Zsarolóvírus fenyegetés - talán nincs is olyan ember, aki erről ne hallott-olvasott volna, vagy szerencsétlenebb esetben saját kárán tapasztalta volna meg azt, milyen is, amikor a számítógépes állományainkat titkosítják, és csak húzós váltságdíj ellenében ígérik be fájljaink feloldását.
Egregor, Doppelpaymer, Ryuk - napjaink legagresszívabb ransomware fajtái, illetve terjesztő csapatai. Ezen kártevő típusról már sokszor írtunk, e fenyegetés alapvető tulajdonságairól többek közt itt is olvashatunk egy korábbi posztunkban. Ma viszont arra keressük a választ, vajon van-e esély, hogy a zsarolóvírusok a közeljövőben már ne támadjanak minket. (És ha igen, akkor miért nem ;-)
A rövid válasz erre, hogy "sajnos nincs", a hosszú válaszban pedig a miérteket az alábbi pontokban igyekszünk felvázolni. Akik szokták olvasni az ESET éves kártevő előrejelzéseit, azok láthatták, hogy a szakértők is folyamatos növekedést prognosztizálnak ebben az incidens típusban.
1. Jól működő gazdasági modell
Érdek a világ ura - tartja a mondás, és nincs ez másként a kártevők világában sem. A 2013. óta zajló, fejlődő bűnözői üzleti modell abszolút életképes, és termeli a pénzt. A támadók rosszindulatú programokat telepítenek és váltságdíjat követelnek, a pénz pedig gazdát cserél. A ransomware-as-a-service (RaaS) segítségével kulcsrakész megoldásokat forgalmazó kiberbűnözők évről évre bebizonyítják, hogy komplett ökoszisztémát kiépítve folyamatosan képesek növekedni az üzletükben.
Az általuk kínált szolgáltatás 7/24 supportot is tartalmaz, felhasználása pedig semmilyen különösebb szakértelmet nem igényel. A legfrissebb jelentések szerint a ransomware bandák legalább 350 millió dollárt kerestek 2020-ban, ami 311%-os növekedést jelent az előző évhez képest. Jelentősen nőttek az átlagos céges váltságdíj összegek is, manapság ez 154 ezer dollár (46 millió forint) körül mozog, míg félévvel ezelőtt "csak" 111 ezer USD volt.
2. Védekezés, megelőzés gyerekcipőben
Bár már egy lassan kilenc éves kártevő típusról beszélünk, sajnos sok helyen még mindig hadilábon állnak a hatékony védekezési és megelőzési lépésekkel. A nyitott RDP (távoli asztal kapcsolat, Remote Desktop Protocol) sajnos bevált sikeres támadási vektornak bizonyult a ransomware környezetben.
De említhetjük a gyenge jelszavakat, az elhanyagolt biztonsági mentéseket, a szabályozatlan jogosultságokat, a nem frissített vagy hiányzó vírusvédelmet, az alkalmazói szoftverek és az operációs rendszer sérülékenységeit befoltozó rendszeres hibajavítások futtatásának elhanyagolását is. És ide tartozik a bekövetkezett támadások kommunikációja is, amely sajnos sok esetben egyedül csak a szimpla tagadást, a támadás hivatalos el nem ismerését jelenti, és iskolapéldája lehetne a "Hogyan ne kezeljünk informatikai incidenst?" témakörnek.
3. Egy szavam téged a padlóra küld
Vállalati környezetben elszenvedni egy ransomware támadást alaphangon is óriási károkat okozhat. Nemcsak maga a váltságdíj, hanem a szervezetek által nyújtott szolgáltatások leállásai, kiesett bevétel, a hírnév romboló rossz sajtó visszhang, a tőzsdei árfolyam esése és a szabályozási - például GDPR miatti - adatvédelmi bírságok is, plusz a helyreállítás költségei. Ehhez járult még az az új típusú fenyegetés, ami már 1-2 éve tapasztalható: a váltságdíjat nem csak azért követelik, hogy feloldják a titkosítást, hanem hogy az ellopott bizalmas adatokat ne hozzák nyilvánosságra. Ez utóbbi ugyan néha csak blöff, de legtöbbször valós.
