Spolkový úřad pro bezpečnost informací (BSI) zveřejnil situační zprávu o bezpečnosti IT v Německu. Ransomware se v něm objevuje vícekrát. Je čas na aktualizaci nejneoblíbenější zabijácké aplikace bitcoinu. Ohrožuje vyděračský malware legitimitu kryptoměn?
Nedávno zveřejnil Spolkový úřad pro bezpečnost informací (BSI) situační zprávu o bezpečnosti IT v Německu 2021.
Zpráva na 100 stranách popisuje „stav ohrožení IT bezpečnosti v Německu“ se zaměřením na „útoky na firmy, státní i veřejné instituce a soukromé osoby“. Slovo „ransomware“ se na těchto 100 stránkách objevuje 79krát. To ukazuje na velký význam tohoto „vyděračského softwaru“ mezi zdroji nebezpečí z kyberprostoru.
Ransomware skutečně není novým fenoménem. „Škodlivý software, který omezuje přístup k datům nebo systémům, například pomocí šifrování, aby si útočník mohl vynutit výkupné“, existoval i před Bitcoinem. Ale teprve od doby, kdy se kolem roku 2013 stalo zvykem požadovat za platby bitcoiny, se „obchodní model ransomwaru“ stal ÚSPĚŠNÝM příběhem mezinárodní kyberkriminality – a to nepřetržitě po dobu přibližně osmi let.
Proč Bitcoin? Proč se kryptoměna stala mezníkem pro ransomware?
Bitcoiny nejsou anonymní. Digitální mince jsou vysoce transparentní. Podobně jako šnek zanechává svou slizkou stopu, zanechává každá transakce v blockchainu zcela zřetelnou stopu. Odborníci jako bývalý generál CIA … proto tvrdí, že Bitcoin je pro zločince tím nejhorším možným platebním prostředkem.
Bitcoiny jsou však velmi dobré v jedné věci: Anonymní příjem peněz. Adresu pro příjem peněz si může vygenerovat kdokoli. Nepotřebujete k tomu občanský průkaz, bankovní účet, telefonní číslo, dokonce ani e-mailovou adresu. Bitcoiny, k nimž máte soukromý klíč, navíc nelze zmrazit a příchozí transakce nelze cenzurovat. Díky těmto vlastnostem Bitcoin podnítil vznik ransomwaru, který se následně stal „zabijáckou aplikací“ Bitcoinu, o níž scéna raději nemluví.
Přísně vzato představuje ransomware pro Bitcoin slušnou hrozbu. V USA se objevují tendence klasifikovat rozsáhlé vydírání, například proti významné právnické firmě, jako kyberterorismus. Ransomware by se mohl stát důvodem – nebo záminkou – proč jsou kryptoměny (ještě) přísněji regulovány a možná i zakázány.
Všechny zastávky pro mafiánské ochranné sítě
Zpráva BSI ukazuje, jak se situace kolem ransomwaru v Německu od června 2020 do května 2021 dále vyvíjela. Je vynikající pro získání přehledu o tomto vznikajícím „obchodu“ – a o škodách, které způsobuje.
Některé trendy na vás doslova vyskočí. Výzvou pro odvětví je například změna myšlení obětí. Stále častěji se stává, že oběti jsou díky záloze při útoku klidnější nebo se řídí doporučením úřadů neplatit peníze za ochranu.
Hackeři na to reagují dvěma taktikami: Na jedné straně data nejen šifrují, ale také kradou. Tímto způsobem mohou zlepšit svou pozici při hrozbě úniku dat. Kromě toho také vyhrožují útoky DDoS, aby oběť přiměli zaplatit výkupné. Podle BSI například „pokud by byla internetová zásilková společnost nucena v důsledku útoku ransomwaru přejít na webovou prezentaci méně odolnou vůči útokům DDoS, takový útok DDoS by ještě více ztížil zvládnutí útoku ransomwaru“.
Tím se ransomware přibližuje multidisciplinárním mafiánským ochranným složkám. Jakékoli prostředky postačí, pokud se vytvoří tlak.
Ransomware jako finále lovu velké zvěře
Druhým trendem v oblasti ransomwaru je vnitřní profesionalizace. O tom se již psalo v jiných zprávách, například o dělbě práce mezi vývojáři softwaru, distributory a subjekty zabývajícími se praním špinavých peněz.
BSI k tomu přidává vícestupňovou povahu útoků. Místo toho, aby hackeři táhli malware oceánem IT systémů jako dračí síť, stále více se orientují na „špionážní útoky APT“. Jedná se o propracované, komplexní, profesionální a cílené – takříkajíc ručně připravené – útoky na vládní agentury a podniky. Zaměří se na cíl, vypracují zranitelná místa, někdy i několik měsíců, a pak je využijí všemi dostupnými prostředky. Existuje podezření, že tyto útoky jsou financovány nebo podporovány obvyklými darebáckými státy: Čína, Rusko, Írán a Severní Korea.
