Ransomware představuje jeden z nejzhoubnějších typů kyberkriminality. S rostoucí hodnotou dat se zločinci naučili, že jejich zadržováním a následným požadováním výkupného mohou dosáhnout vyšších zisků. Tyto útoky se staly znepokojivě běžnými a některé ransomwarové skupiny dokonce najímají interní pracovníky, aby jim napomáhali.
Společnosti, které se chtějí chránit před ransomwarem, musí nyní brát v úvahu nejen vnější hrozby, ale i ty vnitřní. Další útok může pocházet přímo zevnitř organizace.
Proč mají ransomwarové gangy zájem o interní pracovníky?
Žádat o pomoc se zločinem zaměstnance se může zdát jako riskantní taktika, tak proč ransomwarové skupiny toto riziko podstupují? Klíčem je, že interní pracovníci zvyšují pravděpodobnost úspěšného útoku.
Mnozí experti se shodují, že interní hrozby představují větší riziko než ty vnější, protože tito pracovníci již mají přístup k citlivým informacím. Bohužel mnoho společností interní rizika přehlíží. V důsledku toho, pokud jsou zaměstnanci přesvědčeni, že jednají v dobré víře, mohou se stát obrovskou pomocí pro ransomwarové skupiny. Místo složitého pronikání přes bezpečnostní systémy mohou kyberzločinci jednoduše zaslat zaměstnanci e-mail s infikovaným souborem k instalaci do firemních počítačů.
Pronikání do firemních sítí se může stávat stále obtížnějším s posilováním bezpečnostních opatření. Na druhé straně lidé jsou manipulovatelní jako nikdy dřív. Získání interního spolupracovníka značně usnadňuje úspěšné provedení ransomwarového útoku, který často znamená i vysoké finanční výnosy.
Metody náboru interních pracovníků
Prevence náboru interních pracovníků ransomwarovými skupinami začíná tím, že pochopíme jejich metody. Zde jsou některé z nejběžnějších.
Sociální inženýrství
Phishing nebo jiné formy sociálního inženýrství tvoří významnou část ransomwarových útoků, a to z dobrého důvodu. Je snazší naverbovat někoho na pomoc s trestnou činností, pokud o ní neví. Ransomwarové skupiny mohou zaměstnance přimět k instalaci škodlivého softwaru bez jejich vědomí.
Tyto útoky obvykle přicházejí formou e-mailu nebo textové zprávy, často obsahují odkaz nebo přílohu, která vypadá legitimně. Když nic netušící interní pracovník klikne na odkaz, soubor nainstaluje ransomware na jeho pracovní zařízení. To umožní ransomwarovým skupinám získat přístup bez nutnosti někoho přesvědčovat o vědomém spáchání trestného činu.
Přímý kontakt
Ransomwarové skupiny jsou v posledních letech také otevřenější. Dle společnosti Bravura Security, znepokojivých 65 procent IT odborníků uvádí, že je nebo jejich zaměstnance zločinci přímo kontaktovali ohledně pomoci s ransomwarovým útokem – což je o 17 procent více než v roce 2021.
Stejně jako v případě phishingu, tyto požadavky obvykle přicházejí prostřednictvím e-mailu, ale některé ransomwarové skupiny oslovují potenciální spolupracovníky také telefonicky nebo přes sociální sítě. Ve většině případů se snaží zaměstnance přesvědčit k pomoci tím, že je podplatí. Nabízejí stovky tisíc dolarů v hotovosti, kryptoměnách nebo podíly z výkupného za instalaci ransomwaru.
Crowdsourcing
Bezpečnostní experti také zaznamenali, že některé ransomwarové skupiny se snaží crowdsourcovat své útoky. Kyberzločinci zveřejňují inzeráty na veřejných fórech nebo šifrovaných platformách jako je Telegram, vyzývajíce jednotlivce s interním přístupem, aby je kontaktovali. Mohou dokonce provádět veřejné průzkumy ohledně cílů útoku nebo úniku dat.
Tyto veřejné inzeráty oslovují širší publikum a zvyšují šanci na získání pomoci zevnitř. Podle Comparitech, průměrné výkupné je přes 2 miliony dolarů. Ransomwarové skupiny si z úspěšného útoku vydělají více než dost na zaplacení více spolupracovníků.
