Cloudové úložiště jako ochrana před ransomware

14. srpna 2018

Ransomware se v dnešní době stal nejčastěji využívaným způsobem, jakým mohou útočníci vymámit peníze od napadených uživatelů. Malware přenášený různými způsoby napadne klientské počítače a servery a nenávratně zašifruje všechna důležitá data, zanechávajíc pouze výzvu k platbě výkupného. Avšak zároveň stoupá i popularita cloudových úložišť jako DropBox, OneDrive či Google Drive k synchronizaci a zálohování. Pomohou však tyto služby při útoku ransomware a ochrání vaše důležitá data? Bezpečností tým CSIRT-MU provedl důkladnou analýzu a nyní vám přinášíme výsledky, informace a doporučení.

Ransomware zašifruje všechna data

Ransomware je druh škodlivého malware, který po spuštění zašifruje všechna data na zařízení pomocí tajného klíče. Tento klíč je znám pouze útočníkovi. Uživatel proto ztratí přístup ke všem svým datům. Jakmile jsou všechna data zašifrována, zobrazí ransomware uživateli informaci, co se právě stalo, že data jsou nenávratně zašifrována a jediný způsob, jak je získat od útočníka zpět je zaplatit vysoké výkupné v některé z kryptoměn.

Kryptoměny umožňují zcela anonymní převody finančních prostředků, takže platby nejsou vystopovatelné zpět k útočníkovi.

Ovšem nikdo nemůže zaručit, že data budou po zaplacení výkupného skutečně rozšifrována - ostatně útočník již dostal zaplaceno, nemusí se tedy vůbec obtěžovat cokoliv dalšího dělat. Zpravidla tedy není vhodné spoléhat na čest kriminálníka, jež pomocí ransomware zašifroval všechna Vaše data, a žádné výkupné neplatit.

Poslední záchranou je zálohování

Před ničivými následky ransomware pomůže pravidelné a důkladné zálohování všech kritických dat. ÚVT MU nabízí svým uživatelům několik takových zálohovacích služeb a úložných prostor, ať už se jedná o krátkodobé či dlouhodobé zálohování a ukládání dat na disková pole či na pásky. Všichni zaměstnanci, studenti a ostatní uživatelé tak mohou bezplatně těchto služeb využít. Mimo klasických zálohovacích úložišť jsou nabízeny také v dnešní době populární synchronizační cloudová úložiště. Pro uživatele je jich k dispozici hned několik různých, jmenovitě OneDrive od společnosti Microsoft (jako součást Office 365), Google DriveOwnCloud od společnosti CESNET a OwnCloud od společnosti B2DROP. Navíc jsme otestovali také úložiště DropBox, které ÚVT MU přímo nenabízí ani nepodporuje. Jedná se totiž o nejpopulárnější úložiště tohoto typu, a tak se může stát, že jej někteří uživatelé také využívají. 

Na rozdíl od klasických zálohovacích řešení, cloudové úložiště neslouží k zálohování v pravém slova smyslu, nýbrž k synchronizaci dat mezi jednotlivými zařízeními. Tento přístup poskytuje určité výhody zálohování - například v případě selhání počítače či jeho odcizení jsou data stále bezpečně uložena na cloudovém úložišti a nedojde tedy ke ztrátě dat, jako by došlo v případě, že by uživatel svá data nezálohoval ani nesynchronizoval. Ovšem v případě útoku ransomware se jedná o rozdílnou situaci. Ransomware totiž nevypne počítač (jako by byl vypnutý v případě jeho odcizení či nefunkčnosti), pouze zašifruje všechna data. Protože počítač stále běží, synchronizační software zajistí synchronizaci destruktivních změn provedených ransomwarem a dojde k přepsání původních "zálohovaných" dokumentů uložených na cloudovém úložišti.

