Cím: Budapest, X. Maglódi út 16.      I        Tel: +3612215419       I       E-mail: 5n-kft@5n.hu

Kategória: Szakmai cikkek

A zsarolóvírusok

(ransomware)

A digitalizáció ma már szinte a teljes vállalati szektorban jelen van Magyarországon, az internet-hozzáféréssel rendelkező vállalkozások aránya közel 100%-os, de a magyar KKV-k digitális fejlettsége összességében nem változott jelentősen 2021 óta. Ez annak tudható be, hogy a koronavírus első hulláma alatti lezárások számos cégnél nem várt beruházásokat igényeltek, hogy a dolgozók otthonról is tudjanak dolgozni. Ez után a kényszerű digitális ugrás után viszont a legtöbb cég nem hajtott végre további informatikai beruházásokat, különösen a hálózatukat és a kíbervédelmet illetően. 

Ez azért okoz problémát, mert a digitális „fejlődés” mindeközben nem állt meg. Az infótechnikai szolgáltatók és fejlesztők egyöntetűen kiemelik egy „új” kockázati tényező megjelenését: a már korábban is dollármilliárdos veszteséget okozó ransomware (zsaroló vírusok) terjedése és fejlődése a legóvatosabb becslések szerint is következő években 10x méretet ölthet. 

 

Mi is az a zsarolóvírus?

A zsarolóvírusok két fő típusa: a titkosító-, és a zároló zsarolóvírusok, melyek célja, hogy váltságdíj ellenében titkosítsák vagy zárolják az áldozat eszközét (számítógépek, telefonok, hálózati meghajtók, felhős tárhelyek, vagy teljes vállalati hálózatok). 

Titkosító (crypto-zsaroló) vírusok:

A vírus titkosítja az áldozat bizalmas adatait vagy fájljait, így az illető csak akkor férhet hozzájuk, ha kifizeti a kért váltságdíjat. Miután fizetett az áldozat, kap egy titkosítási kulcsot, hogy hozzáférhessen a fájlokhoz vagy az adatokhoz. (Ez nem minden esetben történik meg). A fizetést választó cégek adatbázisainak 20%-a a kifizetést követően sem volt helyreállítható. Ennek a titkosító ransomware-nek továbbfejlesztett verziója, amikor az érzékeny üzleti, vagy személyes adatok nyilvánosságra hozatalával is fenyeget a vírus, melynek hatására a legtöbben akkor is fizetnek, ha rendelkeznek biztonsági másolatokkal és lenne honnan visszatölteni az adatokat. 

Zároló zsarolóvírusok:

Zároló zsarolóvírus használata esetén a támadó kizárja az áldozatot a saját eszközéről, a képernyőn megjelenik a váltságdíj fizetési felszólítás, és a kifizetési utasítások. Ezek a zsarolóvírusok rendszerint nem alkalmaz titkosítást, így ha az áldozat visszaszerzi a hozzáférést az eszközéhez, megmaradnak a fájljai és adatai.

Vállalati zsarolóvírusok:

A zsarolóvírusok újabb generációja a „vállalati zsarolóvírus”, mely célzott és kitartó támadást hajt végre a vállalati hálózat ellen. A vállalati zsarolóvírust többféle támadási technika segítségével juttatják be a szervezet hálózatába, ahol a maximális hatás elérése érdekében a támadók gyakran türelmesen kivárnak. Míg 2017-ben a támadások többsége automatizált, tömeges támadás volt, 2020-ra a szerver alapú támadások váltak jellemzővé. Kutatások szerint a vállalatok 51 százalékát érte zsarolóvírusos támadás 2020-ban. Ezek célzottabb, fókuszáltabb és nagyobb megtérüléssel járó támadások, melyek célkeresztjébe a fizetőképes vállalatok és azok adatai kerültek. A támadás célpontjai jellemzően olyan vállalatok, melyek tevékenysége érzékeny adatok köré összpontosul: egészségügyi szolgáltatók, adatkezelő és feldolgozó kormányzati szervek, önkormányzatok, fogyasztói szokásokat elemző cégek. 

 

Használt támadási módszerek

A vállalati zsarolóvírusok esetében sokkal kifinomultabb, összehangolt manuális támadások zajlanak, egyszerre akár 2-3 vonalon, szemben az automatizált tömeges támadásokkal. És itt jön be a rengetegszer emlegetett „leggyengébb láncszem” effektus: nagyon sok esetben a vállalat valamelyik alkalmazottját célzó, csali weboldalt építenek meg, ahonnan a támadást elindító kód (exploit) letöltődik az alkalmazott gépére. A másik leggyakoribb támadási módszer az e-mailekben, fertőzött csatolmányokon keresztül behatoló kártevő.

