V předchozí části této práce jsme se zabývali spíše obecnou problematikou ransomwaru, jeho schopnostmi a způsobem fungování. Na základě těchto poznatků nyní můžeme podrobněji prozkoumat zatím jediný případ pravděpodobného nasazení tohoto druhu malwaru v ukrajinském kybernetickém konfliktu. Jak celá událost probíhala a jaká ponaučení z ní plynou?

Ukrajina jako „cíl“ ransomwarových útoků?

Přestože ransomwarové kampaně jsou ve své podstatě spíše necílené a pokouší se svou orientací na zisk útočníka obsáhnout pokud možno co největší oblast a vydělat tak co největší množství peněz, několik vln šíření ransomwaru v letech 2016 a 2017 bylo poněkud specifičtějších a pro případ Ukrajiny zvláště zajímavých. V následujících odstavcích budou analyzovány podle hlavního figurujícího malware[1].

Petya

Zmiňovaný encrypting ransomware se do širšího povědomí dostal na jaře roku 2016. Pozornost vzbudil zejména svým nestandardním přístupem k šifrování celého systému skrze zakódování MFT a změně MBT (zašifrováním tzv. master file table (MFT) vyřadí Petya z funkce master boot record – MBT čili záznam určující zařízení „jak“ se má při příštím bootování spouštět). To z něj v době šíření učinilo ransomware s novou úrovní sofistikovanosti, přestože v jeho designu existuje několik chyb, které umožňují záchranu systému. Hlavním nedostatkem malwaru byl fakt, že ke změnám MFT a MBT potřeboval při spuštění získat v systému administrátorská práva. Tento problém částečně vyřešil v pozdější verzi tím, že pokud by se práva malwaru nepodařilo získat, nainstaluje do počítače ransomware Mischa[2], který začne šifrovat přímo soubory „standardním“ způsobem jako běžný ransomware. Jeho distribuce probíhala primárně skrze phishingové emaily a motiv šíření byl čistě ekonomický, což potvrdil i jeho programátor Janus[3].

Jako taková neměla tato verze Petyi co dočinění s cílenými útoky na Ukrajinu v kyberprostoru. Je ale ještě třeba zmínit, že ještě na jaře 2016, tedy v době, kdy se Petya dostal do mediálního popředí, jej Janus prodal jako tzv. ransomware-as-a-service dalším hackerům. Z šíření jejich verzí měl mít profit v podobě procent ze zaplaceného výkupného. Je tedy pravděpodobné, že právě některý z těchto prostředníků mohl buď přímo modifikovat nebo poskytnout k modifikaci zdrojový kód, který se v roce 2017 objevil v podstatně nebezpečnější podobě a získal přezdívku NotPetya. Tato finální forma však bude představena až po dalším předchůdci relevantním pro chronologický vývoj událostí.

WannaCry

WannaCry, podobně jako původní Petya nesouvisejí přímo s cílenými ransomwarovými útoky na ukrajinské území a byl šířen plošně. Zároveň, stejně jako původní Petya má v rámci ransomware pozici určitého novátora, neboť nebyl šířen jen tradičními phishingovými emaily či podobnými metodami sázející především na sociální inženýrství, nýbrž využil možnosti masivního šíření po lokálních sítích pomocí exploitu EternalBlue dovolujícího instalovat do systému Windows backdoor DoublePulsar. Oba programy byly zveřejněny společně s dalšími hackerskými nástroji americké tajné služby National Security Agency v roce 2017 hackerskou skupinou The Shadow Brokers.

EternalBlue je exploit protokolu systému Windows server message block (SMB), který společnost Microsoft opravila v záplatě již dva měsíce před vlnou WannaCry. Tu si ovšem do té doby velké množství uživatelů (včetně firem a státních organizací) nestáhlo, případně jejich zařízení běžela na již nepodporovaných verzích operačních systémů (Windows XP, Server 2003), pro něž záplata nebyla vydána. EternalBlue umožní do napadeného systému nepozorovaně nainstalovat antivirem jinak snadno detekovatelný backdoor DoublePulsar, který disponuje vysokými oprávněními pro operace (běží v tzv. kernel módu).  Společně mohou tyto dva nástroje šířit sebe sama velmi rychle do nechráněných počítačů jak na lokální síti, tak dále po internetu. Jakmile je jejich prostřednictvím WannaCry nainstalován do zařízení, zkontroluje, zda není přítomný „kill switch,“ který by jej deaktivoval (konkrétní internetová doména útočníka). Pokud jej neobjeví, zašifruje soubory standardním způsobem a zobrazí vyděračskou zprávu a pokusí se rozšířit pomocí již zmíněného SMB exploitu.