Ahogy azt a számok is jelzik, ilyenkor az áldozatok elképesztő összegeket kifizetnek. Például a CWT Business Travel Management Company 2020. nyarán 4.5 mUSD, akkori árfolyamon nagyjából 1.3 milliárd forintnyi összeget fizetett ki a bűnözőknek. Emiatt a legújabb trend alapján már kifejezetten a céges célpontok felső vezetőinek munkaállomásai felé irányulnak a támadások. Innen ugyanis siker esetén valóban annyi és olyan érzékeny dokumentumot lehet megszerezni, amely a klasszikus elkódolásos zsarolás mellett sokkal fontosabb lesz az adott vállalatnak, hogy semmiképpen ne kerüljön nyilvánosságra.
4. Színre lép a ransomware bróker
Kezdetben a zsarolóvírusokat terjesztő bűnözői csapatok mellett feltűntek az olyan, függetlennek látszó segítő szervezetek, amelyek a kezdő váltságdíj fizetők "mi az a Bitcoin, hol tudnék ilyet venni?" kérdéseire adtak választ. Ám számos esetben bebizonyosodott, hogy ezen "segítők" közül néhányan valójában a befolyt pénzen osztozó bűntársak voltak, történt is néhány ezzel kapcsolatos letartóztatás, vádemelés. Később pedig hamis IT biztonsági ransomware tanácsadó cégek képében tűntek fel gyanús elemek. A legitim, legális tevékenységet folytató valódi segítő vállakozások mellett például a Dr.Shifro nevű orosz kiberbiztonsági tanácsadó cégről gyanítják, hogy etikátlanul együttműködve kiszolgálja a zsarolóvírus terjesztőket.
Bár látszólag törvényes vállalkozásnak tűnnek, és szolgáltatásaik között például a klasszikus túsztárgyaláshoz hasonlóan váltságdíj csökkentési tárgyalásokban való közreműködést is hirdetnek, ám üzletmenetük átláthatatlan, és a szakértők szerint több, mint gyanús a tevékenységük. Az már csak hab a tortán, hogy 2020-ban az amerikai kormány figyelmeztetést adott ki a növekvő ransomware kockázatokkal kapcsolatosan, és ebben arra hívják fel az állami cégek figyelmét, hogy a váltságdíj kifizetését elősegítő szereplők (ideértve a pénzügyi intézményeket, a kiberbiztosító cégeket, valamint a digitális kriminalisztikában és az incidensek elhárításában részt vevő azon társaságokat, amelyek a ransomware-fizetést kifejezetten ösztönzik) azt kockáztatják, hogy emiatt szigorú büntetéseket rónak ki rájuk a hatályos előírások megsértése miatt.
5. Biztosítás - félmegoldás
Korábbi posztjainkban már alaposan kitárgyaltuk, hogy a ransomware elleni biztosítás látszólag nem igazán vált be, sőt néha egyenesen kontraproduktív hatást gyakorolt, ugyanis az ilyen biztosítással rendelkező - főképp állami szervezetek, hivatalok, intézmények - ezzel sok esetben kényelmesen letudták a védekezést azzal, hogy baj esetén a biztosító majd úgyis fizet, és nem fordítottak elegendő figyelmet a technikai védelemre, szűrésre, megelőző pentestekre, illetve dolgozóik rendszeres biztonságtudatossági képzésére.
Ezzel összefüggésben pedig a bűnözök megtapasztalták, hogy az ilyen célpontok gyorsan és jól fizetnek, ezzel pedig végeredményben gyakorlatilag ráálltak az állami hivatalok nagyipari üzemszerű támadására.
A zsarolóvírusok elleni védekezés és megelőzés módjáról, minden ezzel kapcsolatos gyakorlati lépésről ezen a linken lehet részletesebben tájékozódni.