Rustu
Rust je programovací jazyk s rychlým a bezpečným výkonem a efektivní správou paměti. Díky použití Rustu má BlackCat tyto výhody, což z něj dělá velmi komplexní a efektivní ransomware s rychlým šifrováním. Rust také ztěžuje zpětné inženýrství. Navíc je multiplatformní, což umožňuje útočníkům snadno přizpůsobit BlackCat pro různé operační systémy jako Windows a Linux a tím rozšířit okruh potenciálních obětí.
Využívá obchodní model RaaS
Využití modelu ransomware jako služba umožňuje mnoha útočníkům nasadit komplexní ransomware bez znalostí jeho vývoje. BlackCat tak dělá veškerou práci a útočníci ho pouze implementují do zranitelného systému. To usnadňuje sofistikované útoky i méně zkušeným útočníkům.
Přidruženým společnostem nabízí obrovské výplaty
Díky RaaS modelu si tvůrci BlackCat vydělávají tím, že si ponechávají část z výkupného zaplaceného útočníky, kteří ho nasadí. Na rozdíl od jiných rodin RaaS, které si berou až 30 % výkupného, BlackCat umožňuje útočníkům ponechat si 80 % až 90 %. To zvyšuje atraktivitu BlackCat a umožňuje mu získat více partnerů ochotných ho nasadit při kybernetických útocích.
Má veřejný únikový web na clear webu
Na rozdíl od jiného ransomwaru, který uniká odcizené informace na dark webu, BlackCat zveřejňuje informace na veřejném internetu. Díky tomu se k datům dostane více lidí, což zvyšuje dopad kybernetického útoku a vyvíjí větší tlak na oběti, aby zaplatily výkupné.
Díky programovacímu jazyku Rust je BlackCat při útoku velmi efektivní. Využitím RaaS a nabídkou vysokého podílu na zisku oslovuje BlackCat více útočníků, kteří ho s větší pravděpodobností nasadí do útoků.
Infekční řetězec BlackCat Ransomware
BlackCat získá počáteční přístup do systému pomocí kompromitovaných přihlašovacích údajů nebo zneužitím zranitelnosti Microsoft Exchange Serveru. Po získání přístupu útočníci odstraní bezpečnostní opatření systému, shromažďují informace o síti a zvyšují svá oprávnění.
BlackCat se poté pohybuje v síti a snaží se získat přístup k co největšímu počtu systémů. To se hodí při požadavku výkupného – čím více systémů je napadeno, tím je pravděpodobnější, že oběť zaplatí.
Útočníci následně exfiltrují data, která použijí k vydírání. Po exfiltraci kritických dat následuje fáze pro doručení užitečného zatížení BlackCat.
BlackCat je šířen pomocí Rust. Nejprve zastaví služby jako zálohy, antivirové programy, internetové služby Windows a virtuální počítače. Následně zašifruje soubory a změní pozadí systému na výkupné.
Chraňte se před BlackCat Ransomware
I když se BlackCat ukazuje jako nebezpečnější než jiné ransomwary, existuje několik způsobů, jak se před ním chránit:
Šifrujte kritická data
Součástí vyděračské strategie BlackCat je hrozba únikem dat oběti. Šifrováním důležitých dat organizace přidá další vrstvu ochrany, čímž ztíží vyděračské taktiky útočníků. I v případě úniku dat nebudou v čitelné formě.
Pravidelně aktualizujte systémy
Výzkum společnosti Microsoft ukázal, že BlackCat v některých případech zneužíval neopravené Exchange Servery. Softwarové firmy pravidelně vydávají aktualizace, které řeší nalezené zranitelnosti. Instalujte aktualizace, jakmile jsou k dispozici.
Zálohujte data na bezpečném místě
Pravidelně zálohujte data a ukládejte je na bezpečném a odděleném místě offline. V případě zašifrování kritických dat je tak budete moci obnovit ze záloh.
Implementujte vícefaktorovou autentizaci
Kromě silných hesel používejte vícefaktorovou autentizaci, která vyžaduje více přihlašovacích údajů. Například konfigurací systému tak, aby vygeneroval jednorázové heslo zaslané na telefon nebo e-mail.