Volání WannaCry po kill switch bylo objeveno relativně záhy poté, co propukla nákaza. Objevení této slabiny umožnilo šíření ransomwaru výrazně zpomalit a využít získaného času k ochránění ještě nenakažených zranitelných zařízení. Posléze se však ukázalo, že kromě standardního WannaCry se šíří rovněž modifikované verze s jiným kill switch (jinou doménou) či dokonce zcela bez kill switch. Nákazu se sice záplatováním zůstávajících ohrožených zařízení podařilo marginalizovat během pouhých čtyř dní, přesto se WannaCry podařilo za svou krátkou existenci podařilo infikovat impozantní počet zařízení. Některé zprávy hovoří až o čísle 300 000 v celkem 150 zemích.

V prosinci roku 2017 americká a britská vláda formálně obvinily Severní Koreu jakožto hlavního strůjce WannaCry. Několik kyberbezpečnostních skupin jako Symantec či Kaspersky Labs v reakci na to konstatovalo, že ve skutečnosti může rovněž jít o tzv. false flag operací, která měla za cíl úmyslně svést atribuci útoku na Severní Koreu. Zároveň však uvádějí, že útok odpovídá praktikám hackerské skupiny Lazarus Group, která je zejména od kyberútoků na společnost Sony úzce asociována se Severní Koreou a předpokládá se zde obecně sponzorský vztah. False flag je tak dle vyjádření expertů z Kaspersky labs možný, ale nepravděpodobný.

NotPetya

Nyní se dostáváme k nejpravděpodobněji cílenému ransomwarovému útoku. Předchozí dva druhy malwaru bylo třeba alespoň krátce analyzovat, aby byla podrobně dotvořena geneze prozatím nejsofistikovanějšího ransomwaru, vycházejícího z architektury Petya. Jak již bylo zmíněno v předchozí části práce, NotPetya používá stejný šifrovací koncept jako Petya, tedy zašifrování MFT a nahrazení MBT vlastním MBT, které slouží k zobrazení vyděračské zprávy žádající částku odpovídající zhruba 300 amerických dolarů v bitcoinech. Na rozdíl od původního malwaru Petya však neukládá kopii původního MBT, ale smaže jej, což má za následek trvalou ztrátu dat. Ač se tak tváří z pohledu oběti jako běžný ransomware, u nějž se vždy alespoň z části předpokládá, že by útočník mohl uvažovat o poskytnutí klíče k odemknutí souborů po obdržení platby, tvůrce NotPetya od počátku neměl v plánu zašifrované soubory (či v tomto případě systémy) obnovovat. Podobně jako WannaCry také NotPetya využívá pro svou distribuci exploit SMB EternalBlue a přidává exploit EternalRomance a legitimní komponenty Windows WMI a PsExec k překonání záplat proti EternalBlue. Lze tedy s nadsázkou říct, že NotPetya si z obou předcházejících malwarů vzal to nejlepší – ničivost od Petya, rychlost šíření od WannaCry.

Vlna útoků byla spuštěna 27. června 2017, tedy necelý měsíc po WannaCry. Původně panovalo všeobecné mínění, že jde o další vlnu pouze mírně modifikované varianty Petya. Ještě dříve, než následujícího dne ukrajinská vláda prohlásila, že útok byl mitigován, se však objevily zprávy popisující kritický rozdíl nového ransomwaru oproti původnímu malwaru Petya.