A zsarolóvírust hordozó exploit* mindaddig rejtve marad a rendszeren belül, míg a maximális számú végpontot meg nem fertőzte. Ez lehet olyan hosszú idő is, mely túlmutat a biztonsági mentések (backupok) átlagos őrzési idején, ezzel biztosítva, hogy visszatöltéskor se lehessen a vírustól szabadulni.

A támadás időzítésénél szintén a maximális hatásra törekszenek. A belépési azonosítók megszerzése és a hálózatba történő bejutás után úgy időzítik a támadást, hogy minél több idejük maradjon a hálózat feltérképezésére és a támadás előkészítésére: ilyenek a hosszabb ünnepek, vagy a szabadságolási időszakok.

 

Térjünk kicsit vissza a támadási módszerekhez és a leggyengébb láncszemhez!

Személyes véleményem, hogy Magyarországon kétségbeejtően alacsony a dolgozók infodigitális tudása, felkészültsége. Az okok vizsgálata most mellékes, de az ő képzésük és oktatásuk az internetes biztonság tekintetében hatalmas előrelépést jelentene a vírustámadások megelőzése érdekében. A másik kiemelt jelentőségű terület, mely a vállalatirányítás hatásköre: az alkalmazottak nagyon sok helyen a céges eszközöket, felhasználói fiókokat és hálózatot használják magáncélú levelezésre, böngészésre, a közösségi oldalak felkeresésére. Mert hiába rendelkezik a céges levelezőhálózat spamszűréssel, ha a dolgozók pld. a saját magánlevelezésüket a vállalati hálózatra kapcsolódott eszközön nyitják meg. 

Sajnos a legtöbb cég nem fordít erre kellő figyelmet. Nincsenek oktatások, és nincsenek beépített szűrések és korlátozások a rendszerekben, pedig egy csali oldal nagy valószínűséggel olyan oldalt fog replikálni, ami hatalmas akciókat ígér, színes, shoppingolós, bulvárhírekkel teli, az adott dolgozó vásárlási-érdeklődési preferenciáinak megfelelő témában. Ugye figyelnek? Kifejezetten az ő érdeklődési körének megfelelő témában... 

A zsarolóvírusok többszörös kártétele:

A ransomware-ek alapvető funkciója, hogy titkosítják az áldozat bizalmas adatait és fájljait, így az illető csak akkor férhet hozzájuk, ha kifizeti a kért váltságdíjat. Ezt felismerve egyre több cég épített ki biztonsági másolatokat tároló rendszereket, hogy egy támadás esetén legyen honnan visszaállítani az adatokat. Így elméletileg nem kényszerülnek a súlyos váltságdíjak megfizetésre. Emiatt a támadók is változtattak zsarolási technikájukon: hogy a fenyegetést a vállalatok igazán komolyan vegyék, az új módszer az adatok nyilvánosságra hozatalával, vagy eladásával zsarol. Így a vállalat mégis fizetni kényszerül. Azonban nincs rá garancia, hogy ha kifizetik a váltságdíjat, a tőlük megszerzett adatokat valóban törli a támadó és azok nem kerülnek illetéktelen kézbe, vagy nem használják –e fel egy későbbi zsaroláshoz. 

A zsarolóvírusos támadásokkal foglalkozó Coveware biztonsági cég szakértői szerint a három leggyakoribb eset egy támadás után: 

  • A megszerzett adatokat a támadó nem törli, hanem eladja egy másik támadónak vagy megtartja magának. 
  • Az ellopott adathoz többen hozzáférhettek, így a támadó hiába törli az adatokat a váltságdíj megérkezése után, a bűntársak másolatot készítetek róla és egy újabb zsaroláshoz használják azokat.
  • Az adatokat nyilvánosan elérhetővé tették az interneten, még azelőtt, hogy az áldozat reagált volna a váltságdíj fizetésre. Ezzel ugyan egy potenciális bevételi forrást elveszítenek, de a többi áldozat a pszichológiai nyomásgyakorlás hatására sokkal gyorsabban és magasabb százalékban fizet. 

A legújabb taktika a titkosítás és az adatok nyilvánosságra hozatala/eladása mellett (mindez egyidejűleg, egy zsaroló támadás során következik be), hogy a támadók egyszerre indítanak extrém magas számú kérést a cég weboldalához, nagyon sok fertőzött gépről és eszközökről. A weboldal egy idő után nem lesz képes kiszolgálni az extrém magas számú felhasználót és az ügyfelek számára is elérhetetlenné válik, ami a cégnek további pénzügyi veszteséget okoz. Ez a DDoS (Distributed Denial of Service) támadás. 

