VietNamNet představuje článek pana Dao Trung Thanha, experta na kybernetickou bezpečnost a zástupce ředitele Institutu blockchainu a umělé inteligence, který se zabývá kybernetickým útokem na společnost VNDirect Securities a nebezpečími ransomwaru.
Ransomware, typ malwaru, který šifruje data v systému oběti a za jejich dešifrování požaduje výkupné, se stal jednou z nejnebezpečnějších kybernetických hrozeb na dnešním světě . Foto: zephyr_p/Fotolia

Případ VNDirect a co dělá ransomware nebezpečným?

Dne 24. března 2024 se společnost VNDirect Securities ve Vietnamu stala nejnovějším ohniskem mezinárodních útoků ransomwaru. Tento útok není ojedinělým případem.

Ransomware, typ škodlivého softwaru určeného k šifrování dat v systému oběti a požadování výkupného za jejich dešifrování, se stal jednou z nejrozšířenějších a nejnebezpečnějších kybernetických hrozeb v dnešním světě. Rostoucí závislost na digitálních datech a informačních technologiích ve všech oblastech společenského života činí organizace i jednotlivce zranitelnými vůči těmto útokům.

Nebezpečí ransomwaru nespočívá jen v jeho schopnosti šifrovat data, ale také ve způsobu, jakým se šíří a požaduje výkupné, čímž vytváří kanál pro finanční transakce, jehož prostřednictvím mohou hackeři nelegálně profitovat. Sofistikovanost a nepředvídatelnost ransomwarových útoků z nich činí jednu z největších výzev, kterým dnes kybernetická bezpečnost čelí.

Útok VNDirect je drsnou připomínkou důležitosti pochopení a prevence ransomwaru. Pouze pochopením fungování ransomwaru a hrozby, kterou představuje, můžeme zavést účinná ochranná opatření, od vzdělávání uživatelů, přes aplikaci technických řešení až po vytvoření komplexní preventivní strategie na ochranu kritických dat a informačních systémů.

Jak funguje ransomware

Ransomware, děsivá hrozba ve světě kybernetické bezpečnosti, funguje sofistikovaným a mnohostranným způsobem a způsobuje obětem vážné následky. Abychom lépe pochopili, jak ransomware funguje, musíme se ponořit do každého kroku procesu útoku.

Infekce

Útok začíná, když ransomware infikuje systém. Existuje několik běžných způsobů, jak se ransomware může dostat do systému oběti, včetně:

Phishingové e-maily: Falešné e-maily se škodlivými přílohami nebo odkazy na webové stránky obsahující škodlivý kód; Zneužívání bezpečnostních zranitelností: Využívání zranitelností v neopraveném softwaru k automatické instalaci ransomwaru bez zásahu uživatele; Malvertising: Využívání internetové reklamy k distribuci malwaru; Stahování ze škodlivých webových stránek: Uživatelé stahují software nebo obsah z nedůvěryhodných webových stránek.

Šifrování

Jakmile je ransomware infikován, zahájí proces šifrování dat v systému oběti. Šifrování je proces převodu dat do formátu, který nelze přečíst bez dešifrovacího klíče. Ransomware často používá silné šifrovací algoritmy, které zajišťují, že šifrovaná data nelze obnovit bez specifického klíče.

Požadavek na výkupné

Po zašifrování dat ransomware zobrazí na obrazovce oběti zprávu, ve které požaduje výkupné za dešifrování dat. Tato zpráva obvykle obsahuje pokyny k platbě (obvykle prostřednictvím Bitcoinu nebo jiných kryptoměn, aby se skryla identita zločince), a také lhůtu pro platbu. Některé verze ransomwaru také hrozí smazáním dat nebo jejich zveřejněním, pokud nebude výkupné zaplaceno.

Transakce a dešifrování (nebo ne)

Oběť pak čelí těžkému rozhodnutí: zaplatit výkupné a doufat, že získá svá data zpět, nebo odmítnout a navždy o ně přijít. Zaplacení však nezaručuje, že data budou dešifrována. Ve skutečnosti může zločince povzbudit k pokračování v jejich činnosti.

Způsob, jakým ransomware funguje, nejen demonstruje technickou sofistikovanost, ale také smutnou realitu: ochotu zneužívat důvěřivost a nevědomost uživatelů. To podtrhuje důležitost zvyšování povědomí a znalostí v oblasti kybernetické bezpečnosti, od rozpoznávání phishingových e-mailů až po udržování aktuálního bezpečnostního softwaru. Vzhledem k neustále se vyvíjející hrozbě, jako je ransomware, jsou vzdělávání a prevence důležitější než kdy jindy.

