Zsarolóvírusok – Mit tanulhatunk a zsarolóvírus támadásokból?

A zsarolóvírus fogalmát, hatását már több bejegyzésünkben is említettük, most azonban szeretnénk bemutatni konkrét példákon keresztül, hogy mik voltak a legemlékezetesebb zsarolóvírusok, kik voltak az áldozatok, és mit tehettek volna a vírus kivédése érdekében.
 

A kártékony kódoknak vagy közkedveltebb nevükön vírusoknak többféle változata van, ennek egyike a zsarolóvírus vagy ransomware. A zsarolóvírusok az utóbbi pár évben terjedtek el. Működésüket tekintve a felhasználó eszközén tárolt adatokat titkosítják, így maga a felhasználó nem fog tudni hozzáférni saját állományaihoz, cserébe a támadók váltságdíjat követelnek az adatok helyreállításáért. Erre természetesen semmi garancia nincs, hogy a támadók a fizetést követően visszaállítanák a fájlokat, így ezt senkinek nem javasoljuk, aki ilyenbe belefutna a jövőben. A kártékony kód jellemzően egy csatolt fájlban, linken keresztül fertőzi meg a céleszközt.

“A 2021 január és február között végzett felmérés szerint világszerte átlagosan a szervezetek 37 százaléka esett áldozatul zsarolóvírus támadásnak. A legmagasabb arány Indiában volt, a szervezetek több mint kétharmada azt mondta, hogy az elmúlt évben zsarolóvírus támadást tapasztalt. Lengyelországban a válaszadó szervezetek mindössze 13 százaléka volt ilyen számítógépes bűnözés áldozata.” – forrás: statista.com

Melyek voltak a legemlékezetesebb zsarolóvírus támadások, amelyek Magyarországot is érintették? 

Az egyik ilyen legismertebb támadás 2017-ben a WannaCry (WannaCrypt) névre keresztelt zsarolóvírus volt, amely Magyarországot is érintette. E támadás jelentőségét a vírus gyors terjedése jelentette, 150 országot érintve.

Az elmúlt évek top zsarolóvírusai sorrendben:

1.     WannaCry

2.     GandCrab

3.     Stop/Djvu

4.     PolyRansom/VirLock

5.     Shade

Mi történt pontosan?

A WannaCry különféle területeken okozott leállásokat, kieséseket, így például Oroszországban a belügyminisztérium, Egyesült államokban a FedEx csomagküldő szolgálat ellátásban történtek fennakadások. A kártékony kód a Windows operációs rendszerekben megbújt sérülékenységet használta ki. Erről a sérülékenységről egyébként a Microsoft is tudomással volt, így a soron következő frissítésükkel ezt a hibát be is foltozták, így azok voltak kitéve a támadásnak, akik a frissítést nem telepítették, esetleg egy már nem támogatott rendszert használtak.

A kártékony kód blokkolja az eszköz működését, majd zsarolja felhasználóját, hogy küldjön 300-600 dollár értékben Bitcoint, különben minden adatát törlik. Ehhez meg is jelent két visszaszámláló a képernyőn, nyomást gyakorolva a felhasználóra, melyből az egyik először csak a kért összeget növelte, míg a második óra a fájlokban tett kárt.

A zsarolóvírus különlegessége, hogy képes önmagától terjedni, így az távoli kódfuttatást kezdeményez az operációs rendszerben.

Kik voltak az áldozatok? 

150 országban, rengetegen estek áldozatul a támadásnak, amelyet aktuálisan nyomon is lehetett követni egy interaktív térképen. Magyarországon is szép számmal voltak bejelentések, köztük a Telenor is jelezte, hogy felfedezték a kártékony kódot rendszereikben, de tájékoztatásuk szerint még idejében sikerült megfékezni a támadást, így az nem okozott nagyobb károkat és az előfizetőkre sem volt érzékelhető hatással.

Milyen káresemény történt üzleti szempontból?

Szolgáltatók oldaláról a legnagyobb káresemény az ügyfelek kiszolgálásában, a szolgáltatás folytonosságában való fennakadás említhető meg, így például Németország vasúti utastájékoztató rendszerét ért támadás a közlekedést borította fel, míg Angliában a kórházi ellátórendszerben történt károk műtétek elhalasztásával is járt. Ahol biztonsági mentés nem állt rendelkezésre, ott akár egy teljes adatvesztés is fennállhatott. Céges környezetben ez talán kevésbé jelentett problémát, mint magán eszközök felhasználóinál, ahol nincs előre ütemezett, rendszeres biztonsági mentés, ott akár az évek alatt gyűjtögetett családi fotók, receptek is elveszhettek. Mindaddig talán nem is érezzük ezeknek a fontosságát, amíg velünk nem történik meg. 

