Útok na Britskou knihovnu a jeho následky jsou připomínkou toho, že ransomware stále zůstává hlavní kybernetickou hrozbou pro organizace všech velikostí. Ransomware byl spuštěn 28. října 2023, ale knihovna se domnívá, že skupina Rhysida pronikla do jejích systémů nejméně o tři dny dříve. Během těchto tří dnů skupina provedla to, co knihovna nazývá "nepřátelským průzkumem" (hostile reconnaissance), a exfiltraci 600 GB dat.
Zpráva také popisuje, jak gang "unesl nativní nástroje" (hijacked native utilities) ke zkopírování databází knihovny. Použití nástrojů, které jsou již v síti oběti přítomné (technika známá jako Living off the Land), usnadňuje gangům vyhnout se odhalení při přípravě útoku.
Nicméně existují některé podrobnosti o útoku, které buď doplňují už existující soubor poznatků, nebo připomínají věci, které se snadno přehlédnou. Společnost Malwarebytes vybrala několik poučení z této zprávy, která může s výhodou použít pravděpodobně každý IT tým.
1. Složitost nahrává útočníkům
Jednou z věcí, která ze stránek zprávy přímo vyskakuje, je ta, jak složitá infrastruktura knihovny útočníkům pomohla. Zpráva popisuje prostředí knihovny jako "neobvykle rozmanité a složité technologické zařízení, včetně mnoha starších systémů". Pokud nepracujete v nějakém startupu, je pravděpodobné, že v tomto popisu poznáte něco z vlastní firemní sítě, i když není tak složitá jako Britská knihovna.
Mohlo by vás zajímat
Tento technický deficit znemožnil knihovně dodržovat bezpečnostní standardy, "přispěl k závažnosti dopadu útoku" a nabídl útočníkům větší možnosti, než měli mít. Nejškodlivější ze všeho je však dopad, který mělo přenášení přílišné složitosti na schopnost knihovny zotavit se:
„Naše závislost na starší infrastruktuře je hlavním faktorem, který přispívá k délce doby, kterou bude knihovna potřebovat k obnově po útoku. Tyto starší systémy bude v mnoha případech nutné migrovat na nové verze, podstatně je upravit nebo dokonce od základu přestavět, a to buď proto, že už nejsou podporovány, a proto je nelze odkoupit nebo obnovit, nebo proto, že prostě nebudou fungovat na moderních serverech nebo s moderními bezpečnostními kontrolami.“
V závěru zprávy se uvádí, že "z toho plyne jasné ponaučení, že je třeba co nejvíce omezit vektor útoku tím, že se infrastruktura a aplikace budou udržovat v aktuálním stavu."
Mohlo by vás zajímat
2. Ochrana koncových bodů je důležitá
Ačkoli se ve zprávě opakovaně objevuje otázka složitosti systému, je zde ještě jedno významné zjištění, které je zahrnuto pouze v jediném řádku - důležitost účinné ochrany koncových bodů.
Jakkoli byl útok na knihovnu ničivý, mohl být ještě horší. Při útoku se totiž podařilo kompromitovat pouze servery organizace, ale její stolní a přenosné počítače byly ušetřeny, protože na nich běžel modernější "bezpečnostní software", který útok úspěšně identifikoval a zabránil mu.
Mohlo by vás zajímat
"Jiný systém úspěšně útok identifikoval a zabránil provedení zašifrování na našich noteboocích a stolních počítačích, ale starší bezpečnostní software na serverech nebyl schopen útoku odolat."
Z toho jasně vyplývá, že kdyby systém, který běžel na stolních a přenosných počítačích, běžel také na serverech, útok by byl zmařen. Počítače prostě potřebují antivirový engine nové generace, který dokáže detekovat a zastavit známé hrozby a blokovat podezřelé chování, například šifrování.
Mohlo by vás zajímat
3. Ransomware je hrozbou 24 hodin denně, 7 dní v týdnu
Zpráva zmiňuje i další potenciální možnost, jak útok zastavit. Popisuje, jak "26. října 2023 v 01:15 byl manažer IT bezpečnosti knihovny upozorněn na možnou škodlivou aktivitu v síti knihovny". Manažer IT přijal opatření, monitoroval situaci a následující ráno incident eskaloval. Následná podrobná analýza záznamů o činnosti "neidentifikovala žádnou zjevně škodlivou aktivitu".
Šetření provedená po útoku "identifikovala důkazy o přítomnosti externí osoby v síti knihovny ve středu 25. října 2023 ve 23:29 hodin" a že "28. října v 1:30 hodin opustil knihovnu neobvykle velký balík dat (440 GB)". To naznačuje, že existovaly další příležitosti k odhalení "nepřátelského průzkumu" útočníků.
Zpráva to zdůrazňuje proto, aby demonstrovala důležitý bod o tom, jak ransomwarové gangy fungují. Zdá se, že všichni zainteresovaní přistupovali k incidentu velmi vážně a přijali odpovídající opatření. Na co chce zpráva upozornit, je fakt, že ke všem třem incidentům došlo uprostřed noci.
Mohlo by vás zajímat
Skupiny jako Rhysida vynakládají značné úsilí na zamaskování svých stop a pravděpodobně pracují v době, kdy je jejich cíl nejméně akční. Nicméně i když jsou skryté, jejich aktivity mimo pracovní dobu stále vytvářejí příležitosti pro zkušené bezpečnostní pracovníky, aby je odhalili. Problémem pro obránce je, že jejich kvalifikovaní bezpečnostní pracovníci musí pracovat ve stejnou dobu jako útočníci. Pro mnoho organizací je jediným praktickým způsobem, jak toho dosáhnout, poskytovatel služeb typu Managed Detection and Response (MDR).
Jak se vyhnout a bránit ransomwaru
- Zablokujte běžné formy vstupu. Vytvořte plán rychlého opravování zranitelností v systémech připojených k internetu a zakažte nebo zkomplikujte vzdálený přístup, jako je RDP a VPN.
- Předcházejte průnikům. Zastavte hrozby včas, ještě než mohou proniknout do koncových bodů nebo je infikovat. Používejte software pro zabezpečení koncových bodů, který dokáže zabránit zneužití a škodlivému softwaru používanému k šíření ransomwaru.
- Odhalte narušení. Zkomplikujte narušitelům působení uvnitř vaší organizace tím, že segmentujete sítě a obezřetně přidělujte přístupová práva. Používejte EDR nebo MDR k odhalení neobvyklé aktivity dříve, než dojde k útoku.
- Zastavte šifrování. Nasaďte software pro detekci koncových bodů a reakci na ně, software, který používá několik různých detekčních technik k identifikaci ransomwaru a ransomware rollback k obnovení poškozených systémových souborů.
- Vytvářejte offsete a offline zálohy. Uchovávejte zálohy mimo pracoviště a offline, mimo dosah útočníků. Pravidelně je testujte, abyste se ujistili, že můžete rychle obnovit základní podnikové funkce.
- Nenechte se napadnout dvakrát. Jakmile izolujete ohnisko nákazy a zastavíte první útok, musíte odstranit všechny stopy po útočnících, jejich malwaru, nástrojích a metodách vstupu, abyste se vyhnuli dalšímu útoku.
