Jak správně využít XDR v obraně proti ransomware
Ransomware již mnoho let představuje značné riziko pro organizace všech velikostí lokálně i ve světě. Přestože drzost a chamtivost útočníků stále nenachází strop, techniky, pomocí kterých své oběti napadají, se zdaleka nemění tak dynamicky.
Do značné míry za to může Raas (ransomware-as-a-service) model, který zásadně proměnil ekonomiku ransomware. Operátoři již několik let nešíří své škodlivé kódy sami. Namísto toho je nabízí spolu s podporou při vydírání obětí, zastřešením vyjednávání o výkupném, zajištění transakcí v kryptoměnách a také provozem dedikovaných webových stránek pro zveřejňování dat obětí. A kyberkriminální podsvětí dokazuje, že o tento model je obrovský zájem. Mnoho zločinců velmi rádo zaplatí za pronájem takové služby. Výměnou za podíl z výkupného získávají přístup k pokročilému ransomware, aniž by sami museli věnovat čas a znalosti vývoji vlastních škodlivých kódů. Výsledkem je chaos – jeden ransomware šíří klidně i stovky různých gangů, každý svou vlastní cestou.
Vedlejším produktem je ale i to, že zdaleka ne všichni „pronajímatelé“ disponují dostatečnými technickými znalostmi k provádění pokročilých útoků. To potvrzuje naše telemetrie i letitá zkušenost s vyšetřováním ransomware útoků v tuzemsku i v zahraničí. Útoky v drtivé většině případů zneužívají slabá hesla, nezabezpečené služby či zranitelnosti, mnohdy i několik let staré.
Moderní AV a přidružené EDR/XDR hrají v obraně proti ransomware zásadní roli, je ale třeba je využít správně, a právě na to se zaměříme v naší přednášce. Představíme, jak typický útok probíhá, jak obrana zafunguje v různých fázích a jak je třeba reagovat. Podělíme se o cenné rady pro správné využití XDR řešení a podíváme se i na to, jak správná konfigurace může zabránit nejhoršímu scénáři i v případě, že nepřítel je již za našimi branami.
Robert Šuman
Robert Šuman je detekčním inženýrem a zároveň vedoucím pražského výzkumného oddělení společnosti ESET. Reverzním inženýrstvím se zabývá již déle než 20 let, přestože po studiu na FJFI ČVUT začínal jako aplikační programátor a IT architekt v bankovní a Telco oblasti. Kromě toho, že se věnuje vlastní analýze a detekci pokročilých škodlivých kódů, přednáší o bezpečnostních tématech na odborných konferencích v ČR i zahraničí a věnuje se konzultační činnosti v oblasti Threat Intelligence.
Jakub Souček
Jakub Souček je výzkumníkem malware ve společnosti ESET s více než 10 lety zkušeností v oboru. V současnosti vede crimeware výzkumný tým zaměřený na ransomware v Pražské pobočce. Má zkušenosti s narušení velkých botnetů a spoluprácí s externími partnery i policejními složkami a má zkušenosti i s výzkumem APT hrozeb. Mimo to se věnuje hloubkové analýze malware a dlouhodobým sledováním vybraných rodin malware. Pravidelně přednáší na lokálních i mezinárodních (Virus Bulletin, Botconf) konferencích.