Důmyslnost hackerů roste. Jejich pokusy jsou hůře odhalitelné, efektivnější a dobře mířené. Své oběti si dopředu vytipují, prozkoumají a odhalí jejich slabiny. Nejčastěji stále používají phishingové e-maily, mnohdy jim ale stačí i útok „hrubou silou“.
Velmi často jde o útoky vyděračského ransomware – vir zašifruje obsah serverů a pachatel pak požaduje výpalné za jejich opětovné zpřístupnění nebo za to, že nezveřejní ukradená citlivá data. Anebo za oboje.
Hackeři dokážou využít i inteligentní zařízení a čidla připojená na wifi nebo internet věcí, ale pořád rádi využívají hlavně phishingové e-maily. Letošní výzkum Cyber Security Breaches Survey pořízený britským ministerstvem pro digitál, kulturu, média a sport dokládá, že útočníci i nadále používají phishing jako upřednostňovaný způsob útoku. A phishing s největší pravděpodobností zůstane problémem i v dohledné budoucnosti, protože vyžaduje lidská rozhodnutí a úsudek v reakci na nepolevující snahu kybernetických zločinců nachytat oběti na návnady, které jim předkládají.
Šprýmaře, kteří v rané fázi dominovali nelegální malwarové scéně, postupně vytlačil organizovaný zločin. Cílené návnady nemají nic společného s amatérskými e-maily psanými lámanou češtinou. Od masivních hromadných ataků útočníci přecházejí k menším akcím – mnohdy využívají sociální sítě, aby si našli co nejvíc informací o konkrétním uživateli a pak mu podstrčí zprávu, která třeba souvisí s jeho zájmy. Spamové kampaně často zneužívají významné události a svátky, jako jsou Vánoce či Valentýn, aby nalákaly oběti ke stažení malwaru. Stačí otevřít přílohu nebo častěji kliknout na vložený odkaz na falešné webové stránky a malware se přes konkrétní počítač začne provrtávat do firemní sítě.
Zatímco první útoky malwaru byly často okázalé a zjevné, u malwaru orientovaného na zisk je mnohem vyšší pravděpodobnost, že bude fungovat nenápadně a nebude přitahovat pozornost, aby mohl co nejdéle vykonávat svou funkci, jako je odesílání spamu, krádeže citlivých informací, útoky na dostupnost služby (DoS) a další škodlivé aktivity.
Podívejte se na videa, která výborně ilustrují, jak může vypadat pokus o napadení a odcizení mimořádně důležitých dat. Jde o stejný útok ze tří různých úhlů: z pohledu napadeného, z pohledu hackera i z pohledu ochránce.
Často také hackeři kombinují způsob útoku. Pomocí automatizovaných programů, které učiní desítky tisíc pokusů o prolomení hesla za den, se dostanou do systému. „Následně si kompromitovanou organizaci přebírají skuteční hackeři, jejichž cílem je vynášet citlivé informace, poškozovat služby organizace nebo zablokovat jejich dostupnost pro zákazníky,“ uvádí Jan Marek ze Cyber Rangers.
Phishing a ransomware hrozbou i v budoucnosti
„Phishing zůstává jedním z nejčastějších způsobů, jak uživatelům doručit škodlivý kód. Během roku 2018 celosvětově narostl počet odhalených phishingových e-mailů o 250 procent,“ upozorňuje Petr Váša. Microsoft prostřednictvím svých cloudových služeb měsíčně analyzuje více než 470 miliard e-mailových zpráv a kontroluje v nich výskyt phishingu a malwaru, což analytikům poskytuje přehled o trendech a technikách útočníků.
V předchozích letech to vypadalo, že se hackeři od vyděračského ransomware odvracejí, ale poslední období ukázalo, že se vymáhání výpalného za „ukradená“ data vrátilo na scénu. Firmy totiž kvůli podpoře home office pootevřely své antivirové brány a ransomware dostal nové příležitosti. Jakmile se virus dostane do domácího počítače, tabletu nebo i chytrého telefonu, začne si hledat cesty – přes nedostatečně zabezpečené připojení se umí i propracovat až k firemním serverům a vyřadit je ze hry.
Navíc k zavedeným strategiím útočníků přibývají nové, jako jsou utajené a zákeřné útoky na dodavatelské řetězce nebo nenápadné využívání cizích počítačů a serverů k těžbě kryptoměn.
Metody útočníků a typy útoků
Útoky mohou být aktivní i pasivní. Při aktivním napadení je cílem útočníků změnit nebo paralyzovat provoz systému. Při pasivním útoku jde hlavně o co nejméně nápadné získání informací.
