Ha szólsz a rendőröknek, akkor véged!

2021. szeptember 07. 17:15 - Csizmazia Darab István [Rambo]

Ha ransomware támad meg cégeket, vállalatokat, akkor három féle kárt is képesek okozni: hosszas leállás a szolgáltatásban, titkosítják az adatokat, és ha nem fizetnek a feloldókulcsért, akkor kiteszik, kiszivárogtatják a netre a bizalmas dokumentumokat.

A vállalkozásoknak az a legjobb, ha a védekezésben és megelőzésben utaznak: napi rendszeres biztonsági mentés, automatizált patch menedzsment, naprakész vírusvédelem, biztonságos hálózati (RDP, stb.) beállítások, erős jelszavak és hitelesítés, 2FA/MFA alkalmazása, biztonsági policy,
adminisztrátori jogosultságok korlátozása, biztonságtudatossági képzések, érzékeny adatok nyugalmi állapotban történő titkosítása, hálózatok szegmentálása, és hasonlók.

Ha pedig már helyzet van, általában értesítik a hatóságokat is, illetve sok esetben alkalmaznak ransomware brókereket, akik helyettük tárgyalnak a bűnözőkkel, és igyekeznek lealkudni a fizetendő váltságdíj összegét - ilyen volt például 2020-ban a CWT Business Travel Management Company zsarolóvírus incidens, ahol 30 ezer számítógép lett fertőzött, 2 TB adatot sikerült a támadóknak ellopni, és végül 4.5 millió dollárnak megfelelő Bitcoint fizettek ki.

Állítólag meg is kapták a helyreállításhoz szükséges kulcsokat, valamint egy olyan ígéretet, hogy nem teszik közzé a bizalmas vállalati fájlokat. (no comment)

És akkor ide kapcsolódik a mai hírünk is, miszerint a Ragnar Locker zsarolóvírus banda is tisztában van a fenti helyzettel, forgatókönyvekkel, ezért most egy olyan fenyegetést tettek közzé, amelyben azt írják, hogy ha az áldozataik közül valaki kapcsolatba lép a rendőrséggel, bűnüldöző szervekkel, akkor haladéktalanul közzéteszik az ellopott bizalmas érzékeny adatokat.

A fenyegetés azokra az áldozatokra is vonatkozik, akik nem fordulnak a hatóságokhoz, de adatmentési szakértőket bíznak meg az adatok visszafejtéséhez, illetve ilyen szakértőket kérnek fel a tárgyalási folyamat sikeres lefolytatása érdekében. Minden ilyen említett esetben a csoport bosszúból azonnal közzéteszi az áldozattól megszerzett teljes adatcsomagot saját darknetes .onion webhelyén.

Úgy tűnik tehát, igyekeznek minden olyan "zavaró körülményt" kiiktatni, ami árthat a zsaroló üzletüknek, vagy a hatóságok érdeklődését túlzottan rájuk irányíthatja.

A Ragnar Locker ransomware korábbi áldozatai között olyan jelentős szervezeteket találunk, mint a Capcom szerencsejátékban érdekelt cég, a Campari italgyártó vállalat, vagy a tajvani ADATA adattároló gyár.

29 komment

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.08. 06:27:17

@blogger: mostanában nem nagyon reagálsz a felvetődő kérdésekre...
Pl. jelen esetben az automatizált patch management alatt mit értesz?
Mert így első olvasatra nekem az jön le, hogy minden javítást, kérdés nélkül feldobni az összes gépre... az meg, különösen ha windows-ról van szó, nem biztos, hogy jó ötlet. :)

Válasz erre

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2021.09.08. 11:53:10

@Le a spammerekkel: SZia! Nyilván ez nem mindenhol jó, például kritikus infrastruktúráknál, bankoknál tesztkörnyezetben kell tesztelni ezeket, de még mindig számos magánszemély, kkv nem foglalkozik vele, sőt néha nagyok sem. Például a 143 milló adatlopásos Equifax esetben, bár az USA három nagy hitelminősítő közül az egyik, az incidensig nem is volt felelőle a frissítéseknek, nem is végeztek ilyet, és a forensic vizsgálat azt mutatta, egyértelműen emiatt futottak bele az adatlopásba: az Apache Struts sebezhetőségre kiadott javítófolt már 2017. március 7-én megjelent, a hibajavítás elvégzése hónapokig mégsem történt meg. Vagyis figyelmet kell rá fordítani, nyilván nem bambán, és nem mindenhol végezhető előzetes tesztek nélkül.
www.theregister.com/2017/09/14/missed_patch_caused_equifax_data_breach/

