Článek ve formátu PDF je možné stáhnout
zde.
Analýza dvou kybernetických útoků na subjekty v Evropě a Asii z jara tohoto roku ukázala, že hackerská skupina Lazarus vlastní a používá ransomware VHD. Tato známá skupina APT (Advanced Persistent Threat) ze Severní Koreje se tak podle odborníků z firmy Kaspersky rozhodla k velkému strategickému posunu, kdy je nově jejím cílem zisk financí, což je u státem sponzorovaných hackerů velmi neobvyklé.
V březnu a dubnu tohoto roku informovalo několik kyberbezpečnostních organizací včetně firmy Kaspersky o ransomwaru VHD. Tento škodlivý program je stejně jako jiný ransomware navržený tak, aby od svých obětí pod výhrůžkami získal peníze, ale od jiných ransomwarů se liší svojí unikátní metodou sebereplikace. Ta spolu s funkcí kompilace údajů o konkrétní oběti dala odborníkům vodítko ukazující na možné zapojení hackerské skupiny typu APT. (Pozn. red.: Skupiny APT, Advanced Persistent Threat, jsou skupiny kyberteroristů podporovaných určitými státy, které cíleně a dlouhodobě útočí na vybrané cíle: finanční instituce, státní a vládní úřady cizích států, vědecké a výzkumné instituce, průmyslové podniky, energetické firmy, nemocnice, dopravní infrastrukturu apod. Nejvíce skupin APT je z Čínské lidové republiky, aktivní jsou též v Rusku, v Íránu nebo v Severní Koreji.) Odborníci z Kaspersky nakonec s největší pravděpodobností označili za autora této hrozby skupinu Lazarus, přičemž své tvrzení opírají o analýzu incidentů proti firmám ve Francii a v Asii, v nichž byl ransomware VHD použit v kombinaci se známými nástroji této skupiny.
Mezi březnem a květnem 2020 proběhla dvě samostatná vyšetřování zaměřená na ransomware VHD. (Pozn. red.: Ransomware VHD šifruje osobní dokumenty na postiženém počítači. Zakódované soubory potom mají příponu VHD. Útočníci požadují za rozšifrování souborů platbu v bitcoinech.) První incident, ke kterému došlo v Evropě, neobsahoval mnoho stop po možných pachatelích. Jeho techniky šíření podobné těm, které používají skupiny APT, ale nechávaly vyšetřovací tým v napětí. Útok navíc neodpovídal obvyklému modu operandi známých skupin. Podezřelá byla také skutečnost, že byl k dispozici pouze velmi omezený počet vzorků ransomwaru VHD. To ve spojení s mizivým počtem veřejně dostupných informací naznačovalo, že tato ransomwarová rodina nejspíš nebude obchodována na fórech darknetu, jak tomu v běžných případech je.
Druhý útok ransomwarem VHD poskytl odborníkům ucelený obrázek o způsobu šíření infekce a umožnil jim propojit tento ransomware se skupinou Lazarus. Útočníci mimo jiné použili backdoor, zadní vrátka, která jsou součástí multiplatformové struktury označené MATA, o níž před nedávnem detailně informovala společnost Kaspersky. Tuto strukturu pojí se skupinou Lazarus několik podobností kódu a utilit. (Pozn. red.: MATA je platforma pokročilých nástrojů pro hackerské útoky proti počítačům s OS Windows, Linux a MacOS. Hlavním cílem vzájemně sladěných nástrojů je distribuce ransomwaru a zcizování databází.)
Tato zjištění tak dokládají, že za dosavadními kampaněmi s ransomwarem VHD stojí skupina Lazarus. Je to rovněž poprvé, co bylo zjištěno, že se skupina Lazarus uchýlila k cíleným útokům za použití ransomwaru, aby dosáhla finančního zisku.
„Skupina Lazarus je odedávna zaměřena na krádeže financí, ale od útoků WannaCry jsme u nich žádnou jinou aktivitu s ransomwarem neviděli. Ačkoliv je zřejmé, že se tato skupina nedokáže vyrovnat účinností jiným hackerským skupinám, které provádějí cílené útoky ransomwarem, je skutečnost, že se k tomuto kroku odhodlala, přinejmenším znepokojivá. Globální hrozba ransomwaru je už tak dost vysoká. Musíme se tedy ptát, zda jde o izolované experimenty, nebo jestli stojíme před novým trendem. Měly by se soukromé společnosti obávat toho, že se stanou obětí státem sponzorovaných hackerů?“ ptá se Ivan Kwiatkowsky, bezpečnostní odborník z týmu GReAT společnosti
Kaspersky.
Aby se firmy nestaly obětí ransomwaru, měly by se podle odborníků řídit následujícími zásadami:
- Minimalizujte šanci ransomwaru dostat se do vašich systémů prostřednictvím phishingu a neopatrností zaměstnanců – poskytněte jim školení v oblasti kybernetické bezpečnosti. K tomu vám pomohou specializované školicí kurzy platformy Kaspersky Automated Security Awareness Platform.
- Zajistěte včasnou aktualizaci všech softwarových produktů, aplikací i systémů. Používejte bezpečnostní řešení, které má funkci vulnerability and patch management a které vám pomůže identifikovat dosud neopravené zranitelnosti v síti.
- Proveďte audit kybernetické bezpečnosti svých sítí a opravte případná slabá místa.
- Na všech koncových zařízeních a serverech používejte správné bezpečnostní řešení, jako je např. Kaspersky Integrated Endpoint Security. To kombinuje zabezpečení koncových bodů s funkcemi sandboxu a EDR (Endpoint Detection and Response), které odhalí i doposud neznámé hrozby včetně ransomwaru.
- Zajistěte, že tým vašich bezpečnostních odborníků má neustálý přístup k nejnovějším informacím o kyberhrozbách, technikách a nástrojích kyberzločinců.
- Ransomware je trestný čin. Jestliže se stanete jeho obětí, nikdy neplaťte výkupné. Místo toho nahlaste incident na policii a zkuste vyhledat dešifrovací klíč na internetu – pomoc můžete najít např. na stránce: https://www.nomoreransom.org/en/index.html.
Více informací o ransomwaru VHD se lze dozvědět na blogu Securelist.
[Tisková zpráva společnosti Kaspersky, červenec 2020.]
(Bk)