ACRESIA

Výzkum společnosti Microsoft uvádí, že 80–90 procent útoků ransomwaru za poslední rok pochází z nespravovaných a neaktualizovaných zařízení. Organizace, které akceptují politiku „přineste si vlastní zařízení“ (BYOD), otevírají své sítě vážným útokům díky osobním zařízením přineseným z domova, která obvykle postrádají adekvátní bezpečnostní opatření. Vyplývá to z údajů z nejnovější zprávy o kybernetické bezpečnosti společnosti Microsoft 2023, která také zdůrazňuje prudký nárůst globálních útoků o více než 200 procent.

Jak velkou kontrolu má vaše organizace nad BYOD uživatelů?

BYOD je kontroverzní přístup k organizačnímu IT. Někteří zastávají postoj, že se nikdy nemůže vyrovnat úrovním zabezpečení plně spravovaného a zajišťovaného přístupu, zatímco jiní jsou této myšlence v určitých případech otevřenější. Například Národní centrum kybernetické bezpečnosti (NCSC) Spojeného království nabízí návod, jak efektivně implementovat politiku BYOD na pracovišti, přičemž uznává výhody pro některé uživatele, jako je možnost používat IT zařízení, se kterým se cítí pohodlně a výhodu snížení režijních nákladů pro firmu. 

Efektivitu BYOD lze v konečném důsledku určit podle toho, jak moc vlastník zařízení umožní, aby organizace spravovala jeho osobní zařízení, a jak promyšleně zaměstnavatel zvážil rovnováhu mezi použitelností (výhodmi) a bezpečností. Samotný Microsoft také nabízí návod, jak zabezpečit organizace provozující zásady BYOD, aniž by od této praxe přímo odrazoval. Vzhledem k vysokému podílu úspěšných útoků využívajících tato nespravovaná zařízení pravděpodobně znovu dojde k oživení diskuse nad vhodností této praxe v moderních organizacích.

Ransomware stále stoupá

Hrozba, kterou BYOD představuje, je umocněna strmým nárůstem celkových incidentů ransomwaru v tomto roce; Microsoft uvádí, že útoky ransomwaru řízené lidmi vzrostly od září 2022 o více než 200 procent. Útoky ransomwaru řízené lidmi jsou označovány jako to, co mnoho lidí považuje za „normální“ typ ransomwaru – kyberzločinci používají manuální, sofistikované techniky, aby se dostali do organizace, zvýšili svá práva a zahájili útok zevnitř.

Tento typ útoku se liší od útoků na komoditní ransomware, které jsou podle Microsoftu obvykle automatizované a spoléhají na mechanismy šíření, jako jsou ty, které používají viry a červi, a také na phishing pro počáteční přístup útočníka. Telemetrie jiných bezpečnostních jednotek nabízí smíšené pohledy na stav ransomwaru v roce 2023. Některé, jako jsou pololetní data SonicWall , vykázaly 41procentní pokles útoků od začátku roku 2023, zatímco jiné hlásily nárůst podobným tempem. Pozitivní informací je skutečnost, že úspěšnost těchto značně zvýšených pokusů o útoky ransomwarem mezi červencem 2022 a červnem 2023, tedy obdobím, kdy byla data společnosti Microsoft stažena, je úspěšnost poměrně nízká.

Pouhá 2 procenta pokusů o útok řízených lidmi vedla k úspěšnému spuštění ransomwaru na hardwaru obětí a silná bezpečnostní politika v organizacích se projevuje vysoce účinnou obranou proti moderním ransomwarovým útokům. Rady organizacím, které chtějí být součástí 98 procent, se oproti předchozím letům nezměnily: Implementujte opatření nulové důvěry a co nejméně privilegovaných účtů; mít účinné zálohy; nasadit řešení, která odhalují útočníky na základě známých signálů a autonomně napravují zranitelnosti.

Lze předpokládat, že počet útoků bude v roce 2024 nadále narůstat, především kvůli nárůstu nabídky ransomware-as-a-service (RaaS). Většinu útoků řízených lidmi, ke kterým došlo v červnu 2023, provedla skupina 123 známých přidružených společností ke skupinám RaaS – meziroční tempo růstu o 12 procent, nevykazuje žádné známky zpomalení. Skupiny patřící do čtyř největších skupin RaaS – Magniber, LockBit, Hive a BlackCat – byly v loňském roce zodpovědné za téměř dvě třetiny (65 procent) všech útoků ransomwaru na celém světě. Magniber byl z první čtyřky nejúčinnější a měl na svědomí více než 20 procent úspěšných útoků po celém světě. Je to také jediná automatizovaná varianta ve skupině bez známého místa úniku – typický znak přední organizace RaaS.

Zločinci používají vzdálené šifrování pro nenápadnější útoky

Klíčovým trendem pozorovaným v aktivitě zločinců využívajích ransomwaru byl za poslední rok „prudký nárůst“ praktik vzdáleného šifrování používaných operátory "lidského" ransomwaru. Vzdálené šifrování je situace, kdy počítačový program zašifruje soubor na jiném počítači a poté odešle zašifrovaný soubor do původního počítače. To se může stát momentem, kdy je jeden počítač v síti napaden a má přístup k jinému počítači s napadenými uživatelskými účty.

Zašifrovaný soubor nahradí původní soubor na původním počítači. To se může stát, aniž by hacker musel instalovat jakýkoli další software do původního počítače. Příkladem je situace, když jsou soubory zašifrovány ve sdílené složce nebo když jsou soubory zašifrovány během relace vzdálené plochy, kde má hacker přístup k systému souborů. Momentem spuštění systémového procesu šifrování je procesní náprava útoku neúčinná. V průměru 60 procent útoků ransomwaru realizovaných lidmi za poslední rok použilo vzdálené šifrování. To je známka toho, že útočníci dále minimalizují svou stopu.

Závěr

Organizace by měla velmi zvážit implemetaci BYOD, protože s sebou nese nemalá rizika. Pokud se rozhodnete pro implementaci, pak je nezbytné mít souhlas majitele zařízení s možností 100% kontroly nad zařízením z pohledu kybenretické bezpečnosti a ochrany firemních dat.