Hlavní obsah

Nový druh útoku zasáhl svět. Vyděračský kód propašovali přímo k ajťákům

Foto: koláž: Pavel Kasík, Profimedia.cz

K distribuci vyděračského ransomware využili útočníci aktualizaci oblíbeného programu pro vzdálenou správu počítačů.

Reklama

5. 7. 2021 18:00

Ani „ověřené“ aktualizaci nelze věřit. Neznámí kyberútočníci napadli firmu Kaseya. Přes jejich nástroj se ransomware dostal k desítkám IT firem a přes ně do celého světa. Ze sofistikovaného útoku je podezřelá ruská skupina REvil.

Článek

V pátek v noci zažily firmy v USA i jinde ve světě zatím nejrozsáhlejší kybernetický útok svého druhu. „Je to kolosální a ničivý útok na dodavatelský řetězec,“ uvedl John Hammond z bezpečnostní firmy Huntress Labs, která incident připsala známému ruskému gangu REvil.

Podle dosavadních zjištění jsou napadeny stovky firem v USA a útočníci od nich požadují sumy od cca milionu Kč až po stamilionové částky, a to dle velikosti napadené firmy. V Evropě útok ochromil provoz švédské sítě supermarketů, protože dodavatel jejich pokladních systémů patří mezi nakažené firmy.

Skupina REvil se na svém blogu přiznala: „V pátek jsme rozjeli útok na MSP (poskytování IT služeb na dálku, pozn. red.) a podařilo se infikovat více než milion systémů. Pokud je někdo ochoten vyjednávat za všechny napadené, nabízíme univerzální dekryptor za 70 milionů dolarů v bitcoinech.“

Útočníkům se povedlo propašovat škodlivý kód přímo do softwaru americké firmy Kaseya. Ta vyrábí software pro IT firmy. Kaseya svým klientům v pátek rozeslala „schválenou“ aktualizaci programu pro vzdálenou správu počítačů. Tato aktualizace ale obsahovala ransomware, který se tak přes dva prostředníky dostal do stovek firem po celém světě.

Celkové škody mohou být ohromné. „Na základě toho, co zatím víme z odezvy lidí, předpokládáme, že napadeny byly tisíce malých firem,“ dodává Hamond. Řada firem byla zasažena během prodlouženého víkendu (v USA je po oslavách 4. července, které připadly na neděli, státní svátek v pondělí). To komplikovalo jak včasný zásah, tak zpomaluje i zjišťování počtu napadených.

„Hackeři zvolili tento víkend a tento způsob útoku z jasných důvodů. Snažili se proniknout do více než tisícovky firem a použili pandemický scénář, kdy přes jeden cíl mohli infikovat další nicnetušící oběti,“ domnívá se Petr Kovalčík ze společnosti Check Point, která se zabývá kyberbezpečností. „Cílení podobných útoků na víkendy a svátky má za cíl omezit reakci napadané organizace, IT pracovníci často nejsou tak rychle k dispozici a organizace jsou zranitelnější.“

Nemluvě o tom, že některé firmy pravděpodobně raději útočníkům zaplatí výkupné, aniž by přiznaly, že se jich útok dotkl.

Drtivá kombinace

Útok byl výjimečný zejména tím, že zkombinoval dvě osvědčené útočné metody, z nichž každá je nebezpečná už sama o sobě: vyděračský software (ransomware) a útok na dodavatelskou síť (supply chain attack).

Ransomware je mezi útočníky oblíbený proto, že umožňuje získat finanční odměnu od napadených uživatelů a korporací. Útočník obvykle necílí na konkrétní firmu, ale místo toho nastraží past nebo rozešle virus a čeká, kam se dostane. Ransomware na počítači zašifruje důležitá data (dokumenty, fotografie, záznamy apod.) a poté zobrazí uživateli informaci: zaplať, jinak svá data už nikdy neuvidíš. Platba se obvykle provádí v bitcoinech, což umožňuje útočníkům skrýt svou identitu.

