Ransomware opět probudil diskuzi

Ransomware je pojem, který v poslední době opět pronikl do médií i mezi širokou veřejnost, kvůli nové vlně nakažených zařízení v relativně velkém objemu. V posledních letech se bezpečnostní hrozby ze stran virů a malwarů stávaly opomíjenými, ale právě ransomware opět rozvířil tuto tématiku kvůli svému chování (PR článek).

Ransomware opět probudil diskuzi



Ransomware pracuje bez vnějších projevů, dokud nezašifruje data na discích uživatelů. Následně si klade ultimátum ve formě zaplacení nemalé částky pro zpřístupnění dat opětovným rozšifrováním. Pokud uživatelé v definovaném čase (např. několik desítek hodin) neprovedou platbu, ke které byli vyzváni, nebudou schopni se již ke svým datům dostat.

Platba je vyžadována v různých měnách, ale finálně je převedena na anonymní měnu Bitcoin. Dokonce se objevily varianty, které s běžícím časem cenu zvyšují. V mnoha případech uživatelé, kteří nezálohovali data na jiné lokace, teprve zjišťují, o co všechno mohou přijít a začínají se zamýšlet zda, i když zaplatí, dostanou zpět svoje data nebo ne.

Vynalézavost tvůrců tohoto malwaru jde dokonce tak daleko, že některé verze čekají na zapojení externích disků třeba se zálohami, aby je mohli také zašifrovat. Pokud se objeví jakýkoli náznak napadení, nikdy na takovém zařízení nepracujte s externími úložišti, dokud se nepovede vir odstranit. 

Výše částky za dešifrování dat se pohybuje v rozmezí 2 000 Kč až 25 000 Kč po přepočtu aktuálním kurzem. Částka je sice na jednu stranu vysoká, ale je nutné si uvědomit nedostupnost dat za několik let s velmi rozdílnou důležitostí. Dohledové centrum tvůrců tohoto malwaru dokonce dostane informace o množství a typu zašifrovaných dat, aby mohli stanovit správnou výši požadované sumy v závislosti na všech proměnných.

Domácnosti přicházení o soukromé dokumenty, fotografie z dovolených, ale firemní uživatelé přicházejí o mnohem cennější data. I když zálohování je většinou nějak nastaveno, v době mezi poslední zálohou a případným zašifrováním dat, vždy vzniká datový přírůstek

Teprve takto postižení uživatelé začínají řešit případné obnovení ztracených dat, ale všemu šlo předejít. Konvenční antivirová řešení na stanicích reagují na obsažený malware teprve tehdy, když je přítomen v počítači ve formě souboru na disku nebo v příloze e-mailu.

Konvenční antivir reaguje na spuštění infikovaného souboru a teprve tehdy začíná antivirová kontrola. Nedostatečnou může být také kompletní kontrola všech disků jen jednou týdně. Samozřejmě, čím více bezpečnostních mechanismů bude kombinováno, tím je vyšší pravděpodobnost, že daná infekce nepropukne a nedoje k destruktivním následkům.

Jak incidentu předejít

V následujících řádcích se pokusím popsat možné mechanismy, které mohou zabránit konkrétnímu incidentu v několika rovinách a krocích.

Infikovaný soubor je v dnešní době běžnému uživateli nejčastěji doručen e-mailovou korespondencí, kdy je součástí přílohy e-mailu nebo infikovaným odkazem v těle e-mailu. Uživatelé jsou sice neustále dlouhé roky poučováni, aby neotevírali podezřelé e-maily nebo neznámé přílohy, ale skutečnost je taková, že v pracovním stresu uživatel automaticky tento e-mail otevře. V rychlosti a bez rozmýšlení klikne na odkaz či přílohu, a pokud konvenční antivirové řešení nefunguje na 100 %, stane se počítač infikovaným.

V tomto případě by měla být použita jakákoli možná prevence, aby daný nevyžádaný e-mail uživatel ani nedostal, a tím se zabránilo vůbec vzniku incidentu. Zde je možností prevence používání Anti-Spamového řešení, ideálně na bezpečnostní bráně, kdy je schopna vyhodnotit, zda e-mail je nevyžádanou poštou a následně se k němu zachovat tak, aby byl uživatel předem varován, nebo e-mail byl zničen popřípadě přesunut do karantény.

Pokud přesto dojde k tomu, že uživatel doručený infikovaný e-mail otevře, můžeme mít k dispozici další krok ochrany, a tím je kontrola webových stránek dle obsahu nebo nebezpečnosti, tzv. Content Filtering. Tento mechanismus odešle k vyhodnocení jakoukoli otevíranou stránku, a pokud je její kategorie v rozporu s nastavenými pravidly bezpečnostní brány, nebude otevřena a tím se eliminuje možnost infekce z odkazu v e-mailu.

