Velká kanadská společnost zaplatila v Bitcoinech částku rovnající se ekvivalentu 425 tisíc dolarů, aby obnovila všechny své počítačové systémy poté, co utrpěla ransomwarový útok, který zašifroval nejen výrobní databáze, ale i všechny jejich zálohy.
„Doslova neměli jinou možnost než zaplatit, protože všechny zálohy byly zmrazeny,“ sdělil Daniel Tobok, generální ředitel společnosti forenzní firmy Cytelligence, která pomáhá při vyšetřování. „Název společnosti logicky zůstává neuveden, aby nedošlo ke ztrátě důvěryhodnosti firmy,“ upřesnil ještě Tobok. Ten je rovněž přesvědčen o tom, že šlo o největší částku, zaplacenou za „výpalné“ na území Kanady. Ovšem dosud známým „smutným rekordmanem“ je jihokorejská webhostingová firma, která údajně zaplatila ekvivalent jednoho milionu dolarů za vyplacení se z ataku ransomwaru, což je podle všech známých údajů dosud největší veřejně vykázaná platba na světě.
Ačkoli soudní vyšetřování je v raných stádiích, už teď je známo, že útok byl velmi sofistikovaný. Začalo to pomocí spear phishingu zaměřeného na šest firemních úředníků v seniorních pozicích, kterým byla odeslána příloha PDF se škodlivým obsahem.
Zaměstnanci zřejmě doplatili na staré známé praktiky útočníků. Dvě zprávy, které údajně pocházely z kurýrní společnosti a jejichž přílohou byly infikované přílohy v podobě faktur za odeslané balíky, zatímco ostatní zprávy žádaly úředníky, aby je otevřeli a vytiskli si přiložený dokument. To okamžitě vedlo k rozšíření malwaru do jejich počítačů a posléze do celé počítačové sítě.
Doporučení ICT Security: Přesvědčte se, před tím, než otevřete přílohu, o dvou skutečnostech.
Za prvé: z jaké adresy e-mail přišel. Pokud vám tato adresa není známa a neodpovídá žádné z adres partnerských a spolupracujících firem, tuto správu neotvírejte. Pokud můžete, kontaktujte správce sítě nebo společnost, která se stará o ochranu počítačů ve vaší firmě.
Za druhé: přečtěte si zprávu celou a pokud zjistíte, že je napsána nesprávnou nebo kostrbatou češtinou, je to o důvod víc považovat takový e-mail za nedůvěryhodný. Bohužel tato druhá rada většinou neplatí tehdy, pokud e-mail přijde v angličtině, útočníci si dávají velký pozor na jazykovou správnost zaslaného e-mailu.
Toto jsou dvě rady, které vám mohou pomoci ochránit vaši firmu před napadením škodlivým softwarem.
A ještě jedna poznámka. Ransomware v případě útoku zašifruje i připojené síťové diskové jednotky. V případě, že provádíte zálohování ostrých dat na tyto síťové jednotky, je vám to víceméně k ničemu. V případě napadení se totiž zašifruje ihned i obsah síťových disků a jedinou možností, jak se k datům dostat (i když ani to není vždy stoprocentní), je pak zaplatit výpalné.
Vřele proto doporučujeme provádět zálohování dle pravidla 3-2-1. Připomeňme si, co jednotlivé číslice znamenají:
3 – je počet kopií vašich dat, které by v každém okamžiku měly existovat v jeden okamžik,
2 – značí, že by kopie měly v jeden okamžik existovat na minimálně dvou zařízeních v různých sítích nebo v různých zálohovacích jednotkách,
1 – jedna z kopií by se vždy měla nacházet mimo prostor vaší počítačové sítě (intranetu), ideální stav je, pokud je to třeba cloudové úložiště.
Připomínáme například řešení společnosti Acronis, která u svých produktů umožňuje uložení několika zálohovacích vrstev, k dispozici tedy je několik záloh provedených zpětně, takže máte možnost vytáhnout soubory, které ještě nebyly nakaženy a vrátit se tak do stavu, kdy jste uložili poslední „zdravou“ verzi dat. Kromě toho zálohovací řešení – třeba právě Acronisu – chrání počítač před ransomwarovými útoky automaticky. Jakmile zjistí podezřelou aktivitu, ihned upozorní uživatele, že se o změny v počítači nebo s v síti snaží ransomware, sestřelí úlohu, která takovou činnost provádí a automaticky umožní nahradit již „zmutované“ soubory těmi „zdravými“ ze záloh.
Ostatně podobně pracují i další ochranné systémy proti ransomwaru, které, jakmile zjistí, že dochází k rychlému ovlivňování souborů na disku (neodpovídající rychlosti práce uživatele, souborům je měněn obsah, jsou tedy kódovány), zastaví proces kódování a upozorní uživatele nebo správce.
V každém případě doba plná napadání strojů by měla vést k vyšší uvážlivosti při práci se soubory, které přicházejí v poště.
-LiM