Ransomware – vyděračský software, který zablokuje systém a přístup k datům. Útočník pak požaduje výpalné za obnovení přístupu nebo za to, že nezveřejní odcizená data. Ransomware se většinou šíří prostřednictvím „trojských koní“, škodlivých programů, které ho přes napadené zařízení dopraví do sítě.
Trojský kůň se do počítače dostane většinou po stažení infikovaných souborů, programů, e-mailových příloh nebo po otevření falešných webových stránek. Takový malware pak dokáže sledovat napadený systém, poškodit či zablokovat soubory a také otevřít cestu dalším virům.
DoS (denial of service - odmítnutí služby) a DDoS (distributed denial of service) – napadení serveru tím, že se zahltí požadavky s cílem ochromit jeho funkčnost. V případě DDoS se používá pro přehlcení velké množství rozptýlených počítačů.
Smurf attack (šmoulí útok) – typ DDoS útoku, který zahlcuje jednotlivá zařízení či servery. Útočníci využívají falešnou zdrojovou IP adresu, přes kterou si vynutí automatickou reakci zařízení v síti. Útok se opakuje a množství reakcí se tak stupňuje, až se servery přetíží, zpomalí či zkolabují.
Remote Administration – útočníci dokážou využít i programy pro vzdálenou správu zařízení, škodlivý software jim umožní ovládat a měnit systém i hesla a instalovat další nežádoucí malware.
Spyware – špionážní program, který odesílá záznamy o aktivitě na napadeném zařízení nebo v síti.
Keystroke Logger – jiný typ špionážního softwaru, který identifikuje údery na klávesnici, útočník tak může získat hesla.
Eavesdropping – software, který dokáže odposlouchávat zvuky a sledovat i psanou komunikaci.
Phishing – podvodné schéma navržené s cílem vylákat z uživatele hesla či jiné citlivé údaje nebo doručit do jeho zařízení škodlivý kód. Útočník se většinou prostřednictvím e-mailu snaží donutit uživatele, aby klikl na odkaz vedoucí na falešnou webovou stránku, vyplnil údaje nebo otevřel infikovanou přílohu.
Spamming – rozesílání nevyžádaných e-mailů, které můžou obsahovat škodlivý malware.
Man-in-the-Middle Attack – útočník sleduje čí narušuje výměnu dat při hlasové nebo textové komunikaci na dálku. Může se pak vydávat za pisatele, převzít jeho identitu a vylákat od druhé strany citlivá data.
Cryptojacking – „neviditelná“ těžba kryptoměn, ke které útočník pokoutně využívá napadený počítač, aniž by o tom jeho majitel věděl. Útočníci usilující o dosažení zisku nezákonným způsobem, proto stále častěji využívají malware, který jim při těžbě kryptoměn umožňuje využívat počítače obětí. Uživatel klikne na podstrčený odkaz a nevědomky si do počítače natáhne kód, který těží kryptoměnu. Těžba pak probíhá na pozadí, zatímco uživatel pracuje na jiných úkolech nebo ani není u počítače přítomen. Pokud příliš neklesne výkon počítače, nemusí to vůbec zaznamenat. Útočníci napadají i legitimní weby a neoprávněně vkládají kód pro těžbu do zdrojového kódu těchto webů.
Supply Chain Attack – Další oblastí, ve které kybernetičtí zločinci zvýšili své aktivity, je dodavatelský řetězec (supply chain). Neútočí přímo na organizace či firmy, ale na slabší články v jejich dodavatelské síti. Skrytý malware propašují například do legitimního instalačního balíčku aplikace nebo do její aktualizace, která je pak distribuována uživatelům softwaru. Škodlivý kód je následně spuštěn se stejnou důvěryhodností a oprávněními jako samotný software. Útoky na dodavatelský řetězec jsou zákeřné, protože těží z důvěry uživatelů a oddělení IT v software, který používají. Narušený software je často certifikován dodavatelem a nemusí vykazovat žádné známky toho, že by něco mohlo být v nepořádku.
Kyberútoky z poslední doby ukazují, jak zranitelné mohou být firmy i instituce. A jak zásadní je zabezpečení firemních sítí a zařízení obzvlášť v době, kdy roste podíl práce z domova. Pro efektivní home office a pokročilou digitalizaci firemních systémů je moderní zabezpečení naprosto nezbytné.
Jak zabezpečit firmu? Přečtěte si kapitolu Jen firewall nestačí.
Nemáte čas na čtení? To nejdůležitější z tohoto speciálu si můžete v klidu poslechnout v našem podcastu s Danielem Hejdou ze CyberRangers a Petrem Vášou z Microsoftu.