Pokud bude součástí e-mailu soubor jako příloha, většina konvenčních antivirových řešení reaguje až na přítomnost souboru v počítači nebo jeho reálné spuštění do paměti. Pokud bude použit gateway antivir, který je schopen reagovat na takto infikovaný soubor již při jeho průchodu, ještě před dosažením cílového počítače, bude odstraněn. V takovém případě bude už jedno, zda stanice má antivirové řešení dostačující nebo nedostačující, protože datový tok přijímaný do zmiňované stanice je již od infekce očištěn.

V některých případech se uživatel snaží svoji komunikaci zabezpečit tak, aby nepřistupoval na web maily přes nechráněný HTTP provoz, ale používá šifrovaný HTTPS přenos dat. Podobným způsobem může postupovat i autor podvrženého e-mailu a odkaz do něj vkládat přes zabezpečený link pomocí HTTPS, nikoli nezabezpečený HTTP provoz.

Pokud bude komunikace takto zabezpečená, stane se, že je pro bezpečnostní bránu, přes kterou prochází, nečitelná. V tomto případě se musí zvolit varianta bezpečnostní brány, která umí procházet přenášená data i přes HTTPS protokol. Samozřejmě si řeknete, ale to je přece nemožné, protože by tím došlo k přímému potlačení principu nedotknutelnosti bezpečnosti HTTPS přenosů, ale bezpečnostní brána to dokáže pomocí mechanismu man-in-the-middle. 

Mechanismus man-in-the-middle funguje jednoduše tak, že uživatel navazuje HTTPS šifrované spojení ze svým cílem, ale bezpečnostní brána se začíná chovat jako onen cíl a následně sama naváže šifrované HTTPS spojení na původní zvolený cíl, na který uživatel chtěl přistoupit. Tím vzniká v bezpečnostní bráně místo, kde jsou data nešifrovaná a kde bezpečnostní brána může provést jejich kontrolu, aniž by uživatel detekoval jakoukoli změnu vůči běžnému provozu. To je jediná možnost, jak ověřit, zda šifrované spojení nepřenáší malware do cílové stanice. Možnost kontroly SSL provozu je na všech firewallech řad ZyWALL nebo USG od modelů 110 a vyšších. Tyto modely firewallů již disponují dostatečným výpočetním výkonem k této kontrole.

Pokud selžou všechny tyto předchozí mechanismy ochrany, kdy si třeba uživatel přinesl malware na datovém médiu a sám jej spustil na počítači, je jedinou možností zabránit komunikaci takto infikované stanice s dohledovým centrem tvůrce malwaru.

Pokud se podaří zabránit této komunikaci, dohledové centrum nedostane informaci, že infekce stanice byla úspěšná a následně nemusí dostat instrukce k dalším akcím. Technologie IDP využívá signatur chování, kdy jednou z mnoha signatur je i kontaktování dohledového centra infikovanou stanicí. Databáze IDP signatur se online aktualizuje z Cloud serverů společnosti ZyXEL, čímž je možné reagovat na nejnovější modifikace komunikace. 

Akcí infikované stanice může být započetí šifrování, výměna informací o šifrování a podobně. V takovém případě bude sice stanice infikovaná, ale nemusí se rozběhnout celý proces šifrování, zablokování dat na stanici a další. Řídící server vlastníka malware se nedoví, že někoho ulovil.

Komplexní ochrana před ransomwarem

Pokud se bráníme jen konvenčním antivirovým řešením, nezbývá než tomuto antiviru 100 % důvěřovat a často zálohovat data, ukládat je na více jiných médií. Rezignujícím řešením je zaplatit útočníkovi a spolehnout se na jeho korektnost, zda dešifruje naše data po přijeté platbě nebo ne. Případně čekat na další zašifrování disku a znovu zaplatit.


 

Produktová tabulka

USG20/20W-VPN

  • Anti-Spam
  • Content Filtering

 

USG40/40W/60/60W

  • Anti-Spam
  • Content Filtering
  • Application Intelligence & IDP
  • Kaspersky Anti-Virus

 

Od modelu ZyWALL/USG 110 a výše

  • SSL Inspection
  • Anti-Spam
  • Content Filtering
  • Application Intelligence & IDP
  • Kaspersky Anti-Virus

Autor pracuje ve společnosti ZyXEL.








Úvodní foto: © freshidea - Fotolia.com

Komentáře