• Jiří Palyza

Jak se bránit ransomware s pomocí Google Workspace

Útoky ransomwaru představují pro firmy i jednotlivce velkou hrozbu. Útoky se v poslední době objevují stále častěji. Co se však za tímto pojmem skrývá? A jak se proti tomuto typu útoku bránit s pomocí Google Workspace?

Ransomware je škodlivý software, který šifruje nebo výrazně omezuje dostupnost souborů či funkcí v infikovaných systémech. Obvykle je pak systém uzamčen heslem. Ransomware napadá nejen jednotlivá zařízení, ale při jejich zapojení do sítí se šíří i na další počítače. Takovým způsobem je úspěšný ransomwarový útok schopen v krátkém čase zablokovat činnost velké organizace.


Podle informací bezpečnostních expertů vzrostl průměrný týdenní počet ransomwarových útoků za posledních dvanáct měsíců o 93 %. Každý týden se obětí vyděračského útoku stane více než 1200 organizací po celém světě



Nárůst počtu ransomwarových útoků souvisí i s dostupností zdrojů. Řada hackerských skupin nabízí ransomware jako službu. Tento typ hrozby si vlastně může pronajmout kdokoliv. Platí to i pro infrastrukturu, následné vyjednávání s obětmi nebo vyděračské webové stránky, kde je možné po realizaci útoku zveřejňovat ukradené informace. Získané výkupné se potom dělí mezi zúčastněné strany.


Ransomwarové útoky se nevyhýbají ani vládním institucím. Jedním z nejnovějších rozsáhlých případů ransomwarového útoku je napadení nově zvolené vlády na Kostarice, které kyberzločinci hrozí svržením a požadují výkupné ve výši dvaceti milionů USD. Po zaplacení částky jsou ochotni zpřístupnit dešifrovací klíče k napadeným systémům, které se nacházejí v 27 vládních organizacích.


V loňském roce ransomwarový útok postihl IT konzultační společnost Accenture. Útoky kyberzločinců vedly k zašifrování sítí dvou leteckých společností, Bangkok Airways a Ethiopian. K oběma incidentům došlo poté, kdy došlo ke kompromitaci nasazených systémů Accenture, a to údajně s pomocí zasvěcené osoby.


Známým případem z českého prostředí je Nemocnice v Benešově. Vyřazení IT a s tím související škody byly vyčísleny na bezmála 60 milionů Kč. Nešlo o cílený, ale plošný útok, který napadl i další počítače některých institucí státní správy.


Podobný kybernetický incident se stal v těžební společnosti OKD. Z bezpečnostních důvodů byla zastavena těžba na čtyři dny a IT specialisté vytvořili pro zajištění bezpečnosti pracovníků a monitoring provozu oddělenou interní síť. Ransomware se do IT infrastruktury dostal prostřednictvím škodlivého kódu, který obsahovala makra obdržených dokumentů.


Jak probíhá napadení ransomwarem


Na začátku útoku je často phishingový e-mail. Ten může obsahovat aktivní odkaz na webovou stránku, odkud si zmanipulovaný uživatel stáhne škodlivý kód nejčastěji v podobě trojského koně. Jeho instalací na hostitelský počítač poté dochází k otevření přístupových cest a infiltraci dalšího škodlivého softwaru, kterým může být i ransomware.


V Google Workspace administrátorské konzoli je možné zapnout pokročilou ochranu proti podvrhnutým emailům.



Dalším zdrojem infekce mohou být zavirované přílohy e-mailových zpráv. Ty se zpravidla maskují jako tabulka Excelu, PDF soubor nebo jiný typ dokumentu. V těle e-mailové zprávy je uživatel přesvědčován o tom, že je nevyhnutné, aby přílohu otevřel. Tím dochází ke spuštění ransomwaru a napadení zařízení.


I proti tomuto vektoru útoků lze bránit nastavením v administrátorské konzoli Google Workspace.



Dále doporučujeme aktivovat Bezpečnostní izolovaný prostor (tzv. sandbox). Každý příchozí soubor se před doručením uživatlei otevře v izolovaném prostředí v cloudu a otestuje zda neobsahuje malware nebo právě ransomware.



Škody, které úspěšný ransomwarový útok napáchá, jsou rozsáhlé. Zpravidla dojde k zašifrování kompletního obsahu napadeného zařízení. Uživatel tak ztrácí přístup k uloženému obsahu a často zařízení ani nespustí. Pokud je napadené zařízení zapojeno do síťového prostředí, dochází k přenosu škodlivého kódu na další počítače. Takovým způsobem lze ransomwarovým útokem kompletně zablokovat činnost celé organizace.