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.08. 13:10:42

@Csizmazia Darab István [Rambo]: az az Equifax... hát az már a NAB+ kategória...
Én kisebb, bár kritikus szoftvereket használó cégnélvoltam sokáig. Azt hiszem, egyszer kellett egy windows update, ami sok gépet használhatatlannátett, hogy attólkezdve szigorúancsak tesztelve...
És még így is sikerült olyanba belefutni (nem windowson), hogy teszten jó volt, csak az élest fektette meg a tizedik user belépése után :D (adatbázis szerver valami op.rendszerbe integrált lockolási mechanizmust használt és azon változtattak valamit, ami tömeges deadlockokhoz vezetett... az egy izzasztó hét volt :D)

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.08. 13:12:51

Franc ebbe a bloghu-ba, hogy nem lehet szerkeszteni... samsung billentyűzet a szóközöket nyeli le, gboard meg a teljes kommentet ha egy "."-ot írok rossz helyre... és csak itt. (Droid+firefox)

munkanélküli informatikus 2021.09.08. 22:45:27

Én még nem hallottan olyan zsarolóvírusról, amely többet tett volna a fájlok titkosításánál. Ahánnyal csak találkoztam, az mind egyszerűen letitkosította a fájlokat a számítógép összes meghajtóján (és persze a többi gépen is, ha elég hülye volt a rendszergazda.... a "betű alapú" meghajtó megosztás hálózatban amatőr hiba!) és ezzel egyidőben a vírus megadja a feloldókulcs hozzáférésének módját. Ezek a vírusok meg sem próbálnak a fájlokról másolatot készíteni egy távoli helyre (ami egyrészt lebukás veszélyes lenne, másrészt technikailag is lehetetlen, több okból is). Tehát aki olyat ír le, hogy a zsaroló vírusok írói a fájlokban lévő információk nyilvánosságra hozatalával zsarolják a számítógépek gazdáit, az még életében nem látott zsaroló vírust.

munkanélküli informatikus 2021.09.08. 23:04:22

@Le a spammerekkel:
A windows frissítés olykor nagyobb bajt okoz, mint amekkora bajt a frissítés szolgáltatás letiltása okozott volna :)

CoolKoon 2021.09.08. 23:45:55

Nos igen, "hálás" téma ez. Én személy szerint a bankokat ilyen szempontból egy kicsit sem sajnálom, törjék fel, töröljék le, lopják el jó sok pénzüket, mert azok úgyis nagy ívből tesznek gyakorlatilag minden sebezhetőség kijavítására, aki pedig figyelmeztetni próbálja őket, azokat egyenesen a rendőrségen is feljelentik (tehát magyarán ott rohadjanak meg ahol vannak). A többi cégnél érdemes lenne a megfelelő csatornákon rendszeres felvilágosítási kampányt végezni, de persze Mo-n ilyen soha de SOHA nem lesz, lásd a Tré-Systems meg a Telekom esetét (=tökkelütött idióták által vezetett haveri cégek, ergo a holdudvar "szagértői" is vsz. hasonlók lehetnek).

A Ragnar Locker esete eléggé érdekes amúgy. Vagy szorul a nyakuk körül a hurok, vagy nem megy a bolt, mert a patkányszerű fenyegetésből ítélve mintha a végét járnák. Egyrészt ugyanis ha fölérendelt helyzetben lennének, akkor nem lenne szükségük a fenyegetőzésre, másrészt pedig ezzel gyakorlatilag minden potenciális áldozatnak azt üzenik, hogy bármit is tesznek (ha az FBI-nak szólnak, ha szakértőket fogadnak!), akkor is nyilvánosságra hozzák az összes ellopott adatot. Ezzel pedig gyakorlatilag még inkább arra ösztönzik a cégeket, hogy ne fizessenek nekik, hiszen mindenképpen fel kell bérelniük valakit aki elvégzi a rendszereik auditálását és megfelelő tanácsokkal/intézkedésekkel elejét veszi egy újabb támadásnak.