Běžné varianty ransomwaru

V neustále se vyvíjejícím světě ransomwarových hrozeb některé varianty vynikají svou sofistikovaností, schopností šíření a vážným dopadem, který mají na organizace po celém světě. Zde je popis sedmi populárních variant a jejich fungování.

REvil (také známý jako Sodinokibi)

Vlastnosti: REvil je variantou služby Ransomware-as-a-Service (RaaS), která umožňuje kyberzločincům „pronajmout si“ ji k provádění vlastních útoků. To výrazně zvyšuje schopnost ransomwaru šířit se a počet obětí.

Metody šíření: Šíření prostřednictvím bezpečnostních zranitelností, phishingových e-mailů a nástrojů pro vzdálený útok. REvil také používá útočné metody k automatickému šifrování nebo krádeži dat.

Ryuk

Vlastnosti: Ryuk se primárně zaměřuje na velké organizace, aby maximalizoval výkupné. Dokáže se přizpůsobit každému útoku, což ztěžuje jeho detekci a odstranění.

Způsob šíření: Prostřednictvím phishingových e-mailů a sítí infikovaných jiným malwarem, jako jsou Trickbot a Emotet, Ryuk šíří a šifruje síťová data.

Robinhood

Vlastnosti: Robinhood je známý svou schopností útočit na vládní systémy a velké organizace, přičemž používá sofistikovanou šifrovací taktiku k uzamčení souborů a požadování vysokého výkupného.

Způsob šíření: Šíření prostřednictvím phishingových kampaní a také zneužíváním bezpečnostních zranitelností v softwaru.

Dvojitý platební systém

Vlastnosti: DoppelPaymer je samostatná varianta ransomwaru se schopností způsobit vážné škody šifrováním dat a hrozbou zveřejnění informací, pokud není zaplaceno výkupné.

Způsob šíření: Šíření pomocí nástrojů pro vzdálený útok a phishingových e-mailů, zejména zaměřené na zranitelnosti v neopraveném softwaru.

HAD (také známý jako EKANS)

Vlastnosti: SNAKE je navržen tak, aby útočil na průmyslové řídicí systémy (ICS). Nejenže šifruje data, ale může také narušovat průmyslové procesy.

Metoda šíření: Prostřednictvím phishingových a exploitových kampaní s důrazem na cílení na konkrétní průmyslové systémy.

Fobos

Vlastnosti: Phobos má mnoho společného s Dharmou, další variantou ransomwaru, a často se používá k útokům na malé podniky prostřednictvím RDP (Remote Desktop Protocol).

Způsob šíření: Primárně prostřednictvím odhaleného nebo zranitelného RDP, což útočníkům umožňuje vzdálený přístup a nasazení ransomwaru.

LockBit

LockBit je další populární varianta ransomwaru, která funguje na základě modelu Ransomware-as-a-Service (RaaS) a je známá svými útoky na firmy a vládní organizace. LockBit provádí své útoky ve třech hlavních fázích: zneužití zranitelností, hluboké pronikání do systému a nasazení šifrovacího datového zatížení.

Fáze 1 – Zneužití: LockBit zneužívá zranitelnosti v síti pomocí technik, jako je sociální inženýrství, například prostřednictvím phishingových e-mailů nebo útoků hrubou silou na intranetové servery a síťové systémy.

Fáze 2 – Infiltrace: Po infiltraci LockBit použije nástroj „post-exploitation“ ke zvýšení úrovně přístupu a přípravě systému na šifrovací útok.

Fáze 3 – Nasazení: LockBit nasadí šifrovaný datový obsah na všech přístupných zařízeních v síti, zašifruje všechny systémové soubory a zanechá výkupné.

LockBit také ve svém procesu narušení používá řadu bezplatných a open source nástrojů, od síťových skenerů až po software pro vzdálenou správu, k provádění síťového průzkumu, vzdáleného přístupu, krádeže přihlašovacích údajů a exfiltrace dat. V některých případech LockBit dokonce hrozí zveřejněním osobních údajů oběti, pokud nebudou splněny požadavky na výkupné.

Díky své složitosti a schopnosti se značně šířit představuje LockBit jednu z největších hrozeb v moderním světě ransomwaru. Organizace musí přijmout komplexní sadu bezpečnostních opatření, aby se před tímto ransomwarem a jeho variantami ochránily.

Dao Trung Thanh

Lekce 2: Od útoku VNDirect k strategii proti ransomwaru