K distribuci ransomware tentokrát útočníci použili techniku zvanou „útok na distribuční kanál“. V poslední době se o této fintě častěji mluví díky její úspěšnému použití v rámci kyberútoku Solar Wind na americké vládní agentury. Zákeřnost útoku tkví ve využití existujících mechanismů a zneužití důvěryhodnosti distribučního kanálu.

Řekněme, že jste přeopatrný rodič, který by svému dítěti nikdy nedal jíst koláč koupený od někoho na ulici. Nevíte přece, co tam ten neznámý člověk přimíchal. Dětem kupujete pouze značkové pamlsky v neporušeném obalu. Jenže co když se útočník dostane do továrny? Pak může do pamlsku přimíchat, co chce, a výsledek bude zabalen do originálního balení, k nerozeznání od původního výrobku.

Originálně zabaleným pamlskem je v tomto případě aktualizace programu. Výrobce ji opatří svou šifrovanou pečetí, a klienti tak nemají důvod této aktualizaci nevěřit. Proplížit se do distribuce může být sice velmi těžké, ale jakmile se mu to podaří, může útočník naráz nakazit stovky nebo tisíce počítačů.

Správa počítačů na dálku

V tomto případě byl navíc cílem útoku Kaseya VSA, speciální software, který slouží ke správě počítačů na dálku. Používají jej společnosti, které tuto službu poskytují dalším firmám, obvykle malé nebo střední velikosti, které tím outsourcují své IT oddělení.

Foto: Kaseya.com

Nástroj Kaseya VSA pro vzdálený monitoring a správu počítačů.

Floridská firma Kaseya radí napadeným klientům (a jejich klientům), aby spolupracovali s odborníky na řešení situace. Přestože původně firma odhadovala, že se útok dotkl jen „malého zlomku jejich klientů, asi čtyř desítek“, reálné dopady útoku budou zjevně mnohem větší.

Ransomware na vzestupu

„Tuto hrozbu, kterou označujeme jako Win32/Filecoder.Sodinokibi.N, aktuálně detekujeme v několika zemích na celém světě. V Evropě je to Velka Británie, Německo, Nizozemsko a Španělsko,“ uvedl Robert Šuman ze společnosti ESET. „Mimo Evropu patří mezi nejpostiženější země Kanada, Jihoafrická republika a Spojené státy.“

Bílý dům přislíbil obětem útoku pomoc a prezident Joe Biden nařídil důkladné prošetření incidentu. Bílý dům se k věci vyjádřil už v sobotu, kdy prezident Biden oznámil, že pověřil americké tajné služby vyšetřením incidentu. Vláda prý neměla ihned jasno v tom, kdo za incidentem stojí. „Prvotní úvaha byla taková, že to nebyla ruská vláda, ale zatím si nejsme jistí,“ řekl Biden novinářům. Během svého setkání se svým ruským protějškem naléhal Biden na Vladimira Putina, aby zasáhl proti hackerským skupinám působícím v Rusku. Putin zopakoval, že ruská vláda nemá s útoky nic společného.

Podle kritiků ale ruská policie nechává hackerským skupinám volné pole působnosti, dokud nenapadají ruské firmy. Někteří hackeři to vyřešili elegantně: Jejich ransomware nenapadá počítače, které mají aktivní ruské rozložení klávesnice. Vtipným řešením by tedy mohlo být přidání této možnosti a „ochránit“ tak systém.

Tento fígl ale rozhodně nelze doporučit. Pokud chcete, aby vaše data (osobní či firemní) byla v bezpečí, je nutné je především pravidelně zálohovat. Ransomware útoky jsou na vzestupu. „Letošek zatím bohužel boří rekordy,“ uvedl Kovalčík. „V posledních 12 měsících došlo k rekordnímu nárůstu ransomwarových útoků o 93 %, v České republice se oproti minulému roku celkový počet kyberútoků více než zdvojnásobil.“

A tento trend zatím nevykazuje žádné známky zpomalování.

Sdílejte článek

Reklama

Doporučované