Útok byl s největší pravděpodobností zahájen z počítačů firmy MeDoc, která spravuje na Ukrajině oblíbený a hojně užívaný účetnický software stejného jména. Zákazníky MeDocu tvoří asi 400 000 firem, což představuje zhruba 90 % veškerých firem na Ukrajině. V době útoku měl být software nainstalovaný na přibližně jednom milionu počítačů v zemi, což bylo pro ransomware výborné startovací východisko. Pracovníci z Cisco Talos později konstatovali, že ransomware byl do špatně zabezpečených počítačů firmy MeDoc propašován pod rouškou aktualizace softwaru (tedy metodou compromising the supply chain – napadení dodavatelské řetězce). Tomu by odpovídalo i tvrzení, že krátce po propuknutí útoku někdo (nejspíše pracovník MeDocu) na webové stránky společnosti vyvěsil varování o kompromitování jejich softwaru, které však bylo záhy staženo a namísto něj se objevila zpráva dementující jakékoli tvrzení, že by byl software MeDocu napaden[4]. I po skončení útoku společnost odmítala jakoukoli vinu za úmyslné šíření viru, a přestože oficiálně prohlásila, že bude v šetření stoprocentně součinná s orgány státní moci, vůči vedení firmy bylo posléze zahájeno trestní stíhání kvůli zanedbání zabezpečení jejich systému.

Že se nejednalo o běžný ransomwarový útok, je patrné z několika klíčových faktorů. Zaprvé, již zmiňovaná povaha malwaru; Tím, že se z NotPetya „vyklubal“ data wiper, je nasnadě, že jeho výnosy na výkupném budou nízké, jakmile oběti zjistí, že svá data zpět nikdy nedostanou. Tomu zadruhé odpovídala i laxnost ošetření výběru výkupného. Dle instrukcí viru totiž měly oběti zasílat potvrzení o platbě výkupného na emailovou adresu zaregistrovanou u německého klienta Posteo. Ta byla však ještě v den zahájení útoku zablokována. Útočníci tak ztratili jakoukoli možnost komunikovat s oběťmi, včetně přijímání potvrzení o platbě a odesílání šifrovacích klíčů (což stejně nedělali). Jakmile se tato informace rozšířila, opět šlo o faktor výrazně snižující rentabilitu malwaru NotPetya jako vyděračského nástroje. Primitivnost zabezpečení komunikační složky ze strany útočníka ostře kontrastuje s propracovaností malwaru samotného. Zatřetí, kromě toho, že malware byl propašován primárně do ukrajinské společnosti (což pouze samo o sobě je jako argument spíše diskutabilní), útok začal v předvečer ukrajinského státního svátku, dne ústavnosti. Opět se jedná o pouhou implikaci, nicméně i když pomineme jistý symbolický dopad, je třeba se podívat i na praktickou stránku načasování, které zaručovalo, že infikovaným počítačům bude věnována minimální možná pozornost. Velké množství pracovníků státních i nestátních organizací bylo doma a virus zatím mohl nerušeně pracovat a šířit se. K možnosti, že ransomwarová složka útoku sloužila k zastření cíleného ničivého útoku, který měl vyvolat co největší škody a chaos, se přiklonily i expertní týmy Microsoftu, Cisco Talos, Symantecu a ESETu.[5]

Dle dostupných zpráv byla Ukrajina útokem zasažena z 80 % (Německo jako druhé z 9 %, zbývajících 11 % bylo rozprostřeno do dalších 63 států). Přestože nedosáhl tak plošného nakažení, jako se to podařilo WannaCry, ničivý efekt na ukrajinskou infrastrukturu byl značný. Mezi zasažené prvky patří ukrajinské Ministerstvo infrastruktury, centrální banka a několik dalších bank (např. Oschadbank) včetně bankomatů, poštovní úřad, letiště Borispol, poskytovatelé elektrické energie Kievenergo a Ukrenergo, ruská petrospolečnost Rosneft, letecká továrna Antonov, telekomunikační společnosti, radiační monitorovací stanice jaderné elektrárny Černobyl a též množství mezinárodních společností prostřednictvím jejich ukrajinských filiálek (Maersk, FedEx, TNT, Mondelez, Saint-Gobain a další).

