Vjačeslav Zakorzhevsky: „Tvůrcům ransomwaru jde většinou o peníze. Někdy ale chtějí jen ničit.“
Exkluzivní rozhovor magazínu oTechnice.cz poskytl Vjačeslav Zakorzhevsky, který od roku 2014 vede anti-malwarové oddělení ve společnosti Kaspersky Lab a dříve zde pracoval na pozici virového analytika. Tématem byly především nedávné útoky ransomwaru BadRabbit, ale i to, jak se chránit proti malwaru.
Jak přesně společnost Kaspersky Lab zjistila, že existuje spojení mezi škodlivými kódy BadRabbit a ExPetr?
Za prvé naše analýza ukázala, že existuje značná podobnost v binárních kódech obou programů a podobný byl i šifrovací algoritmus. Za druhé: objevili jsme, že v obou útocích byly použity stejné IP adresy internetových domén.
Kdo si myslíte, že stál za útokem ransomwaru BadRabbit?
Ve světě kyberbezpečnosti je vždy obtížné připsat útok někomu konkrétnímu. V tomto případě nemůže společnost Kaspersky Lab s určitostí připsat tyto útoky konkrétním lidem či národním státům, protože náš hlavní zájem spočívá ve zkoumání a technické analýze kyberútoků. Koncem června jsme našli spojení mezi kódy ExPetr a BlackEnergy, takže je možné, že Bad Rabbit je dílem skupiny BlackEnergy APT.
Mohl být BadRabbit součástí širší kyberzločinecké aktivity v Evropě?
Zatím jsme neobjevili žádnou souvislost s masovými útoky proti běžným uživatelům. Naše analýzy naznačují, že BadRabbit byl cíleným útokem proti podnikovým počítačovým sítím.
Jaká je podle vašeho názoru úroveň kyberbezpečnosti v zemích jako Rusko, Ukrajina apod.?
Nevidím žádný významný rozdíl mezi těmito zeměmi, pokud jde o zabezpečení proti kyberhrozbám. Obecně se úroveň ochrany v oblasti kyberbezpečnosti liší od firmy k firmě.
Ransomware BadRabbit zasáhl téměř 200 cílů a velké množství z toho byly mediální instituce. Kyberzločinci stojící za útokem zde podle dostupných zpráv vytvářeli na zařízeních infikovanou síť. Co tím podle vás sledovali?
Hlavním cílem trojského koně vypuštěného BadRabbitem bylo infiltrovat se do příslušných podnikových sítí, nakazit co nejrychleji všechny jejich počítače a zašifrovat důležitá data i celý disk. To umožňuje malwaru způsobit větší škodu a důsledkem toho vymáhat větší částky.
Jaká je vlastně hlavní motivace tvůrců ransomwaru? Jde vždy o peníze?
Ve většině případů jsou peníze skutečně hlavním motivem tvůrců ransomwaru. Nicméně v případě ransomwaru ExPetr jsme zjistili, že to ve skutečnosti není ransomware, ale že se chová spíše jako „wiper“, jehož úkolem je poškodit data a sabotovat operační systém. Jeho cílem bylo podle všeho jen ničit data. Jak jsme zjistili, útočníkovi se nepodařilo informace dešifrovat, a i když by po obětech vyžadoval výkupné, ani zaplacení by jim neumožnilo jejich data obnovit. V případě ransomwaru BadRabbit nemůžeme přesně říci, jaká byla hlavní motivace těchto útoků. Analýza jeho algoritmů naznačuje, že útočníci měli technické prostředky k dešifrování informací nezbytných k obnově disku. Stále ale nevíme o žádných případech rozšifrování dat poté, co bylo výkupné zaplaceno.
Měl BadRabbit nějaké podobné rysy připomínající neblaze proslulý ransomware WannaCry?
Je tu jen jedna podobnost, kterou oba ransomwary sdílejí – šifrování souborů. Vše ostatní je jiné. Oba například používají odlišné exploity, BadRabbit používá EternalRomance a WannaCry EternalBlue. Na rozdíl od BadRabbitu se WannaCry navíc nepokoušel získat data ze systémové paměti, aby se rozšířil po podnikové síti.
Očekáváte v blízké budoucnosti možný vzestup počtu těchto kyberútoků, nebo obecněji řečeno, útoků malwarem?
Poté, co skupina hackerů The Shadow Broker zveřejnila data přesně popisující zranitelnosti v zabezpečení Windows, jsme předpovídali nárůst útoků s použitím těchto exploitů. A to se přesně stalo. Nicméně v tuto chvíli nevidíme důvod pro nějaký překotný nárůst počtu takových útoků.
Jak se může běžný počítačový uživatel bránit proti malwarovým hrozbám?
Doporučuji především následující opatření. V první řadě vypnout makra v aplikacích Microsoft Office a pravidelně aktualizovat veškerý software a operační systém. Dále neotevírat jakékoli podezřelé e-mailové přílohy od neznámých uživatelů ani neklikat na pochybné bannery. V neposlední řadě doporučuji nainstalovat spolehlivé bezpečnostní programy s co nejširší škálou ochranných technologií.
Jak je vlastně vaše společnost úspěšná, pokud jde o včasné odhalování moderních kyberhrozeb?
Produkty od společnosti Kaspersky Lab mají víceúrovňový bezpečnostní model, který nám umožňuje efektivně detekovat hrozby a blokovat je. Naše technologie se v detekci opírá o behaviorální přístup i metodu strojového učení, ale není omezena pouze na ně. Naše společnost se pravidelně účastní mnoha nezávislých testů a hodnocení. Kaspersky Lab překonala svou konkurenci ve třech nejvýznamnějších kritériích internetové bezpečnosti a dosáhla loni počtvrté za sebou nejvyššího umístění v nezávislých testech.
O Kaspersky labSpolečnost Kaspersky založil v roce 1997 Jevgenij Valentinovič Kasperskij, který je dodnes jejím generálním ředitelem. Za dvacet let vývoje se stala jednou z největších světových soukromých společností zabývajících se počítačovou bezpečností. Své produkty nabízí po celém světě ve více než 200 zemích. Jeho ochranný software chrání více než 400 milionů uživatelů a 270 000 firem. |
