V souvislosti s nedávným útokem na největší brněnskou fakultní nemocnici stojí za připomínku, jak vlastně podobná nákaza vypadá v praxi, zdaleka to totiž není první ani poslední případ. Spíše naopak.
České firmy, veřejné instituce i domácnosti jsou každý den bombardované ohromným množstvím zavirovaných e-mailových zpráv, které se pomocí phishingu snaží přesvědčit adresáta, aby klepl na odkaz, anebo otevřel přílohu.
Když se tak stane, malware zpravidla stáhne ze sítě další data a pokusí se obejít antivir a zneužít nejrůznějších zranitelností zejména v protokolech síťových úložišť (zejména SMB – NCKB aktuálně varuje před čerstvou zranitelností v SMBv3), aby se šířil dál podnikovým intranetem.
A šíří se mnohdy i tam, kde se IT oddělení domnívalo, že dostatečně segmentovaná síť zabrání v tom, aby malware bez patřičných práv opustil nejbližší okolí počítače mzdové účetní, která se má dostat leda tak na tiskárnu a podnikový informační/mzdový systém.
Stovky zavirovaných sítí, o kterých se nepíše
Tento vektor útoku je poměrně častý, o obětech, které jsou nesrovnatelně menší než nemocnice nebo třeba OKD, se ale pochopitelně nepíše. Přitom jich jsou jen u nás nejméně stovky od malých živnostníků po mnohem větší právnické osoby a akademická pracoviště.
V Česku jsou nebo ještě nedávno byly zavirované sítě stovek zdejších podniků. Některé o tom ani nemusejí vědět. Toto je jejich vzorek, který máme k dispozici.
Jakmile se maware dostane na počítač, může jej zapojit do botnetu spravovaného ze zahraničí a plnit v podstatě jakoukoliv roli počínaje instalací ransomwaru/cryptolockeru, který se pokusí zašifrovat data a žádá výkupné, a konče univerzálním výpočetním výkonem, který se dá zneužít k těžbě krypotměn, rozesílání spamů, DDoS útokům atp.
Pacientem 0 jsou zpravidla počítače managemetu
Z našich dat o zavirovaných českých počítačích, která máme k dispozici, ale z pochopitelných důvodů je nemůžeme blíže identifikovat a komentovat, se v mnoha případech jedná o pracovní stanice se síťovými názvy jako REDITEL, REDITELKA, PC-UCETNI, UCETNIPC, KANCELAR, UCTO, BACK-OFFICE a v seznamu se vyskytují dokonce i mašiny, z jejichž názvu snadno rozluštíme, že patří městským samosprávám.
A to se přitom bavíme jen o malém vzorku zachyceném v relativně nedávné době.
Právě tyto počítače přitom byly vstupem malwaru do podnikové sítě, jednalo se tedy zpravidla o počítače tzv. bílých límečků – managementu firem. Pokud na počítač účetní dorazí během dne desítky zcela běžných a korektních faktur, nelze se divit, že občas automaticky klepne na e-mail, který by běžný čtenář jednoznačně vyhodnotil jako podvod. Běžnému čtenáři ale nechodí desítky faktur denně.
U některých cílených útoků pak zároveň platí, že je oběť v ještě svízelnější situaci, dorazí ji totiž tzv spear phishing – podvodný e-mail psaný na míru dané osobě nebo podniku, který může zneužívat i firemní hlavičkový papír, styl, anebo zmiňovat i konkrétní jména, která si může útočník náhodně vytáhnout z LinkedInu.
Obrana: Nedůvěra a dobrý poštovní systém
Nejvyšší obranou proti podobným útokům je tedy ještě mnohem vyšší nedůvěra k e-mailům, perfektně zabezpečená počítačová síť, ale také dostatečně vyspělý poštovní systém.
Dobrý poštovní systém upozorní na všechny základní phishingové praktiky. V tomto případě třeba na to, že skutečnému odesílateli zprávy doména rb.cz opravdu nepatří, čili takový e-mail okamžitě míří do spamu.
Vlastní řešení zejména u malých a středních podniků totiž zpravidla nedosahují technických kvalit, které nabízejí cloudové systémy jako Microsoft Office365 a Google GSuite, které aktivně kontrolují důvěryhodnost odesílatele skrze malwarové blacklisty – vlastní i komunitní, korektně upozorní, pokud se snaží odesílatel zneužívat internetovou doménu, která mu nepatří a zpravidla nabízejí i aktivní kontrolu příloh.