Mit lehetett volna tenni a kivédéséért?

A sérülékenységek felderítése nagyon fontos, hiszen a támadók ezeket kihasználva juthatnak be rendszereinkbe. Éppen ezért a tesztelés, legyen az penetration teszt, bug bounty vagy más megoldás, elengedhetetlen.

Néhány alapvető gyakorlattal az ilyen jellegű támadások megelőzhetők / felderíthetők:

–       Mindig használjunk jogtiszta szoftvereket

–       Telepítsük a biztonsági frissítéseket

–       Körültekintően járjunk el e-mailek fogadásakor, mellékletek, hivatkozások megnyitásakor

–       Használjunk kártékony kódok elleni védelmet (vírusírtót)

–       Készítsünk biztonsági mentéseket (3-2-1 biztonsági mentés)

Ki tekintheti magát fokozottan célpontnak?

Bárki lehet célpont, nem szabad abba a feltételezésbe bocsátkozni, hogy mi magunk nem vagyunk elég érdekes vagy elég haszonnal járó célpont, mert a kiberbűnözők nem válogatnak. Egy támadás minél széleskörűbb, minél összetettebb, annál nagyobb esélye van a kiberbűnözőknek az anyagi haszonszerzésre vagy károkozásra, és ebbe a halmazba mi is beleeshetünk. Nem mellesleg az igazán nagy célpontok, mint a világvezető cégek olyan fejlett technológiákat és megoldásokat alkalmaznak, amelyekkel nehezebben lehet felvenni a harcot, így a kisebb vállalkozások vagy a magánszemélyek könnyebb célpontnak bizonyulhatnak. 

Mik az egyszerűbb (gyorsabb, olcsóbb) megoldások, amik segíthetnek a kivédésben?

Támadások mindig is lesznek, azok egyre kifinomultabb, célzottabb formában jelennek meg, ezért a legfontosabb mindig a tudatosság, az odafigyelés és a körültekintés. Úgy is mondhatnánk, legyünk mindig gyanakvók. A legolcsóbb megoldás tehát az edukáció, ami nem csak a vállalati környezetben fontos, hanem mint magánember is tisztában kell lennünk milyen veszélyek fenyegetnek bennünket és hogyan tudunk ellenük védekezni. Mint ahogyan megtanultuk azt is, hogy mielőtt az úttestre lépünk körül kell néznünk. Ugyan így az online, digitális térben is tudatosan kell közlekednünk.

A szervezet a tudatosság növelésére alkalmazhat phising tesztet is, amellyel egy valós támadás szimulálható, valamint visszamérhető, hogy a kollégák hány százaléka eshet áldozatul, kik azok, akik nem voltak elég figyelmesek. A teszt segít megértetni a munkavállalókkal, hogy milyen fejlett és egyénre szabott eszközökkel próbálhatják meg a csalók megszerezni adataikat.

Szintén a gyors és olcsóbb kategóriába sorolható a kártékony kódok elleni védelmet szolgáló vírusírtók bevezetése, telepítése. Ezt vállalati szinten és magánemberként is javasolt megtenni, hiszen e szoftverek kifejezetten a rosszindulatú programok felderítésére szolgálnak.

Ide sorolható még a tűzfal is, amely egyfajta szűrőként funkciónál és beállításával védhető a hálózat vagy számítógép a bejövő forgalommal érkező támadásoktól. Továbbá a kimenő forgalmat is képesek pásztázni, amivel megelőzhető egy belső, például sértettségből fakadó szándékos károkozás is.

Mik az időben és pénzben komolyabb ráfordítást igénylő megoldások?

A vállalkozás core tevékenységéhez kapcsolódóan lehet értékelni, hogy milyen megoldásokat kíván bevezetni a szervezet, mik azok a leginkább megfelelő szolgáltatások, szoftverek, amelyekkel a biztonság növelhető. Léteznek egyszerűbb, olcsóbb megoldások, amelyek havidíjas formában automatikusan értékelik a rendszereinket, de akár a több tíz milliós megoldásokig mindenfélével lehet találkozni.

