Ukrajině pomáhá Microsoft i antiviry. Experty překvapil malý nápor hackerů

Článek si také můžete poslechnout v audioverzi.

V předvečer ruské invaze na Ukrajinu se objevily zprávy o agresivním viru. Šířil se především po vnitrofiremních sítích a mazal obsah pevných disků. Slovenská společnost ESET jej detekovala již 23. února a pojmenovala jej HermeticWiper. Ve stejné době virus zaznamenala i firma Microsoft, která tento škodlivý program nazývá FoxBlade. Microsoft od té doby „neustále a intenzivně koordinuje“ monitorování kyberbezpečnostních hrozeb s ukrajinskou vládou.

„Všichni, kdo pracujeme ve společnosti Microsoft, pozorně sledujeme tragickou, nezákonnou a neoprávněnou invazi na Ukrajinu,“ napsal Brad Smith, prezident společnosti Microsoft. „Válku provázejí děsivé záběry z celé Ukrajiny i méně viditelné kybernetické útoky na počítačové sítě a internetové dezinformační kampaně.“

„Tyto útoky na civilní cíle vyvolávají vážné obavy podle Ženevské úmluvy a o každém z nich jsme sdíleli informace s ukrajinskou vládou,“ upozorňuje Smith. Ukrajinskou vládu rovněž Microsoft informoval o kybernetických snahách „o krádež široké škály údajů, včetně osobních údajů souvisejících se zdravotnictvím, pojišťovnictvím a dopravou, jakož i dalších souborů vládních údajů“.

Microsoft i další velké firmy jsou samozřejmě zvyklé spolupracovat s policií i bezpečnostními složkami na řešení kyberhrozeb. V současné době je ale tato spolupráce řádově rychlejší.

„Ještě nikdy jsem neviděl, že by to fungovalo takovým způsobem nebo tak rychle,“ řekl reportérům Tom Burt, který má v Microsoftu na starosti boj proti kyberhrozbám velkého rozsahu. „To, co by ještě před několika lety trvalo týdny nebo měsíce, teď zvládneme za několik hodin.“

Skrze Anne Neubergerovou, která má v Bílém domě na starost národní bezpečnost a kyberbezpečnost, se Burt propojil se zástupci vlád nejen z Ukrajiny, ale i Polska, Pobaltí a dalších evropských států. Soukromá firma se tak během několika hodin ocitla v centru válečných operací.

Někteří odborníci jsou ale vlastně překvapeni, že Rusko v kyberprostoru neudeřilo silněji. Útoky sice nabraly na intenzitě, ale ne tak, jak by se u vojenské invaze čekalo. „Mnoho lidí je docela překvapeno, že nedochází k výraznému začlenění kybernetických útoků do celkového útoku, který Rusko na Ukrajině podniká,“ řekl Shane Huntley, ředitel skupiny pro analýzu hrozeb společnosti Google. „Co se týče úrovně ruského cílení kyberhrozeb, jedná se víceméně o obvyklou činnost.“

To ale neznamená, že silnější útok ještě nemůže přijít. Společnost Meta (provozovatel sociálních sítí Facebook a Instagram) oznámila, že zaznamenala snahy o neautorizovaný přístup na účty vysoce postavených ukrajinských politiků a armádních činitelů. Za útokem může stát hackerská skupina spojovaná s Běloruskem.

Kromě cílených útoků samozřejmě může dojít i k nasazení metod, které by se mohly rozšířit i mimo svůj zamýšlený terč. „Existuje riziko, že jakékoli kybernetické nástroje, které Rusko na Ukrajině použije, na Ukrajině nezůstanou,“ řekl Adam Schiff, jenž vede výbor pro zpravodajské služby Sněmovny reprezentantů USA. „Už jsme to viděli, když se malware zaměřený na určitý cíl dostane ven a pak si žije vlastním životem. Takže bychom se mohli stát obětí ruského malwaru, který přesáhl svůj zamýšlený cíl.“ Naráží tak na ruský útok virem NotPetya z roku 2017, který kromě Ukrajiny zasáhl i desítky dalších zemí.

Spolu s destruktivním virem HermeticWiper, o němž jsme již psali, udeřily letos na Ukrajině i další varianty.

Mezi ně patří i nově objevený vyděračský virus. Ten soubory nemaže, ale šifruje, pak za ně chce výkupné. Podle výzkumníků se virus „svezl“ na úspěchu HermeticWiper, proto jej nazvali HermeticRansom, neboť se jedná o klasický ransomware.

Program zašifruje soubory (především s dokumenty, programy nebo fotkami) na disku. Používá k tomu unikátní klíč. Od obětí poté požaduje výkupné.

Protože ve zprávě od útočníka je pouze kontakt, není zřejmé, kolik by si útočník za rozšifrování řekl. Lze předpokládat, že by se tato cena odvíjela od toho, kolik si napadená firma může dovolit zaplatit. Ale to nebude nutné.

Výzkumníci bezpečností firmy CrowdStrike totiž zjistili, že útočníci při programování zjevně udělali chybu. Jejich šifrování je tudíž prolomitelné. Na to reagovali vývojáři Avastu a přišli s protijedem, tedy nástrojem pro automatickou dešifraci zablokovaných souborů. Průvodce umožní vybrat, které disky mají být dešifrovány, a autoři doporučují nechat si i zálohu původních zašifrovaných souborů pro případ, že by se během obnovy stalo něco neočekávaného.

Není to zdaleka poprvé, kdy antivirová firma snižuje zisky autorům ransomwaru. Existují desítky více či méně specializovaných nástrojů na dešifrování populárních i obskurních vyděračských virů. Avast nabízí nástroje na dešifrování několika desítek z nich. Podobné utility nabízí i EmsiSoft nebo Trend Micro. Seznam dešifrovacích nástrojů spravuje i Europol na stránce NoMoreRansom.org.