Názor, že šlo o cílenou operaci rovněž zastává ukrajinská vláda a za útočníka označuje Ruskou federaci, která jakoukoli účast na útoku popírá. Jedním z hlavních (ovšem nepřímých) důkazů, které se ukrajinské tajné službě (SBU) na základě razie a zisku zařízení od údajných ruských agentů a ve spolupráci s kybernezpečnostními společnostmi podařilo získat, je spojitost modu operandi s útočníky, kteří v roce 2016 použili malwarové sety TeleBots a BlackEnergy na sérii útoků vůči ukrajinské elektrické síti. Ty vyústily v rozsáhlé blackouty v hlavním městě, v Kyjevě. S používáním těchto toolkitů je již od roku 2008 asociována hackerská skupina Sandworm (též známá jako Quedagh) napojená na ruské tajné služby, známá např. kyberoperacemi během rusko-gruzínské války v roce 2008. Dle informací vydaných společností ESET je pravděpodobné, že TeleBots se vyvinula v samostatně fungující organizaci, mající své kořeny v BlackEnergy a vazby na Sandworm. Je také možné, že útok malwaru NotPetya byl plánován jako cílený pouze na ukrajinské společnosti, útočníci však podcenili rychlost, s jakou se virus dokáže šířit, a ten se vymknul kontrole.

Bad Rabbit

Pouze krátce zmíněn by měl být též poslední ransomware se zásadnější prezencí, a sice Bad Rabbit, podle dosavadních analýz opět vycházející z rodiny Petya. Šifrovací schéma odpovídá technice NotPetya, včetně šíření skrze exploit SMB EternalRomance, což bylo nejprve vyvraceno. Na rozdíl od svého masověji šířeného sourozence se však spíše jedná o konvenční ransomware s odlišností v podobě instalace spywaru Mimikatz, který o systému a jeho uživateli sbírá veškerá dostupná data. Jeho šíření bylo rovněž zpomaleno pečlivějším záplatováním systémů vůči EternalBlue a EternalRomance ve světle předchozích útoků NotPetya. Vedle zmíněného exploitu využíval Bad Rabbit k šíření konvenční maskování za neškodný update (v tomto případě update Adobe Flash) a podobně jako NotPetya byl pravděpodobně již dříve propašován do korporátních sítí, tentokráte pomocí tzv. water holingu[6]. Vlna Bad Rabbitu s infikovanými zařízeními v řádu stovek zasáhla primárně Rusko (80 %), okrajově (12 %) též Ukrajinu a další země, pravděpodobně vzhledem k povaze softwaru však útok nebyl žádným aktérem označen za cílený.

Lessons learned: jak na další „ransomwarový“ útok?

Jak ukazuje případ ransomwaru NotPetya, ač je prapůvodním smyslem tohoto druhu malwaru finanční obohacení útočníka na oběti, dokáže napáchat značné škody, z nichž může profitovat větší množství subjektů. Cílený ransomwarový útok může tak být s odpovídajícími nástroji využitelný v rámci hybridního konfliktu jako alespoň dočasná zástěrka pro sofistikovanější operaci, jako např. likvidace, krádež či alespoň znepřístupnění protivníkových dat. Je zřejmé, že pro vedení hybridních operací jsou tedy nejrelevantnějšími druhy malwaru z těchto vybraných nesymetrické encrypting ransomwary a „ransomwary“ data wipery, které nejspolehlivěji odpovídají zajištění konceptu denial of information. Přidanou hodnotu by mohl mít malware kombinující schopnosti doxware s encrypting ransomwarem (podobně jako Bad Rabbit) nebo data wiperem, neboť by došlo nejen k odepření informací oběti, ale zároveň k jejich transferu k útočníkovi[7], což dále zvyšuje jeho strategickou výhodu.

Hlavní slabinou ransomwaru je šíření. Jak ukazují popsané případy, kyberbezpečnostní gramotnost a bezpečnostní kondice zařízení je nejen mezi běžnými uživateli, ale i v rámci státních a nestátních organizací, včetně bodů kritické informační infrastruktury, občas až podivuhodně nízká[8], metody, při kterých uživatel podlehne (phishingové a spear phishingové spamové kampaně, clicjacking a podobně) jsou stále příliš pomalé a co do cílenosti nespolehlivé. Využití exploitů k rychlému síťovému šíření tyto problémy do značné míry odstraňuje, útočníkovi se však musí operace podařit tak říkajíc na první pokus, neboť jakmile bude zjištěna utilizace exploitu k šíření škodlivého kódu (neboť jak opět dokazuje zkušenost, velké procento uživatelů je do té doby vůči takovým hrozbám přezíravé, a to i když mají k dispozici účinné opravné záplaty), bude mu věnována maximální pozornost a po jisté době se tato možnost pro další útoky uzavře, nebo zkomplikuje natolik, že přestane být efektivní (viz šíření NotPetyi versus šíření Bad Rabbitu). Stále je však nutné pomalými metodami dostat virus do „pacienta nula,“ tedy libovolného počítače na síti, v níž chceme virus rozšířit. Z tohoto úhlu pohledu představují velkou výzvu např. další leaky hackerských nástrojů NSA skupiny The Shadow Brokers.