Příklady interních pracovníků pomáhajících ransomwarovým útočníkům
Útoky tohoto typu se zaměřily na některé z nejznámějších světových společností. V roce 2021 AP News informovala, že kyberzločinec nabídl zaměstnanci Tesly 500 000 dolarů za instalaci ransomwaru do firemních počítačů. V tomto případě zaměstnanec incident nahlásil místo přijetí peněz, což poukazuje na rozsah těchto útoků.
Jiné společnosti takové štěstí neměly. V roce 2019 získával nespokojený bývalý zaměstnanec společnosti technické podpory Asurion 50 000 dolarů denně od svého bývalého zaměstnavatele poté, co odcizil údaje o milionech zákazníků (podle Bitdefender). Orgánům činným v trestním řízení se podařilo bývalého pracovníka zadržet, nicméně poté, co společnost již utratila tisíce za výkupné.
Je důležité poznamenat, že i když se tyto útoky staly běžnějšími, nemusí být nutně nové. Podle FBI, inženýr Boeingu odcizil statisíce dokumentů mezi koncem 70. a začátkem 20. století v rámci náboru pro čínskou rozvědku. Tento incident předchází ransomwaru, ale ilustruje závažnost interních hrozeb, které pracují pro vnější zájmy.
Jak předcházet vnitřním hrozbám ransomwaru
Vzhledem k obrovským rizikům musí společnosti udělat vše, co je v jejich silách, aby zabránily interním pracovníkům spolupracovat s ransomwarovými skupinami. Zde jsou tři zásadní kroky k dosažení tohoto cíle.
Vytvořte pozitivní pracovní prostředí
Jedním z nejdůležitějších kroků, které můžete učinit, je zajistit, aby byli zaměstnanci na svých pozicích spokojení. Čím méně má zaměstnanec rád svého zaměstnavatele, tím je pravděpodobnější, že přijme úplatek od ransomwarové skupiny a pomůže zaměřit útok na svou vlastní společnost z pomsty. Vytvoření pozitivnějšího pracovního prostředí tuto hrozbu minimalizuje.
Konkurenceschopné platy jsou důležitou součástí spokojenosti zaměstnanců, ale nejsou jediným rozhodujícím faktorem. Zpráva společnosti Gallup ukazuje, že pouze 28 procent zaměstnanců uvádí platy a benefity jako největší změnu, která by jejich pracoviště vylepšila, ve srovnání se 41 procenty, kteří se zaměřují na problémy se zapojením a kulturou. Snaha o to, aby se zaměstnanci cítili respektováni, v bezpečí a měli pocit, že je o ně postaráno, má velký význam.
Školení zaměstnanců
Podniky také musí školit své zaměstnance, aby dokázali rozpoznat taktiku sociálního inženýrství. Mnoho ransomwarových útoků souvisejících s interními pracovníky pochází z náhod, jako je kliknutí na phishingový odkaz. Naučit pracovníky, na co si mají dávat pozor, je klíčem k prevenci těchto incidentů.
Pravopisné chyby, neobvyklá naléhavost a situace, které zní příliš dobře, aby to byla pravda, jsou častými indikátory phishingu. Obecně platí, že zaměstnanci by neměli klikat na žádné nevyžádané zprávy a odpovídat na ně a nikdy by neměli sdělovat citlivé informace prostřednictvím e-mailu.
Implementace zabezpečení s nulovou důvěrou
Zabezpečení s nulovou důvěrou je dalším zásadním krokem v prevenci vnitřních hrozeb ransomwaru. Přístup s nulovou důvěrou považuje vše za potenciálně nepřátelské a vyžaduje ověření v každém kroku před udělením přístupu k jakýmkoli zdrojům. V rámci toho také omezuje přístup, takže každý zaměstnanec vidí pouze to, co pro svou práci potřebuje.
Tyto modely zabezpečení je obtížnější implementovat než tradiční přístupy, ale představují nejlepší obranu proti vnitřním hrozbám. Vzhledem k tomu, že i autorizovaní interní pracovníci mají přístup pouze k omezenému množství zdrojů, nábor interního pracovníka nemusí nutně znamenat, že ransomwarový útok stojí za to.
Vnitřní hrozby ransomwaru jsou zvládnutelné
Trend náboru interních pracovníků ransomwarovými skupinami není nutně nový, ale nabývá na síle. Mělo by to být důvodem ke znepokojení, ale to neznamená, že se proti němu nemůžeme bránit.
Vnitřní hrozby ransomwaru zdůrazňují význam omezení důvěry v kybernetickou bezpečnost. Hrozby mohou pocházet odkudkoli, dokonce i od důvěryhodných zaměstnanců, proto je nejlepší vše maximálně zabezpečit.