CoolKoon 2021.09.09. 00:21:30

@munkanélküli informatikus: "A windows frissítés olykor nagyobb bajt okoz, mint amekkora bajt a frissítés szolgáltatás letiltása okozott volna :) " - Sajnos ez nem ennyire egyszerű. Az ISO 27001 nevű ocsmány förmedvény például kimondottan előírja a rendszeres frissítéseket, méghozzá záros időn (asszem a nyilvánosságra hozatalától számított két héten) belül. A frissítések külön tesztelése pedig meglehetősen időigényes dolog.

"Tehát aki olyat ír le, hogy a zsaroló vírusok írói a fájlokban lévő információk nyilvánosságra hozatalával zsarolják a számítógépek gazdáit, az még életében nem látott zsaroló vírust." - Ezeknek a támadásoknak az a lényege, hogy adatlopással egybekötött zsarolóvírus-támadások szoktak lenni, tehát mire a cég rájön, hogy baj van, addigra az adatai valószínűleg a támadónál vannak.

Kedélyes Paraszt 2021.09.09. 07:00:47

@CoolKoon: a 27001emlékeim szerint nem ír elő záros határidőt, főleg nem 2 hetet. Max ajánlja. A jelenlegi környezetemben kb egy hónap alatt fut át a Windowsos rendszerek (szerverek és munkaállomások) patchelése a kiadástól kezdve. Sok-sok év alatt néhány esetben futottunk bele, hogy tömeges hibát okozott (talán 2-3 alkalom), amikor is vissza kellett vonni egy patchet. Olyan, hogy esetileg valakinél nem működött valami, az is csak olyan 10-es nagyságrendileg. Szóval, ha engem kérdeznek, én mindenféleképp javaslom a rendszeres patchelést.

]{udarauszkasz 2021.09.09. 07:04:47

@CoolKoon: Bocs,hogy bele amatorkodom,de ha egy zsarolo szervezet adatokat lop (jo sok terabyteot)az nem tunik fel senkinek,aki egy kicsit is monitorozza a forgalmazast?

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.09. 07:13:43

@CoolKoon:

"Én személy szerint a bankokat ilyen szempontból egy kicsit sem sajnálom, törjék fel, töröljék le, lopják el jó sok pénzüket, mert azok úgyis nagy ívből tesznek gyakorlatilag minden sebezhetőség kijavítására, aki pedig figyelmeztetni próbálja őket, azokat egyenesen a rendőrségen is feljelentik "

Ergo életedben nem jártál normális bank informatikai rendszereinek a közelében sem. Nekem volt szerencsém többhöz is. Ez így egy egetverő hazugság, nem több.
A pénzügyi szektorban (ahol jártam) kényesen ügyelnek, legalábbis ügyeltek a biztonsági kérdésekre. És én nem tudok olyan esetről, hogy ha károkozás gyanúja nélkül jelzett valaki egy hibát, akkor a bank a rendőrséghez fordult volna.
Az más kérdés, hogy a rendszer feltörésére irányuló kísérleteket feljelentéssel honorálják.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.09. 07:18:46

@]{udarauszkasz: hogy gondolod a monitorozást, amivel észlelhető, hogy napi pár megabájttal többet forgalmaz egy-egy munkaállomás valami legális felhőszolgáltató vagy mondjuk a cloudflare irányába?
Ha meg MitM-t játszanak és elemzik a kimenő forgalom tartalmát... az nem tudom, mennyire vállalható úgy hardveresen, mint jogilag.

Szóval nem költői a kérdés: hogy gondolod, hogy gondoljátok?

gigabursch 2021.09.09. 08:22:40

@Le a spammerekkel:
Ízlés nem vita tárgya, de ha van böngésző, amit rühellek az pont a FF.

gigabursch 2021.09.09. 08:29:02

A cikk belseje is néhol zavaros, de a cím...

Szóval, helyesen:
Ha szólsz a rendőröknek [vessző(!)] véged.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.09. 09:17:24

@gigabursch: más droidos böngésző nem rendelkezik olyan szolgáltatásokkal, mint a noscript, ublock0 stb.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.09. 09:18:52

@gigabursch: már megint itt van, hogy nem lehet szerkeszteni. :(

Szóval FF - én is rühellem, mióta dobták a korábbi verziót, de lásd fenn, nincs más...

]{udarauszkasz 2021.09.09. 10:04:16

@Le a spammerekkel: LED Keyboard megy nalam,az nem szivat.