Následným krokem může být kontaktování postiženého uživatele nebo firmy původcem útoku. Jeho součástí je výzva k zaplacení finanční částky, za kterou by oběť získala dešifrovací klíč ke svým datům.


Jak se bránit v případě útoku?


Bezpečnostní experti doporučují několik základních obranných kroků pro případy, kdy k ransomwarovému útoku dojde.


Pokud se stanete obětí ransomwarového útoku, v první řadě je důležité nepropadnout panice. Je-li incident ve vaší organizaci, neprodleně informujte bezpečnostní tým. Pořiďte si také fotografie případných zobrazených zpráv, které by se mohly později hodit. V případě hlášení policii jde o důležitou součást důkazů.


Při zapojení napadeného počítače do firemní sítě je nutná co nejrychlejší izolace. Okamžitě jej odpojte od zbytku sítě, aby se zabránilo dalším škodám. Zároveň zkuste identifikovat zdroj infekce. Ransomwarový útok obvykle začíná jinou hrozbou a hackeři se v systému mohli pohybovat dlouhodobě a postupně maskovat stopy. Odhalení zdrojového zařízení nemusí být jednoduchá záležitost a v některých případech je nutná externí pomoc.

Útočníci dobře ví, že se organizace budou snažit obnovit svá data ze záloh a vyhnout se tak placení výkupného. Proto jednou z fází útoků bývá i snaha vyhledat a zašifrovat, nebo smazat zálohy. K infikovaným zařízením také nikdy nepřipojujte externí disky.


Při obnově zašifrovaných dat může dojít k jejich poškození, například vinou chybného klíče. Proto je užitečné vytvořit si také kopie zašifrovaných dat. Postupně vznikají dešifrovací nástroje, které mohou později pomoci rozluštit i dříve neznámý kód. Pokud jste si vytvořili zálohy, které se podařilo před zašifrováním uchránit, zkontrolujte před úplnou obnovou integritu dat.


Pokud používáte Google Workspace, máte téměř jistou šanci na obnovu dat. A to hned z několika důvodů:


1) Nejlépe chráněné jsou nativní kancelářské aplikace Google, protože ransomware na ně v online prostředí "nedosáhne". A pokud data z těchto aplikací synchronizují do lokálního počítače, tak i na něm jsou v bezpečí. Uložená data se totiž ukládají pouze jako odkazy na online soubory. Fyzicky soubor je uložen stále pouze v cloudu a tak ho nelze zašifrovat.


2) U běžných binárních souborů jako jsou např. obrázky, PDF nebo klasické kancelářské aplikace se data z cloudu synchronizují pomocí nástroje Disk pro počítače (v originále Google Drive for Desktop) . Některé nástroje typu ransomware zašifrují soubory a nahradí jimi původní soubory. Synchronizační nástroj Google Disku pak sice tyto zašifrované verze synchronizuje, ale vždy jako novou verzi. A tyto nové verze lze smazat a vrátit se tak k původnímu obsahu.


Pro demonstraci si ukážeme na jednoduchém příkladu. Nebudeme cíleně počítač infikovat ransomware, ale jen soubor upravíme tak aby se nedal otevřít. Na počítač máme lokální složku "Důležitá data", která je synchronizovaná s cloudovým úložištěm Disk Google.



Pro demonstraci provedeme "zničení" souborů v HEX editoru a pomocí něho zeditujeme soubory na úrovni bajtů.



Editovaný soubor je po uložený zničený a nedá se otevřít. Synchronizační nástroj nahraje i tuto verzi do cloudu. Nyní jsou soubory jako po útoku ransomware.



V online prostředí Disku Google můžeme u jednotlivých souborů kliknout na Spravovat verze.



V této sekci je možné smazat poslední (tj. špatnou či zašifrovanou verzi) a získat tak poslední bezpečnou verzi. Můžete dál pokračovat v práci na jiném zařízení a po vyčištění počítače od ransomware lze data sesynchronizovat zpátky.



Kromě ruční obnovy je možné udělat i programaticky přes API. V Google Drive API je možné získat všechny verze souboru přes Revisions.List a tuto verzi i smazat Revision.Delete.


Navíc lze Google Workspace využít jako systém včasného varování před ransomware útokem. Administrátorské konzoli jsou metadata aktivity všech akcí. Pokud by u uživatele během krátkého časového úseku bylo provedeno velké množství úprav (tj. zašifrování), tak by se na tuto anomálii dalo navázat další akcí (např. notifikaci administrátora a spuštění sanitačních akcí.)



Toto nastavení a obnova funguje pokud jsou data synchronizovaná a zálohovaná již před útokem.