Stejný problém se týká zdrojového kódu malwaru. Konstantní souboj s antivirovými systémy a expertními kyberbezpečnostními týmy i jednotlivci vyžaduje neustálý vývoj rafinovanějších prostředků. Vzhledem k tomu, že se soustředíme na možnost využití v ransomware v hybridním konfliktu, kde jsou útočníci různými způsoby státně podporováni, není zde problém v zázemí a hardwaru, jako spíše dovedném skrytí skutečného záměru aktivit. Kombinací již použitých, dříve jinak určených metod a jejich zdokonalení může být jedním dobrých způsobů, jak tohoto cíle dosáhnout, tak jako tomu bylo u vzorce NotPetya=Petya+WannaCry+likvidace MBR.

Dřívější kybernetické útoky na ukrajinskou rozvodnou síť předznamenaly důležitý trend, který útoky NotPetya potvrdil. Kybernetické operace skýtají velký potenciál nejen v oblasti citlivých dat, a tedy poškození abstraktního, ale také fyzického poškození kritické infrastruktury, schopného napáchat značné škody. Energetické rozvodny, výrobní linky a jejich řídící SCADA systémy, monitorovací stanice, to vše jsou vedle datových a finančních institucí velmi lákavé terče, k nimž se sabotér nemusí vůbec přiblížit, a přitom je schopen napáchat na nich a s nimi nepředstavitelné, selže-li jejich kybernetická ochrana. Toto jsou cíle příštích kybernetických konfliktů a ransomware je jeden z mnoha „legitimních“ nástrojů jejich vedení.

Co se týče běžné finanční kyberkriminality, i zde si ransomware svou popularitu jistě ještě delší dobu podrží. A to minimálně do té doby, než se výrazně zvýší kybernetická gramotnost cílových uživatelů.

Shrnutí

Práce s pomocí typologií ransomwaru a případových studií významných útoků s ním a ukrajinským teritoriem spojených mapovala současný vývoj tohoto fenoménu, který shrnula v obecných implikacích pro jeho možné použití v rámci širšího hybridního konfliktu. Jako klíčové pozitivní faktory byly identifikovány možnost použití jako zástěrky, schopnost vyvolání kolaterálních škod a chaosu a možnost pro aplikaci dalších druhů malwaru. Problematickými body použití jsou omezená rychlost šíření a zaměřitelnost a podléhání rapidnímu vývoji protiopatření. Klíčovým trendem použití ransomwaru v příštích kybernetických konfliktech je prolnutí schopnosti exfiltrace dat a zamezení přístupu k nim se schopnostmi fyzického poškozování státní infrastruktury narušením správné správné funkce softwaru jejich řídících systémů.

[1] Pro up-to-date globální výčet ransomwaru viz například https://avien.net/blog/ransomware-resources/ransomware-families-and-types/

[2] Názvy obou malwarů i přezdívka jejich původního tvůrce pravděpodobně odkazují na Akční film Zlaté oko ze série snímků o agentovi britské špionážní služby MI6 Jamesovi Bondovi. Petya a Mischa byly orbitální družice nesoucí jaderné zbraně, které měly explozí v horních vrstvách atmosféry způsobit elektromagnetický impuls, umožňující velkou elektronickou loupež, a Janus pak název teroristické skupiny vedené hlavním záporným protagonistou, dvojitým agentem Alexem Trevelyanem. Hacker také na twitteru používá jako svůj profilový obrázek fotografii herce ztvárňujícího roli Borise Grishenka, IT specialisty pracujícího pro Janus.

[3] Viz Janusův tweet https://twitter.com/JanusSecretary/status/763127971477590017

[4] Společnost MeDoc měla s kybernetický zabezpečením problémy již před propuknutím epidemie NotPetya. Od dubna 2017 byly v systému objeveny backdoory, které umožňovaly odesílání citlivých informací o uživatelích do vzdálených instancí. V květnu téhož roku se pak počítače společnosti staly obětí ransomware XData, který se šířil ve stejné době jako WannaCry. Vedení společnosti závažnost pochybení ignorovalo a označilo za náhodu.

[5] Zajímavou poznámkou je, že do boje proti šíření NotPetyi se za dalších blíže nespecifikovatelných podmínek a se stejně nespecifikovatelným výsledkem zapojil rovněž autor původního malwaru Petya Janus.

[6] Jde o techniku zčásti využívající sociální inženýrství; hacker sleduje, jak často určitá skupina uživatelů (třeba jedna konkrétní společnost) navštěvuje nějakou webovou stránku. Následně vybere tu pokud možno nejoblíbenější a kompromituje její obsah malwarem, který si pak uživatel při návštěvě stránky nevědomky stáhne.

[7] Složka doxware by v takovém případě pochopitelně již nezahrnovala zveřejnění informací, neboť tím by se složka ransomwaru/wiperu stala zbytečnou. Tato kombinace by tedy byla vhodná pro zisk takových informací, které by útočník mohl využít k získání taktické výhody, naopak nevýhodná u dat, jejichž zveřejnění on-line by pro oběť znamenal neúspěch fatálnější než jejich samotná ztráta.

[8] Na Ukrajině tento stav kriticky hodnotila rovněž proukrajinská hacktivistická skupina Ukraine Cybernetic Alliance např. v kampani #FuckResponsibleDisclosure.

Reference

ABC News. 2017. Cyber attack: Ukrainian software company will face charges over security neglect, police suggest. 3. 7. 2017. Dostupné z: http://www.abc.net.au/news/2017-07-03/cyber-attack-charge-ukarine/8675006

Abel, Robert. 2016. Telebots cybergang toolset reminiscent of BlackEnergy. SC Media. 15. 12. 2016. Dostupné z: https://www.scmagazine.com/blackenergy-back-telebots-launch-malicious-toolset-reminiscent-of-earlier-attacks/article/579319/

Bernstein, Daniel J. 2008. Protecting communications against forgery. In: Algorithmic Number Theory. MSRI Publications, str. 535-549. Dostupné z: https://cr.yp.to/antiforgery/forgery-20080501.pdf

Blue, Violet. 2013. CryptoLocker’s crimewave: A trail of millions in laundered Bitcoin. ZeroDay Net. 22. 12. 2013. Dostupné z: http://www.zdnet.com/article/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin/

Borys, Christian. 2017. Ukraine braces for further cyber-attacks. BBC. 26. 7. 2017. Dostupné z: http://www.bbc.com/news/technology-40706093

Cisco Talos. 2017. New Ransomware Variant „Nyetya“ Compromises Systems Worldwide. 6. 7. 2017. Dostupné z: http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

Constantin, Lucian. 2016a. New Android ransomware uses clickjacking to gain admin privileges. PC World. 27. 1. 2016. Dostupné z: https://www.pcworld.com/article/3027123/new-android-ransomware-uses-clickjacking-to-gain-admin-privileges.html

Constantin, Lucian. 2016b. Petya ransomware is now double the trouble. Network World. 13. 5. 2016. Dostupné z: https://www.networkworld.com/article/3069990/petya-ransomware-is-now-double-the-trouble.html

Daniel, Donald C. F. 2005. Denial and Deception. In: Jennifer E. Sims; Burton L. Gerber. Transforming U. S. Intelligence. Georgetown University Press, str. 134–141. ISBN 1-58901-477-4.

ESET. 2017. Mid-year review: Have our security trends for 2017 become reality? 20. 7. 2017. Dostupné z: https://www.welivesecurity.com/2017/07/20/mid-year-review-security-trends-2017-become-reality/

F-secure labs. 2014. BlackEnergy & Quedagh: The convergence of crimeware and APT attacks. Retrieved March. Dostupné z: https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf

Greenberg, Andy. 2017. The WannaCry Ransomware Has a Link to Suspected North Korean Hackers. Wired. 15. 5. 2017. Dostupné z: https://www.wired.com/2017/05/wannacry-ransomware-link-suspected-north-korean-hackers/

Hábová, Kateřina a Hulín, Vlastimil. Kybernetická kriminalita. Cenzurovaná verze. Národní úřad pro kybernetickou a informační bezpečnost. Prezentace v rámci předmětu BSS469 Kybernetická bezpečnost Fakulty sociálních studií Masarykovy univerzity. 28. 11. 2017. Dostupné z: https://is.muni.cz/auth/el/1423/podzim2017/BSS469/um/PREZENTACE_kybekriminalita_BSS_pro_studenty.pdf

Hendl, Jan. 2012. Kvalitativní výzkum: základní teorie, metody a aplikace. Praha: Portál.

Chohan, Usman W. 2017. Cryptocurrencies: A Brief Thematic Review. SSRN. Dostupné z: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3024330

Ispitzner. 2016. Leveraging the Human to Break the Cyber Kill Chain. SANS Security Awareness. 12. 1. 2016. Dostupné z: https://securingthehuman.sans.org/blog/2016/01/12/leveraging-the-human-to-break-the-intrusion-kill-chain

Kassner, Michael. 2010. Ransomware: Extortion via the Internet. Tech Republic. 11. 1. 2010. Dostupné z: https://www.techrepublic.com/blog/it-security/ransomware-extortion-via-the-internet/

Khandelwal, Swati. 2017a. Turns out Petya is not a ransomware, it’s a destructive wiper malware. The Hacker News. 28. 6. 2017. Dostupné z: https://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html

Khandelwal, Swati. 2017b. Original author of Petya ransomware is back and he wants to help NotPetya victims. The Hacker News. 29. 6. 2017. Dostupné z: https://thehackernews.com/2017/06/petya-ransomware-decryption-key.html

Khandelwal, Swati. 2017c. WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives. The Hacker News. 13. 5. 2017. Dostupné z: https://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

Kumar, Mohit. 2016. How to decrypt Petya ransomware for free. The Hacker News. 12. 4. 2016 Dostupné z: https://thehackernews.com/2016/04/ransomware-decrypt-tool.html

Kumar, Mohit. 2017a. WannaCry ransomware: everything you need to know immedatelly. The Hacker News. 15. 5. 2017. Dostupné z: https://thehackernews.com/2017/05/how-to-wannacry-ransomware.html

Kumar, Mohit. 2017b. Bad Rabbit ransomware uses leaked ‚EternalRomance‘ NSA exploit to spread. The Hacker News. 26. 10. 2017. Dostupné z: https://thehackernews.com/2017/10/bad-rabbit-ransomware.html

Lee, Martin; Mercer, Warren; Rascagneres, Paul and Williams, Craig. Player 3 Has Entered the Game: Say Hello to ‚WannaCry‘. Cisco Talos. 12. 5. 2017. Dostupné z: http://blog.talosintelligence.com/2017/05/wannacry.html

Lídl, Václav. 2015. Nová vojenská doktrína Ruska: na pokraji studené války? Natoaktual. 25. 1. 2015. Dostupné z: http://www.natoaktual.cz/nova-vojenska-doktrina-ruska-na-pokraji-studene-valky-ppm-/na_analyzy.aspx?c=A150125_161034_na_analyzy_m00

Mamedov, Orkhan; Sinitsyn, Fedor a Ivanov Anton. 2017. Bad Rabbit ransomware. Kaspersky lab. 27. 10. 2017. Dostupné z: https://securelist.com/bad-rabbit-ransomware/82851/

Microsoft. 2017. WannaCrypt ransomware worm targets out-of-date systems. 12. 5. 2017. Dostupné z: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Národní policie Ukrajiny. 2017. Obálka největšího kybernetického útoku v dějinách Ukrajiny se stala virem Diskcoder. 5. 7. 2017. Dostupné z: https://translate.googleusercontent.com/translate_c?depth=1&hl=cs&rurl=translate.google.cz&sl=uk&sp=nmt4&tl=cs&u=https://www.npu.gov.ua/uk/publish/article/2175897&usg=ALkJrhiHmojrR7gevQoY2keYAbNlFTM67Q (automaticky přeloženo z ukrajinštiny).