]{udarauszkasz 2021.09.09. 10:10:53

@Le a spammerekkel: gondolom,azert egy rencergizda csak latja,hogy egyszercsak megindultak a terabajtok valami cloud fele,esetleg egy valami ismeretlen iranyba.
Meg en,mint mezitlabas juzer is ki tudom szurni otthon,ha valami nem franko a nettel. Egy idoben volt olyan,hogy torrent kozben szinte teljesen megallt a net. Kiderult,hogy a kliens nyitott valami kismillio portot (tcp asszem) aztan a kliens csere utan nagyjabol normalizalodott a helyzet.
Nektek,mint hivatasos infosoknak gondolom,csak van tobbfajta eszkozotok erre

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.09. 11:22:45

@]{udarauszkasz: épp az a gond ezzel, hogy ha elég sunyi a kis spyware, akkor szép lassan csordogál kifelé az infó, akár hónapokon át. Azt elég nehéz kiszűrni, ha látszólag legális irányba küldik. (Nem igazán értek hozzá, meg tippeket sem akarok adni a tréfás kedvű kollégáknak, szóval inkább nem mennék részletekbe)

GyMasa 2021.09.10. 00:12:17

@munkanélküli informatikus:
Igen, ez nekem is feltünt...
Főleg, hogy egy adatlopás az egy jól előkészített és valószínúleg sokáig tartó akció.
Csak a 2TB adat feltöltése lenne vagy 4,5 nap, ha egy teljes, 1Gbites uplinkje van a cégnek.
Az pedig bizonyosan szemet kell, hogy szúrjon a rendszergazdának.
Ha meg lemegy 100Mbitre, akkor 45 nap, de még az is túl feltűnő adatforgalom szerintem.

CoolKoon 2021.09.11. 22:38:34

@Le a spammerekkel: "És én nem tudok olyan esetről, hogy ha károkozás gyanúja nélkül jelzett valaki egy hibát, akkor a bank a rendőrséghez fordult volna." - Valóban. A "normál" ügymenet úgy működik, hogy hogyha valaki jelez egy hibát, akkor nagyívből leszarják. Aztán ha az illető (a saját szakállára) akciózni kezd, na akkor megy a rendőrségi feljelentés, természetesen a hibák kijavítása nélkül. És persze a volt kollegáim (középszerű informatikusok mind) közül nagyon sok pont bankokba ment dolgozni. De persze, ez az egész csak kitaláció, én se létezek, és a magyar banki rendszerek a legbiztonságosabbak a világon (hmm, vajon a FIPS tanúsítványaik a rendszerük összes elemére vonatkozik?)...

CoolKoon 2021.09.11. 22:45:15

@]{udarauszkasz: Ami azt illeti, nem szokás a hálózati adatforgalmat valós időben figyelni, mivel fölösleges. Persze, hébe-hóba megnézi az ember (na meg persze akkor ha gond van), de alapesetben nem figyeli minden nap. Az adatlopási támadások pedig nem feltétlenül úgy működnek, hogy az illető egyszerre fog megpróbálni feltölteni 2 TB adatot valahova, hiszen tudja, hogy az jó eséllyel azonnal feltűnne. Az ilyen eseményekről szóló hírekben gyakran visszatérő elem, hogy mire külső szakértőkkel vizsgáltatják meg a rendszereiket kiderül hogy már hetek, sőt hónapok óta folyhatott a támadás. Annyi idő alatt pedig elég kényelmesen ki lehet csempészni egészen nagy adatmennyiséget is, elég nagyot ahhoz hogy a cégnek fájjon is.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.12. 01:56:23

@CoolKoon: miből gondolod, hogy leszarják? Elég rég kiszálltam a területről, de amíg ott dolgoztam... maradjunk annyiban, hogy nem szarták le, max. a téma érzékenysége miatt nem volt visszajelzés.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.12. 02:29:47

@CoolKoon: kurvajó... már sokadjára fordul elő, hogy gépelek egy félórát és hirtelen minden ok nélkül eltűnik az egész.
Az előző mobillal nem volt ilyen gond...

