Prišlo to náhle a nečakane. V polovici apríla Slovensko zasiahla vlna kybernetických útokov, ktorá ukázala, že niektoré veci neradno podceňovať. To, že situácia bola vážna naznačoval aj fakt, že pred útokmi varovalo Národné centrum kybernetickej bezpečnosti SK-CERT.
Nešlo pritom len o akési náhodné pokusy, útoky boli intenzívne a v niektorých prípadoch aj úspešné. Síce sme sa nedozvedeli, na ktoré firmy boli presne cielené, no Národný bezpečnostný úrad potvrdil, že útok prebehol vo viacerých slovenských organizáciách, kde došlo k zašifrovaniu kriticky dôležitých dát. V dôsledku toho bolo obmedzené ich fungovanie.
Cieľom boli oblasti informačných technológií vo verejnej správe (ITVS), telekomunikácií, energetiky a inteligentného priemyslu s potenciálnymi dôsledkami na fungovanie kritickej infraštruktúry štátu. Bližšie informácie nebolo možné z objektívnych dôvodov zverejniť.
Tradičný scenár
V tomto prípade išlo o klasický scenár. Do systémov sa škodlivý kód dostával prevažne cez Remote Desktop Protocol a rôzne formy phishing kampaní. Zašifroval dáta a za ich opätovné sprístupnenie útočníci požadovali výkupné v sumách rádovo státisícov eur. A tu sa v plnej miere ukazuje devastačný charakter útokov ransomvéru vo firemnom segmente.
Problematické môže byť už samotné zaplatenie výkupného, pretože neexistuje garancia, že útočníci dáta skutočne sprístupnia. Okrem toho je zasiahnutý normálny chod firmy, v niektorých prípadoch je poškodená jej povesť, no a v neposlednom rade je potrebné vynaložiť čas na vyriešenie celej situácie.
Ponaučíme sa?
Aj tu ale platí, že všetko zlé je na niečo dobré. Aktuálny prípad bude nejaký ten čas slúžiť ako výstraha tým, ktorí neustále podceňujú kybernetickú bezpečnosť.
V ideálnom svete by sa z toho ponaučili všetci, no ako už roky ukazuje prax, takto to jednoducho nefunguje. Na koniec budeme radi, ak si z toho ponaučenie odnesie aspoň malá časť firiem a jednotlivcov. A aspoň trochu sa opäť pripomenie, že zálohovanie dát je nutnosťou.
Zabúdať pritom netreba ani na inštaláciu bezpečnostných záplat, ktoré odstraňujú možné zraniteľnosti. Zmysel má aj občasné sledovanie výstrah o informácií o aktuálnych trendoch. ESET už napríklad dlhodobo upozorňuje na rapídny nárast útokov zameraných na Remote Desktop Protocol (RDP). Práve táto technológia poslúžila ako vstupný vektor aj pri aktuálnych útokoch.
Základné odporúčania Národného centra kybernetickej bezpečnosti:
- je potrebné, aby spoločnosti zálohovali dôležité informácie. Ide o najlepšie možné opatrenie na zaistenie bezpečnosti dát
- je nutné skontrolovať zálohovacie systémy a ich funkčnosť
- zálohované údaje musia byť fyzicky oddelené od zálohovanej infraštruktúry. Ransomvér disponuje schopnosťou šíriť a reprodukovať sa v internej sieti a aktívne vyhľadávať existujúce zálohy a znehodnocovať ich šifrovaním
- majte k dispozícii zálohy, preferovane v offline forme (cold stand-by)
- nikdy nezálohujte formou kopírovania dát na sieťový priečinok, ale využívajte zálohovací softvér, ktorý dáta z počítačov sám sťahuje
- na zálohovací softvér, virtualizačnú platformu a diskové úložiská nikdy neumožnite prihlásenie s doménovými účtami. Používajte na nich jedinečné heslá, ktoré nebudete mať uložené na pracovných staniciach
- nepublikujte služby ako RDP a/alebo VNC na verejných IP adresách. Pri potrebe vzdialeného prístupu použite šifrovaný VPN prístup, ktorý býva bežnou súčasťou sieťových firewallov. Je tiež možné zvoliť niektorý z voľne dostupných VPN nástrojov, ako sú OpenVPN, WireGuard a podobne
- odporúčame aj pravidelne kontrolovať funkčnosti záloh a možnosti obnovy kritických systémov
- ak sa incident objavil, treba identifikovať zasiahnuté zariadenia a systémy a izolovať ich od siete
- ak boli zasiahnuté viaceré systémy a podsiete, vypnite sieť na úrovni prepínača – switchu. V prípade ak nie je možné vykonať odpojenie siete na úrovni sieťových prvkov, odpojte jednotlivé zariadenia od siete (odpojenie sieťových káblov, vypnutie Wi-Fi a pod.)
- zasiahnuté zariadenia vypínajte len v prípade, že ich nie je možné úplne izolovať zo sieťovej infraštruktúry. Vypnutím zariadenia dochádza k nezvratnému zničeniu dát uložených v operačnej pamäti, ktorá môže obsahovať cenné údaje a dáta potrebné na bližšiu analýzy činnosti malvéru a dešifrovanie zasiahnutých súborov
- v prípade akýchkoľvek podozrení neváhajte kontaktovať Národný bezpečnostný úrad na adrese incident@nbu.gov.sk aj políciu
