Útoky ransomwaru jsou celosvětově největším kybernetickým rizikem pro veřejné služby a kritickou infrastrukturu. Základem každé strategie kybernetické bezpečnosti je odhalení škodlivých aktivit během přípravné fáze útoku, aby se zabránilo jeho narušení a šíření.
Nedávný ransomwarový útok ESXiArgs na servery VMware otřásl společnostmi po celém světě. Nejenže tento nejnovější rozsáhlý kybernetický incident podtrhuje riziko, kterému čelí každá společnost v důsledku narušení dodavatelského řetězce. Rovněž to dokazuje, že koncept „100% bezpečnosti“ je již dávno minulostí.
Jedním z důvodů je, že rostoucí závislost na službách a dodavatelích třetích stran vždy zanechá bezpečnostní mezeru, protože jejich bezpečnostní štít se nachází mimo oblast působnosti společnosti, která ho nasazuje. Společnosti si ve skutečnosti nikdy nemohou být jisté, jakou úroveň zabezpečení daná softwarová nebo hardwarová komponenta má - a zda vůbec nějakou má. Zejména se to týká kritické infrastruktury a průmyslových prostředí, kde komponenty a systémy provozních technologických sítí (OT) stále postrádají bezpečnostní prvky nebo jsou postaveny na nezabezpečených konstrukčních základech s dosud neobjevenými zranitelnostmi nultého dne. Zároveň čelí více než 247 milionům hrozeb malwarového typu ročně.
Není ransomware jen pro IT?
Systémová integrace, aplikace (I)IoT a připojení OT k sítím IT vystavují tyto nezabezpečené průmyslové systémy a komponenty celému prostředí hrozeb známému z IT. Toto překrývání činí OT stejně zranitelným, ne-li více než IT.
Vzhledem k výše uvedeným skutečnostem je pravděpodobné, že když ransomwarový útok zasáhne průmyslovou společnost, budou ovlivněny i průmyslové procesy. Zejména v případě kritické infrastruktury to může vyvolat katastrofální (tj. společenské a politické) následky. Kromě toho v lednu 2023 oznámila podskupina Anonymous GhostSec, že se jí podařilo zašifrovat vzdálenou koncovou jednotku (RTU), která pracuje v průmyslových sítích. Díky těmto skutečnostem jsou cílené útoky ransomwaru na OT sítě velmi reálným rizikem.
Nejsou útoky ransomwaru příliš rychlé na to, aby je bylo možné odhalit?
Útoky ransomwaru jsou vnímány jako téměř okamžitý útok. Najednou jsou všechny počítače zašifrované a všechna data ztracená. Toto vnímání mohlo být pravdivé v minulosti, kdy byl malware do počítače doručen prostřednictvím nastražené e-mailové přílohy a ihned začal šifrovat počítač.
V dnešní době jsou útoky ransomwaru sofistikovanější a mají velký dosah. Může existovat kryptografický malware, který je zabalen jako červ (tj. s možností replikace) a který komunikuje s příkazovým a řídicím serverem umístěným na veřejné IP adrese. Tato strategie umožňuje útočníkům pečlivě naplánovat útok a optimalizovat návratnost investice. Oni:
- nahrají další nástroje pro nabourávání,
- stáhnou a analyzují firemní data s cílem odhadnout jejich hodnotu, použít je k vydírání nebo je prodat na černém trhu (v případě neúspěchu jednání),
- prozkoumávají síť pro další šíření hrozeb a
- infikují co nejvíce zařízení před spuštěním šifrování.
Tento proces přípravy může trvat několik dní nebo měsíců.
Právě v tomto období má systém detekce narušení sítě (NIDS) šanci odhalit přípravné aktivity útočníka, zejména v raných fázích řetězce kybernetického zabíjení, během vnitřní rekognoskace a bočního pohybu. Tato včasná detekce, která je založena na paradigmatu viditelnosti OT, umožňuje provozovatelům zastavit útok dříve, než naruší systémy a služby.
Jak monitorování OT s detekcí anomálií pomáhá identifikovat tyto útoky ransomwaru, vysvětlíme ve druhé části tohoto příspěvku, která se objeví již brzy.