Megpróbálom újra: azzal nem értek egyet, hogy ne lenne értelme "valós időben" monitorozni a forgalmat.
Megfelelő szoftverrel azért bizonyos dolgokat elég jól ki lehet szűrni.
Sőt... Igaz, ez a saját hálómon történt, de ilyesmiből született rendőrségi feljelentés is. :D
Feltűnt, hogy kissé gyakorivá vált pár dél-amerikai cím felkeresése, miközben tudtam, hogy szándékosan nem járok arra és látszott a logokból, hogy egy elég jól behatárolható időszakra esett a forgalom indulása abba az irányba. A szolgáltató javasolta, hogy tegyek feljelentést arra az esetre, ha törvénysértő dologra használná valaki a hálózatomat, hogy legalább nyoma legyen a hackelésnek.
Pár nappal később persze kiderült, hogy egy régóta használt tool közelmúltban telepített új verziója pofázik valamit "haza". Azóta se tudom, hogy telemetria, valami benne felejtett, fixen beírt cím vagy tényleg malware volt, az biztos, hogy egy szimpla uninstall után megszűnt a gyanús forgalom. (Visszaraktan, újra kezdődött, úgyhogy repült az egész)
Viszont ez csak akkor feltűnő, ha gépenként lehet elemezni a forgalmat és nem valami népszerű felhős szolgáltatást használ a szivárogtató malware...

CoolKoon 2021.09.12. 11:44:53

@Le a spammerekkel: "A szolgáltató javasolta, hogy tegyek feljelentést" - Muhahahaha már látom hogy a hazai rend őrei hogy fognak dél-amerikai szarfészkekben drogkartellek által üzemeltetett rendszerek IP címei után kutakodni meg érdeklődni :D

"Viszont ez csak akkor feltűnő, ha gépenként lehet elemezni a forgalmat" - Pontosan. Ez max. egy tízfős cégnél járható út, ennél fölfelé már nagyon is nyomós oknak kell lennie ahhoz, hogy "rádolgozzanak" a hálózati adaforgalomra. Mellesleg ha már itt tartunk igen, van még egy kategória, ahol nagyon figyelik a hálózati forgalmat: az olyan cégeknél, ahol az internetezési szokások miatt boszorkányüldözést folytatnak. Viszont ilyen cégeknél nem jó dolgozni, és igazából ezek általában magasan tesznek az IT biztonságra, a forgalom figyelését csak az alkalmazottak sanyargatására használják.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.12. 12:17:24

@CoolKoon: ugye te a fidesz IT-s "szakembereinek" sorát gyengíted? Remélem, ennyire buta alakokat máshol nem találni...
Az egy dolog, hogy rendünk őrei kb annyira voltak képben,mint te, de ugye az esetleges feltörés esetén arra kell a feljelentés, hogy a saját seggem valamennyire fedezve legyen, ha valóban betört valaki a hálózatra és bűncselekmény végrehajtásához használta.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.12. 12:21:30

@CoolKoon: többezres cégnél is működik ilyen felügyelet, nem csak home lan esetében. Csak ott már szoftver riaszt. A riasztásokat kell humán erőforrásnak kezelnie. Egyelőre.

CoolKoon 2021.09.12. 13:31:08

@Le a spammerekkel: "ugye te a fidesz IT-s "szakembereinek" sorát gyengíted?" - Idióta....a Fidesz IT "szakemberei" olyan cégekben ülnek, mint a Tré-Systems meg a Telekom, de ahogy így elnézlek, téged is onnan szalajthattak...

"Az egy dolog, hogy rendünk őrei kb annyira voltak képben,mint te" - lol na pont erről beszéltem...

"arra kell a feljelentés, hogy a saját seggem valamennyire fedezve legyen" - Érdekes, nálunk is volt gyanús forgalom, aztán mégsem lett belőle feljelentés. Az egyik kollégának a telefonján "rakoncátlankodott" valami szar. Visszarakta az egészet gyári beállításokra és annyi. A feljelentés sokkal gyanúsabb forgalomnál szokás csak, de hát te tudod. Végül is rájöttél erre magad is, miután elmentél a rendőrségre és elámultál a magas szintű technikai tudásuktól :D

"többezres cégnél is működik ilyen felügyelet, nem csak home lan esetében" - Igen, a fenti okokból (=az alkalmazottak figyelése érdekében). Aztán ezenek az adatoknak a felhasználásával szűrik a céges internet-hozzáférést valami eszement módon. A kimenő oldalon lévő anomáliák figyelését végző rendszerek pedig szerintem csak nagyon-nagyon feltűnő dolgok esetén riasztanak, mivel kisebb gyanús forgalmat egyszerűen nincs esélyük kiszűrni, és bárki bármit is állít, a DPI se csodaszer, az is igazából csak az alkalmazottak nyaggatására jó.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.12. 14:27:01

@CoolKoon: szóval tényleg fidesznyik "szakember" vagy. Bizonyítéknak ennyi elég is. :D

Ajánlott bejegyzések:

Kommentek: