Útoky s pomocí vyděračského softwaru, takzvaného ransomwaru, se týkají nejen běžných uživatelů, ale také nadnárodních korporací. Cílem takového útoku jsou uživatelská data, která útočník zašifruje či zcizí, a následně vydírá jeho právoplatného majitele za účelem vlastního obohacení. Zatímco u běžného uživatele hackeři vyhrožují úplnou ztrátou dat, v případě korporací se naopak výhrůžky pojí s jejich zveřejněním.
Obětí ransomwaru se stala tchajwanská společnost Quanta, která pro Apple vyrábí MacBooky a další produkty. Za vydíráním údajně stojí ruská hackerská skupina REvil, jinak známá jako Sodinokibi, alespoň podle informací serveru The Record. Hackeři začali ukradená data pomalu zveřejňovat, neboť Quanta odmítá zaplatit požadovaných 50 milionů dolarů (cca 1 miliarda korun). Pokud tak neučiní do 1. května, budou útočníci ve zveřejňování citlivých materiálů pokračovat.
Quanta útok na své servery potvrdila, nicméně dle oficiálního prohlášení „nebudou mít zveřejněná data žádný dopad na fungování společnosti“. Mezi uniklými daty jsou například schémata nedávno zveřejněného iMacu či diagramy již uvedeného MacBooku Air 2020 s M1 procesorem. Pro REvil se nejedná o první útok podobného druhu, v minulosti se hackerům podařilo získat data například od Aceru.
Jedinou spolehlivou obranou proti ransomware útokům je mít všechna data zálohovaná na vícero úložištích, včetně alespoň jednoho, které nemá přístup k internetu. Bezpečnostní experti se rovněž shodují, že v případě, kdy jste tomuto útoku vystaveni, byste neměli přistoupit na hru útočníků a zaplatit výpalné. Nikdy totiž nemáte jistotu, že hackeři dodrží své slovo a vaše data vám navrátí.
Komentář bezpečnostního analytika společnosti Kaspersky
Co znamená REvil? Jde o hackerskou skupinu, která stojí za tímto ransomwarem. Ten se objevuje už od roku 2019 a dokáže jak zašifrovat data, tak je ukrást. Skupina je také známá pod jmény Sodin nebo Sodinokibi. Ransomware není vytvořený na míru, dá se „předplatit“ ve specifických online skupinách jako ransomware-as-a-service.
Jeho nasazení vyžaduje dvě skupiny útočníků, jedna vyhledá bezpečnostní díru v systémech organizace a nasadí REvil, druhá pak jeho prostřednictvím rozšíří malware. Skupiny pak požadují výkupné za zašifrovaná nebo ukradená data a v případě úspěchu se o něj podělí.
Tento ransomware je také specifický tím, že útok se nespustí v případě, pokud malware identifikuje určitý výchozí jazyk v systému a k němu příslušné nastavení klávesnice. Bavíme se o více než desítce jazyků, včetně ruštiny.
Jak vážná je hrozba ztráty dat? Jde o reálné nebezpečí, že data zůstanou nedostupná. A je třeba počítat s tím, že tento útok nebude ojedinělý.
Co může v této situaci udělat Apple? Jak se může bránit v případě napadení svých dodavatelů? Bohužel se toho moc udělat nedá. Ochrana dodavatelů je většinou mimo jejich vliv. Pokud tedy nemají klauzuli o určité vysoké úrovni zabezpečení dodavatele přímo v kontraktu.
Útočníci jsou velmi vynalézaví, jak mají bezpečnostní týmy ve firmách postupovat, aby podobným útokům předcházeli? Bezpečnostní týmy musejí řešit nejen konkrétní útoky, ale zaměřit se právě i na prevenci. Pokud už k takovému napadení dojde, je potřeba udělat jeho kompletní analýzu, zjistit, kde má systém organizace slabá místa, a ošetřit je.
Například omezit vzdálený přístup do systému, speciálně bez dobře zajištěného VPN. Pak je podle mě třeba mít propracovanou strategii ochrany, včetně monitoringu a krizového plánu v případě podobného útoku.
Změní tento útok obrovského rozsahu vnímání kyberbezpečnosti? S cílenými útoky na velké společnosti se odborníci na kyberbezpečnost setkávají už několik let. A stále více platí, že se organizace neobejdou bez důsledných opatření v oblasti svého zabezpečení. Musejí také řešit kyberbezpečnost komplexně, od monitoringu, proaktivní detekce možných útoků po kontinuální trénink svých týmů.
