Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a Federální úřad pro vyšetřování (FBI) varují soukromé i státní organizace, aby během letošní vánoční sezóny předcházely kybernetickým hrozbám, zejména potom ransomwaru. Tento typ útoku zaznamenal v roce 2021 také dosud největší požadavky na výkupné, udává to aktuální zpráva Threat Report T2 2021. Mezi doporučená opatření patří např. implementace vícefaktorového ověřování pro vzdálený přístup a administrativní účty či silná hesla, která nejsou použita současně pro více účtů.

CISA a FBI vydaly připomenutí týkající se kybernetické bezpečnosti. Vyzývají organizace veřejného a soukromého sektoru, aby zůstaly ostražité a přijaly vhodná opatření ke snížení rizika ransomwaru a dalších kybernetických útoků ve vánoční sezóně. Toto doporučení je založeno na pozorování načasování vysoce účinných ransomwarových útoků, ke kterým došlo dříve. Kybernetičtí aktéři často využívali konkrétně prázdnin a víkendů k narušení kritických sítí a systémů patřících organizacím, podnikům a kritické infrastruktuře.

CISA a FIB proto doporučují, aby dané subjekty vyhledaly zaměstnance z oblasti bezpečnosti, kteří budou k dispozici i v tato období pro případ, že by se kybernetický útok potvrdil.

Mezi další doporučené postupy patří:

• implementace vícefaktorového ověřování pro vzdálený přístup a administrativní účty
• silná hesla (která nejsou současně využívána pro více účtů)
• zajištění zabezpečení a monitorování při používání protokolu vzdálené plochy (RDP) nebo jiné potenciálně rizikové služby
• školení pro zaměstnance týkající se nedoporučení rozklikávání podezřelých odkazů
• kontrola a v případě potřeby aktualizace krizových plánů, které obsahují seznam akcí, jenž organizace podnikne, pokud bude zasažena incidentem ransomwaru

„I když si v současné době nejsme vědomi konkrétní hrozby, víme, že hackeři si dovolenou neberou,“ řekla ředitelka CISA Jen Easterlyová. „Budeme i nadále poskytovat včasné a užitečné informace, abychom pomohli našim partnerům v oboru či vládním partnerům zůstat v bezpečí během vánoční sezóny. Vyzýváme všechny organizace, aby zůstaly ostražité a hlásily jakékoli kybernetické incidenty CISA nebo FBI.“

„Budeme i nadále poskytovat informace o kybernetických hrozbách a sdílet nejlepší bezpečnostní postupy. Vyzýváme bezpečnostní pracovníky, aby se na nadcházející sezónu připravili a zůstali ve střehu a každou podezřelou aktivitu nahlásili na www.ic3.gov,“ řekl náměstek ředitele FBI pro kybernetické operace Bryan Vorndran.

Ransomware je i nadále bezpečnostní hrozbou a kritickou výzvou, existují však opatření, která mohou vedoucí pracovníci v jakékoli organizaci podniknout, aby proaktivně snížili riziko kybernetických útoků. Informace o tom, jak se chránit, najdete také na www.stopransomware.gov.

Ransomware má na kontě dosud nejvyšší požadavek na výkupné

V případě ransomwaru byly zaznamenány dosud největší požadavky na výkupné, udává to aktuální zpráva Threat Report T2 2021, která vychází z telemetrických dat společnosti ESET a mapuje vývoj globálních kybernetických hrozeb. Útok, který zastavil provoz Colonial Pipeline, největší ropovodní společnosti v USA, a útok typu „dodavatelský řetězec” využívající zranitelnost v softwaru pro správu IT Kaseya VSA, měly dosah za hranice kybernetické bezpečnosti. Oba případy sledovaly spíše finanční zisk než kybernetickou špionáž. Pachatelé útoku na společnost Kaseya stanovili ultimátum ve výši 70 milionů USD. Jedná se o dosud nejvyšší známý požadavek na výkupné.

„Útočící ransomwarové gangy šly tentokrát dál, než je obvyklé. Zapojení orgánů činných v trestním řízení do těchto vysoce závažných incidentů donutilo některé útočné skupiny utlumit svou činnost. Výjimkou je ale například malware TrickBot, který zjevně odolal loňským snahám o své odstranění. Zdvojnásobil počet našich detekcí a pochlubil se novými funkcemi,“ říká Šuman. „Definitivní zneškodnění botnetu Emotet na konci dubna 2021 mělo vliv na pokles detekcí downloaderů o polovinu oproti prvnímu čtvrtletí. Můžeme tak pozorovat celkově nové uspořádání prostředí kybernetických hrozeb,” dodává Šuman.

Ve sledovaném období od května do srpna 2021 zaznamenali bezpečnostní analytici také nárůst útoků na služby vzdáleného přístupu. Konkrétně se jednalo o RDS (Remote Desktop Services) a snahu útočníků prolomit přístupová hesla k těmto službám za pomoci hrubé výpočetní síly, tzv. brute force metody. Kompromitované služby pro vzdálený přístup slouží velice často jako vstupní brána pro další napadení infrastruktury pomocí ransomware. Od května do srpna 2021 ESET detekoval 55 miliard nových brute force útoků proti protokolu RDP služby Remote Desktop Services. Nárůst těchto útoků byl ve srovnání s minulým obdobím vyšší o 104 %.

Telemetrie společnosti ESET také zaznamenala impozantní nárůst průměrného počtu denních útoků brute force metodou na jednoho unikátního klienta, který se zdvojnásobil z 1 392 pokusů na jeden počítač za den v prvním sledovaném období roku 2021 na 2 756 ve druhém sledovaném období.

Zdroj: cisa.gov, eset.com; JM