MDM, avagy Mobile Device Management 

A mobil eszközkezelő megoldások azoknál a vállalkozásoknál lehet előnyös, ahol számos mobil készüléket kell felügyelet alatt tartani, távolról kezelni, s egységes védelmi mechanizmusok alatt működtetni. Egy ilyen megoldással növelhető a biztonság, illetve csökkenthetők a távoli hozzáférések jelentette kockázatok, továbbá az IT részére is nagyobb felügyeletet jelent a készülékek felett. Felhasználói oldalról is előnyös, hiszen így a karbantartással, frissítésekkel nem kell vesződniük, gyorsabb, hatékonyabb hibaelhárítást lehetővé téve.

DLP, azaz Data Loss Prevention

Az adatszivárgás megelőzésére létrejött megoldások segítenek a vállalati információk, bizalmas és személyes adatok véletlen kiszivárogtatásának megelőzésében, illetve az adatok megfelelő használatának szabályozására. A hálózati DLP rendszerek fel tudják deríteni a vállalat rendszerében tárolt adatokat, hogy azonosítsák a kockázatos területeket, ahol a bizalmas adatok tárolása alkalmatlan és/vagy nem biztonságos helyen zajlik. A DLP rendszereknek is különböző típusai léteznek, így az adatokat többféle módon is képesek pásztázni, nyomon követni és az incidenseket megelőzni.

Mi várható a jövőben a támadásokkal kapcsolatban? Milyen trendek várhatóak? 

Bár maga a zsarolóvírus nem újkeletű dolog, az elmúlt egy-két évre visszatekintve jól látszik, hogy az ilyen jellegű támadások száma növekvő tendenciát mutat. A védekezésben a megelőzésre kell nagyobb hangsúlyt fektetni, mert a támadások fejlettsége és összetettsége adott esetben olyan visszafordíthatatlan, helyrehozhatatlan károkat okozhat, amelyekkel egy teljes vállalkozás működésképtelenné válhat. Ezeknek a támadásoknak nem csak a vállalatok vannak kitéve, ugyanúgy a magánszemélyek is, akik egyre több okos eszközt vásárolnak, amelyek az internetre csatlakoznak. Minél több az eszköz, annál több a sebezhetőség, a támadási felület, ezért mindannyiunknak körültekintően kell eljárnunk. Itt nem csak arról beszélhetünk, hogy egy eszközt titkosítanak és nem férünk hozzá a rajta tárolt adatokhoz, de adott esetben a rosszindulatú támadásokkal az eszköz fizikai károkozásra is kényszeríthető, például egy túlmelegedéssel.

A támadók kedvelt célpontjai az okostelefonok, amelyek vélhetően a következő években is kiemelt figyelmet kapnak a támadók körében. A kibertámadásokkal foglalkozó szakmai oldalak előrejelzései szerint, a kis és középvállalkozások irányába megnövekedhetnek a támadások, ami azért is bír jelentőséggel, mert ezek a vállalkozások jellemzően nem fordítanak kellő figyelmet a biztonságra. Ez egyfelől adódhat abból is, hogy azt gondolják nem lennének elég csábító célpontok. Másfelől viszont egy KKV-nak mérhetően kevesebb eszköze és erőforrása van felvértezni vállalkozását a fenyegetettségekkel szemben, mint egy olyan vállalatnál, ahol külön dedikált osztály foglalkozik ezzel a témával.

Egy informatikai vezető, ha éppen olvassa a blogot, akkor mivel kezdjen?

Legyen informatikai vezető vagy cégvezető az illető, az első és legfontosabb dolog, hogy készítsen egy kockázatelemzést. Nézze vagy nézzék meg közösen, hogy a vállalkozásra milyen veszélyek leselkedhetnek. Vizsgálják meg a folyamataikat mind információbiztonsági, mind adatvédelmi szempontból. Azokon a helyeken, ahol nincs erre megfelelő belső kolléga – vagy akár, ha van is, egy külső szakértő segítsége egészen más megvilágításból, új szemmel tudja értékelni, vizsgálni a működést. A biztonság nem egy állapot, hanem egy folyamat, amelyet fenn kell tartanunk. A külső vizsgálatra kifejezetten hasznos lehet egy Bug Bounty program indítása, amellyel a vállalkozás online kitettségét lehet visszamérni és egyben javítani is, hiszen e vizsgálat során nem csak a hibák, sérülékenységek kerülnek feltárásra, de azok kijavítására is javaslatot kapnak a programot indító vállalkozások. Ebbe bátran belefoghatnak a KKV-k is, hiszen itt a díjazás sikerdíj alapú, így csak akkor kell fizetni, ha a tesztelés során hiba kerül feltárásra.

További publikációink