Například v případě ransomwaru to funguje takto: Trojský kůň Emotet se nejprve uhnízdí v aplikaci Outlook. Tam analyzuje e-mailovou komunikaci oběti, aby mohl provádět „obzvláště autenticky vypadající útoky sociálního inženýrství na kontakty oběti“. Emotet pak otevře stahování, aby mohli hackeři nainstalovat špionážní malware Trickbot. Tím se nyní prohledá celý systém a pokud možno i síť. Teprve v posledním kroku – a pouze pokud se to vyplatí – nahrají hackeři ransomware Ryuk. Tím se data zašifrují.
Ransomware se tak stává finále dlouho připravovaného převzetí počítačových systémů.
Hackeři se stále častěji zaměřují na finančně silné oběti. BSI to nazývá „lovem velké zvěře“. Tento trend je zde již delší dobu a projevuje se u stále známějších a větších obětí, od švédských supermarketů až po italské poskytovatele energie.
Každý týden nová veřejná oběť
Škody způsobené ransomwarem lze jen těžko odhadnout. Ale začíná být zřejmé, že musí být obrovské.
Podle prezidenta BSI Arne Schönbohma je každý týden kvůli ransomwaru ochromeno IT nejméně jedné německé městské správy nebo okresního úřadu. Když se v německé správě něco pokazí, může to být stále častěji způsobeno ransomwarem.
BSI nezveřejňuje, kolik německé firmy a instituce ročně zaplatí za ransomware. Pokud tyto informace vůbec zná. Skutečnost je však taková, že výkupné je pouze částí škod způsobených ransomwarem – a pravděpodobně ani ne tou největší.
„Od odhalení infekce do vyčištění a plné obnovy funkčnosti systémů uplyne obvykle v průměru 23 dní […] Po tomto okamžitém dopadu obvykle následují následné náklady spojené s řešením útoku.“
V průměru tedy trvá dobré tři týdny, než jsou systémy opět plně v pořádku. Například v případě internetového obchodu to může být velmi nákladné. Pokud dojde také k poškození pověsti v důsledku zveřejnění dat, „škody způsobené útokem ransomwaru mohou ohrozit existenci postižené organizace“, vysvětluje BSI.
Zdroje však nepohlcuje pouze zpracování útoku, ale také jeho prevence. BSI doporučuje rozsáhlá opatření: Společnosti by měly udržovat zálohu, a to takovou, která je zcela offline a pravidelně kontroluje její rekonstruovatelnost. Přenosy dat v síti by měly být také pečlivě monitorovány, aby se zabránilo krádeži dat nebo aby byla včas odhalena. Zranitelná místa, jako je připojení k vnějšímu světu, by měla být minimalizována, operační systémy a programy by měly být pravidelně a včas aktualizovány a sítě by měly být interně segmentovány. Zaměstnanci by měli být školeni „komplexně a průběžně“, přístup do administrátorských úrovní by měl být důsledně omezen.
Taková opatření jsou jistě rozumná. Nemohou útokům zcela zabránit, ale mohou snížit jejich pravděpodobnost. Jsou však drahé. Vyžadují téměř neustálou údržbu IT systémů, vyžadují čas všech zaměstnanců a zpomalují procesy, například při blokování přenosů dat. Házejí nám klacky pod nohy.
Z tohoto pohledu se ransomware stává nejen lukrativním obchodním modelem v oblasti kybernetické kriminality s nízkým rizikem, ale také globální sabotáží ekonomiky a státu. Zda již skutečně mají vliv na globální hospodářský růst nebo jeho nedostatek, je však spíše spekulativní.
Hrozba pro demokracii?
BSI se stále častěji obává, že ransomware a další malware neútočí pouze na podniky, ale ohrožuje i veřejnou bezpečnost. Znamení jsou již k dispozici:
„V loňském roce se objevila nová hrozba v podobě incidentů, při nichž kybernetičtí zločinci nebo státní aktéři cíleně útočili na společnosti a úřady z oblasti zdravotnictví. Na rozdíl od počátku pandemie zaznamenal BSI v současném sledovaném období cílené IT útoky související s COVID-19 na klíčové oblasti zdravotnictví. Patří mezi ně například útok na Evropskou agenturu pro léčivé přípravky (EMA), útoky na zahraniční výrobce vakcín, DDoS útok na portál německé spolkové země Durynsko pro očkování proti COVID-19 a ransomwarový útok na německého výrobce testů antigenu COVID-19.“
Významným případem je také útok na univerzitní nemocnici v Severním Porýní-Vestfálsku, která kvůli ransomwaru utrpěla dočasný výpadek systému a 13 dní nemohla přijímat nové pacienty na jednotku intenzivní péče. Mohlo by se jednat o nemocnici v Düsseldorfu. Postiženo bylo také letiště Saarbrücken, jehož IT systémy byly před téměř rokem na nějakou dobu vyřazeny z provozu v důsledku útoku.
BSI spekuluje, že ransomware může představovat hrozbu i pro demokracii, pokud napadne volební prostředí. Například „útok ransomwaru na městskou nebo okresní správu by mohl způsobit zpoždění při provádění nebo sčítání hlasů, pokud by například e-mailová komunikace nebyla kvůli útoku dostupná.“ To by mohlo poškodit důvěru ve volební procesy, stát se součástí falšování a ztížit nebo znemožnit zavedení elektronických hlasovacích systémů.