Netolická, Veronika. 2017. IT a stát. Prezentace v rámci předmětu BSS411 Moderní bezpečnostní technologie Fakulty sociálních studií Masarykovy univerzity. 9. 10. 2017. Dostupné z: https://is.muni.cz/auth/el/1423/podzim2017/BSS411/um/prednasky/IT_a_stat.pdf

Pačka, Roman. 2017. Konceptuální a teoretické aspekty kybernetické bezpečnosti (Kybernetická bezpečnost 101). Prezentace v rámci předmětu BSS469 Kybernetická bezpečnost Fakulty sociálních studií Masarykovy univerzity. 26. 9. 2017. Dostupné z: https://is.muni.cz/auth/el/1423/podzim2017/BSS469/um/1_pr_edna_s_ka.pdf

Pavlíková, Miroslava. 2015. Kybernetický boj mezi Ukrajinou a Ruskem v rámci ukrajinského konfliktu. Diplomová práce, vedoucí práce Miroslav Mareš. Brno: Masarykova univerzita. Dostupné z: https://is.muni.cz/th/382554/fss_m/

Perlroth, Nicole; Scott, Mark a Frenkel, Sheera. 2017. Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times. 27. 6. 2017. Dostupné z: https://mobile.nytimes.com/2017/06/27/technology/ransomware-hackers.html

Polityuk, Pavel. 2017. Ukraine points finger at Russian security services in recent cyber attack. Reuters. 1. 7. 2017. Dostupné z: https://www.reuters.com/article/us-cyber-attack-ukraine/ukraine-points-finger-at-russian-security-services-in-recent-cyber-attack-idUSKBN19M39P

Posteo. 2017. Update: Petya aimed at destroying data. 27. 6. 2017. Dostupné z: https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday

Millman, Rene. 2016. „Russian“ BlackEnergy malware strikes at Ukrainian media and energy firms. 4. 1. 2016. Dostupné z: https://www.scmagazine.com/russian-blackenergy-malware-strikes-at-ukrainian-media-and-energy-firms/article/527815/

Root.cz. 2013. Ransomware – „policejní virus“ na pitevním stole. 10. 6. 2013. Dostupné z: https://www.root.cz/clanky/ransomware-policejni-virus-na-pitevnim-stole/

Scherschel, Fabian A. 2016. Petya, Mischa, Goldeneye: Die Erpresser sind Nerds. Heise Online. 15. 12. 2016. Dostupné z: https://www.heise.de/newsticker/meldung/Petya-Mischa-Goldeneye-Die-Erpresser-sind-Nerds-3571937.html

Snow, John. 2016. Ransomware on mobile devices: knock-knock-block. Kaspersky Lab. 29. 6. 2016. Dostupné z: https://www.kaspersky.com/blog/mobile-ransomware-2016/12491/

Symantec. 2017. Petya ransomware outbreak: Here’s what you need to know. 24. 10. 2017. Dostupné z: https://www.symantec.com/blogs/threat-intelligence/petya-ransomware-wiper

Škrípová, Lucie. 2018. Ransomware jako hrozba národní kybernetické bezpečnosti České republiky. Diplomová práce, vedoucí práce Josef Kraus. Brno: Masarykova univerzita. Dostupné z: https://is.muni.cz/auth/th/397728/fss_m/Diplomova_prace1.pdf

Thomsen, Simon. 2015. Extramarital affair website Ashley Madison has been hacked and attackers are threatening to leak data online. Business Insider. 20. 7. 2015. Dostupné z: http://www.businessinsider.com/cheating-affair-website-ashley-madison-hacked-user-data-leaked-2015-7

Townsend, Sean B. 2017. Activists Publish Results of #FuckResponsibleDisclosure Campaign. Informnapalm. 11. 12. 2017. Dostupné z: https://informnapalm.org/en/activists-publish-results-fuckresponsibledisclosure-campaign/

Trafimchuk, Alixandr. 2016. Decrypting the Petya Ransomware. Chcek point. 11. 4. 2016. Dostupné z: https://blog.checkpoint.com/2016/04/11/decrypting-the-petya-ransomware/

Young, Adam L. a Yung, Moti. 1996. Malicious Cryptography: Exposing Cryptovirology. Wiley. ISBN 0-7645-4975-8.