Původní data mohou být stále k dispozici

Kdyby ransomware pouze smazal soubory, nic by se nedělo. Všechna testovaná cloudová řešení poskytují tzv. "koš", kam jsou všechna smazaná data přesunuta. V podstatě tedy malware nemůže jednoduše smazat data, protože "smazání" vede pouze k přesunu z jejich obvyklé lokace do tohoto online koše v cloudovém úložišti, odkud mohou být snadno obnovena. Avšak bohužel ransomware soubory nemaže, ale zašifruje - funkce koše tedy typicky využita nebude. Naopak zašifrované soubory přepíší původní data. Naštěstí však všechna testovaná cloudová úložiště nabízí funkci s názvem "verzování", kdy u souborů je uchovávána historie předešlých verzí souborů. Ve chvíli, kdy tedy dojde k zašifrování souboru ransomware, tento nový soubor je poslán na cloudové úložiště, kde je uložen na místo původního nezašifrovaného souboru. Avšak původní data nejsou na cloudu ve skutečnosti přepsána či odstraněna, nýbrž pouze přesunuta jinam a jsou k dispozici jako "historická verze" daného souboru.

Detaily a konfigurace tohoto systému se velmi liší v závislosti na poskytovateli cloudového úložiště. Někteří poskytovatelé započítávají množství dat uloženého v historických verzích a v koši do kvóty uživatele, což přirozeně vede k vypnutí těchto funkcí v závislosti na zaplnění poskytovaného prostoru. Tedy všechny cloudové služby kromě Google Drive nějakým způsobem omezují či limitují zálohování starých či smazaných souborů v závislosti na množství ukládaných dat, což přirozeně vede k nefunkčnosti jediné funkce jež slouží jako ochrana před ransomware. Google Drive jako jediný nezapočítává staré verze do kvóty uložených dat na jejich cloudovém úložišti. Navíc všechna cloudová synchronizační řešení zavádí časový limit omezující maximální dobu, po kterou budou tyto verze uchovávat - typicky 30 dní. Pokud tedy uživatel na synchronizační úložiště ukládá velké množství souborů, používajíc většinu nabízeného prostoru, popř. pokud reakce na šifrování ransomware není dostatečně rychlá, pak tato cloudová řešení nedokážou ochránit před útokem ransomware.

Kromě samotných funkcí cloudového řešení jako je verzování či koš navíc CESNET nabízí možnost obnovení ztracených či zašifrovaných souborů z vlastních interních záloh jejich cloudového úložiště OwnCloud a to až 7 dnů zpět. V případě že tedy všechny oficiální funkce tohoto cloudového úložiště selžou a data nebude možno běžnou cestou obnovit, pak v případě rychlého jednání bude stále možné data získat zpět kontaktováním správců tohoto úložiště.

Poslední záchrana, nikoliv náhražka zálohování

Přestože všechna zmíněná synchronizační úložiště nabízí alespoň v nějaké míře funkce umožňující obnovu dat zašifrovaných ransomware, jsou tyto funkce často omezeny mnoha různými způsoby. Mezi nejčastější omezení patří například omezení množství dat uložených v cloudovém úložišti, či omezení časového období, v jakém jsou data k dispozici k obnovení v originální podobě. Cloudové synchronizační úložiště tedy může být poslední záchranou v případě napadení ransomware, avšak rozhodně nemůžeme doporučit využívat tato řešení pro ochranu před útokem ransomware. I když uživatel stihne reagovat včas a data budou na úložišti k dispozici v originální podobě, většinou data nelze nijak jednoduše stáhnout a musí se složitě obnovovat, jednotlivě soubor po souboru.

Jednoduše řečeno, synchronizační cloudová úložiště nejsou určena k nahrazení klasického zálohování, a proto nedoporučujeme je tímto způsobem používat. Pokud však dojde k napadení zařízení ransomwarem a napadená data nebyla zálohována, ale pouze synchronizována na takové cloudové úložiště, pak je určitá šance, že data půjde nějakým způsobem odtud získat zpět.

Jestliže máte strach o svá kritická data, Ústav výpočetní techniky nabízí také službu klasického zálohování, jež je jedinou vhodnou ochranou před útoky ransomware. K dispozici je od ÚVT MU zálohování systémem Bacula, popřípadě při potřebě zálohovat velké objemy dat po dlouhou dobu nabízí ÚVT MU archivační úložné prostory.

Sdílení článku

Více článků

Přehled všech článků

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.