Monitorujte síťovou aktivitu a soubory v systému
Neustále monitorujte aktivitu v síti a včas odhalujte a reagujte na podezřelou aktivitu. Aktivitu v síti je třeba protokolovat a kontrolovat bezpečnostními experty. Měly by být zavedeny systémy, které sledují, kdo přistupuje k souborům a jak jsou používány.
Šifrováním dat, pravidelnými aktualizacemi, zálohováním, vícefaktorovou autentizací a monitorováním aktivity v systému se organizace mohou efektivně chránit před útoky BlackCat.
Výukové zdroje: Ransomware
Pokud se chcete dozvědět více o kybernetických útocích a jak se chránit před ransomwary, doporučujeme následující kurzy a knihy:
#1. Školení o bezpečnosti
Tento kurz nabízí Dr. Michael Biocchi, certifikovaný odborník na bezpečnost informačních systémů (CISSP). Pokrývá témata jako phishing, sociální inženýrství, únik dat, hesla a bezpečné prohlížení internetu a obecné tipy pro online bezpečnost. Kurz je pravidelně aktualizován a je užitečný pro každého, kdo používá internet.
#2. Školení o bezpečnosti, Internetová bezpečnost pro zaměstnance
Tento kurz od Roye Davise, odborníka na informační bezpečnost s certifikací CISSP, je zaměřený na běžné uživatele internetu. Učí je o bezpečnostních hrozbách, kterých si lidé často nejsou vědomi, a jak se před nimi chránit. Pokrývá odpovědnost uživatelů, phishing, sociální inženýrství, zpracování dat, hesla, bezpečné prohlížení, mobilní zařízení a ransomware. Po absolvování kurzu získáte certifikát.
#3. Kybernetická bezpečnost: školení pro úplné začátečníky
Tento kurz od Usmana Ashrafa z Logix Academy se věnuje sociálnímu inženýrství, heslům, bezpečné likvidaci dat, VPN, malwaru, ransomwaru a tipům pro bezpečné procházení. Vysvětluje i to, jak se soubory cookie používají ke sledování lidí. Kurz je netechnický a je určen i pro začátečníky.
#4. Ransomware odhalen
Tato kniha od Nihada A. Hassana učí, jak zmírňovat a zvládat útoky ransomwaru a poskytuje hloubkový pohled na různé typy ransomwaru, distribuční strategie a metody obnovy. Kniha popisuje i kroky, které je třeba dodržovat v případě infekce ransomwarem, včetně toho, jak zaplatit výkupné, jak provádět zálohy a obnovovat soubory a jak hledat dešifrovací nástroje. Zmiňuje i to, jak organizace mohou vyvinout plán reakce na incidenty.
#5. Ransomware: Rozumějte. Zabránit. Zotavit se
Allan Liska v této knize odpovídá na otázky týkající se ransomwaru. Kniha poskytuje historický kontext, proč se ransomware stal tak rozšířený, jak zastavit útoky, zranitelnosti, na které se útočníci zaměřují a jak útok přežít s minimálními škodami. Zmiňuje se i o tom, zda je vhodné platit výkupné.
#6. Příručka ochrany před ransomwarem
Kniha od Rogera A. Grimese nabízí praktický plán pro organizace, které se chtějí chránit před ransomwarem. Učí, jak odhalit útok, jak rychle omezit škody a jak se rozhodnout, zda zaplatit výkupné. Nabízí i plán, jak omezit reputační a finanční škody a jak vytvořit základ pro pojištění a právní ochranu.
Poznámka autora
BlackCat je revoluční ransomware, který narušuje stávající pravidla kybernetické bezpečnosti. Od března 2022 zaútočil na více než 60 organizací, čímž si vysloužil pozornost FBI. BlackCat je vážná hrozba a žádná organizace by ji neměla ignorovat.
Používáním moderního programovacího jazyka a nekonvenčních metod útoků představuje BlackCat velkou výzvu pro bezpečnostní experty. Válka proti tomuto ransomwaru však není ztracena.
Implementací strategií uvedených v tomto článku a minimalizací rizika lidské chyby mohou organizace zabránit katastrofickému útoku BlackCat.