Chester Wisniewski

Hlavní výzkumník společnosti Sophos

Vyspělejší protivníci, jako jsou operátoři za ransomwarem Maze, nejenže zašifrují soubory, ale současně kradou data za účelem jejich možného zveřejnění nebo vydírání. Nedávno jsme na použití této taktiky upozornili u ransomwaru LockBit. Někteří útočníci se také pokoušejí smazat nebo jinak sabotovat zálohy, aby pro oběti bylo těžší data obnovit, a tím zvyšují tlak na zaplacení.

Způsobem, jak se vypořádat s těmito škodlivými tahy, je udržovat zálohy off-line a používat efektivní, víceúrovňová bezpečnostní řešení, která detekují a blokují útoky v jejich různých fázích.

Organizace se mohou cítit pod velkým tlakem, aby zaplatily výkupné a vyhnuli se tak odstávce, která poškodí jejich podnikání. Na první pohled se zdá, že zaplacení výkupného je účinným způsobem, jak obnovit data. Ale to je omyl. Zjištění společnosti Sophos ukazují, že zaplacení výkupného nijak výrazně nezmírní potíže s nápravou, pokud jde o čas a náklady.

Důvodem je, že k obnově pravděpodobně nestačí pouze jediný kouzelný dešifrovací klíč. Útočníci často sdílejí několik klíčů a jejich použití k obnově dat může být složitou a časově náročnou záležitostí.

Většinu necílených útoků lze zastavit během několika vteřin přímo na koncovém bodu, a to bez vyvolání jakéhokoli alarmu. Vytrvalí útočníci, včetně těch, kteří provádí cílené ransomwarové útoky jako SamSam, věnují dostatek času tomu, aby pronikli do systému - např. nalezením slabého hesla pro vzdáleně dostupné služby (RDP, VNC, VPN apod.), vytvořili základ pro své aktivity a tiše se pohybovali po okolí, dokud dílo zkázy nedokončí.

Pokud mají IT manažeři k dispozici důkladnou obranu s technologií EDR, mohou také rychleji vyšetřovat jednotlivé incidenty a využívat sdílení získaných bezpečnostních informací ke snadnějšímu nalezení shodné infekce napříč podnikovou informační architekturou.