Dále pozor na restarty a údržbu systému, to může situaci ještě víc zkomplikovat. Je vhodné deaktivovat automatické aktualizace a jiné úlohy, související s údržbou infikovaných systémů. Pokud by došlo ke smazání dočasných souborů nebo jiným změnám, mohlo by to zbytečně znesnadnit nápravu škod. Zároveň systémy raději nerestartujte. Některé hrozby mohou při novém zavádění systému začít mazat soubory.


Poskytněte informace svým kolegům. Pokud se bezpečnostní incident stane ve firemním prostředí, je dobré informovat zaměstnance a sdělit související detaily i pokyny, jak lze podobným případům do budoucna předcházet. Neváhejte se obrátit na specializovaný tým reakce na incidenty (Incident Response Team) některé renomované kyberbezpečnostní společnosti, o celé věci informovat a sdílet poznatky. Může to pomoci ostatním, pokud by se dostali do podobné situace, a týmům CSIRT či CERT udržovat přehled o aktuálním dění v oblasti kybernetické bezpečnosti.


Jak se zachovat v případě požadování výkupného za dešifrovací klíč


S rozhodnutím nespěchejte a pečlivě zvažte všechny možnosti. Platba výkupného by měla být až opravdu tou úplně krajní možností. Není totiž zcela jednoznačné, že zaplacením se skutečně podaří zašifrovaná data obnovit a vy k nim opět získáte plný přístup. Požadované částky mohou být poměrně vysoké. Následky výpadků kritických systémů je sice mohou hravě překonat, i přesto je dobré si připomenout známé případy, kdy útočníci měli chyby v kódech. Data tak nebylo možné obnovit ani po poskytnutí dešifrovacího softwaru.


Dodržováním několika pravidel jde útokům předcházet: důležité je povědomí o existenci problému


Ransomwarové útoky jsou každodenní hrozbou a je dobré se na ně připravit. Podniky, ale i jednotlivci, si mohou sestavit rámec pravidel, který jim poskytne spolehlivou strategii ochrany proti případnému napadení. Jejich dodržováním lze hrozící škody minimalizovat.

Promyslete si, jaká prostředí mohou být útokem zasažena, do jaké míry to ochromí vaší organizaci a poškodí obchodní cíle.


Nejlepší cestou je proaktivní ochrana a využití Chromebooku s Chrome OS, které jsou vůči útoku ransomware imunní Dle statistiky Google nebyl zatím žádný Chromebook zasažen ransomware útokem.


Významnou roli v oblasti ICT bezpečnosti hraje uživatel, který svým chováním a celkovým přístupem významně ovlivní odolnost firemního prostředí před kybernetickými útoky. Samotná technologie organizaci neochrání. Také uživatelé, zapojení do firemních sítí, by si měli být vědomi bezpečnostních rizik a znát pravidla rychlé reakce a hlášení bezpečnostních incidentů. Dobrou cestou, jak u uživatelů budovat dobré povědomí o pravidlech bezpečného užívání firemního IT prostředí, mohou být pravidelná školení a cvičení modelových příkladů.


V rámci Google Workspace doporučujeme uživatelům povolit registraci do Programu pokročilé ochrany



Po registraci uživatelem je aktivní hlubší analýza příchozích emailů v Gmailu, kontrola stahovaných souborů i režim Bezpečného prohlížení Google (Google Safe Browsing), který hlídá uživatele při procházení webu.



V souvislosti s náplní činnosti organizace je vhodné definovat základní procesy pro udržení jejího fungování. Patří k nim i seznam kontaktů a krizový scénář, definující postup v případě výpadku ICT infrastruktury. Tento plán by měl být uložen na odděleném místě, aby byl neměnný a vždy dostupný.


Každá organizace má také klíčový soubor dokumentů, o který opírá své podnikatelské činnosti. Ať už jde o výrobní či technické know-how, zdrojové kódy, data klientů, databáze či smlouvy, je dobré je identifikovat a definovat strategii jejich ochrany. K tomu patří i pravidelné off-line či vícenásobné zálohování, řízení uživatelského přístupu, případně šifrování.


Ochranná opatření: i v případě digitální bezpečnosti platí, že vždy je lepší problémům předcházet, než je následně řešit


Školení zaměstnanců v oblasti kybernetické bezpečnosti je velmi efektivním způsobem, jak zvýšit celkovou úroveň ochrany organizace. Vzdělávání musí probíhat nepřetržitě a zaměstnanci by měli získávat o hrozbách nejnovější informace, a to bez ohledu na pracovní zařazení. K tomu patří i ochrana vlastního zařízení a přístupových oprávnění. S tím souvisí používání jedinečných hesel, která jsou pravidelně aktualizována, aktivace vícefaktorového ověřování, odhlašování nepoužívaných zařízení a odstraňování instalací nepoužívaných aplikací.


Blog