Ha egy támadás a váltságdíj kifizetésével elméletileg lezárult, a cégek sok esetben nem tájékoztatnak arról, hogy incidens történt, ami még súlyosabb következményekkel járhat, hiszen az ellopott adatok tulajdonosainak nincs tudomása arról, hogy adatai illetéktelen kezekbe kerülhettek. 

A zsarolóvírusok ellenszere a biztonsági mentés

A növekvő számú zsarolóvírus-támadásokra reagálva a szakértők hangsúlyozzák a redundáns biztonsági mentési megoldások fontosságát a vállalati IT rendszerekben. A statisztikák egyértelműen azt bizonyítják, hogy azok a cégek, akik nem rendelkeznek megfelelő védelmi vonallal (megfelelően kiépített és működtetett elhárító és mentési rendszer) súlyos anyagi károkat szenvedhetnek el. 

A felhőmegoldást használó vállalatoknak javasolják a soft-delete funkciók használatát, relatív hosszú megőrzési idővel. Nekik el kell gondolkozniuk alternatív megoldásokon is: egy 2024 márciusi cikkből kiderül, hogy a Citrix** felmérése szerint az elmúlt három évben az informatikai vezetők 93%-a vizsgálta meg, hogyan lehet egyes szolgáltatásokat a felhőből visszatelepíteni a saját, céges infrastruktúrába. A vállalatok azért tartják a hibrid megoldást hatékony módszernek, mert ezzel a felhőszolgáltatásokra fordított kiadások csökkenthetőek, miközben az IT rendszer teljesítménye és biztonsága javul.

 

 

A 2023 évre vonatkozó adatok között megtalálható, hogy a zsarolóvírus támadásoknak kitett cégek 93%-nál a vírus megpróbálta megsemmisíteni a mentési adatokat is. A fizetést választó cégek adatbázisainak 20%-a a kifizetést követően sem volt helyreállítható, a mentéssel rendelkező és nem fizető cégeknek pedig alig 13% tudta megmenteni az adatbázisát. Ennek oka abban rejlik, hogy napjainkban már nem az a kérdés, hogy egy cég rendelkezik-e mentéssel, hanem az, hogy a mentések olyan biztonsági elemekkel bővüljenek, melyek minden körülmények között megvédik az adatokat a megsemmisüléstől és a jogosulatlan felhasználástól. 

Magyarországon ezen a területen sem túl rózsás a helyzet. Nagyon sokan elmaradtak a fejlesztéssel. Tendenciaként kiemelhető, hogy a cégek közel 60%-a rövidtávú és költségtakarékos megoldásra törekszik; így az igazán költséghatékony (közép-, és hosszútávú fejlesztési célok és lehetőségek) háttérbe szorulnak, ami szemben áll azzal a kulcsfontosságú törekvéssel, hogy lépést tartsanak a technológia fejlődésével. Az a tapasztalatunk, hogy a vállalkozások döntő többsége nincs tisztában azzal, hogy a mentési rendszer hiánya milyen kiemelt kockázatot jelent a működésükre nézve. Nagyon sok vállalkozás semmilyen mentéssel nem rendelkezik, sokuk számára pedig a biztonsági mentés egy egyszerű átmeneti archiválási folyamatot takar. Ha szemléltetni akarjuk a folyamatot: mintha egy öreg, egérlakta szekrénybe betennénk a nyertes lottószelvényt, hogy majd később beváltjuk. Vagy a biztonság kedvéért ugyan készítenénk róla egy fénymásolatot, de ugyanennek a szekrénynek egy másik polcára tennénk. Ellenben, ha ugyanezt a szelvényt beszkenneljük (digitalizáljuk), több eszközön tároljuk és mellette az eredetit egy vaskazettában helyezzük a szekrénybe, már rendelkezünk több olyan biztonsági mentéssel, amik megakadályozzák a megsemmisülését.

Szabó Roxána - 2024
5N Kft©

 

*Az exploit informatikai biztonsági fogalom: forráskódban vagy bináris formában terjesztett szoftver vagy parancssorozat, amely alkalmas egy szoftverrendszer vagy hardver biztonsági résének, illetve hibájának kihasználására, így érve el a rendszer tervezője által nem várt viselkedést.

** A Citrix Systems, Inc. egy amerikai multinacionális felhőalapú számítástechnikai és virtualizációs technológiai vállalat, amely szerver-, alkalmazás- és asztali virtualizációt, hálózatépítést, szoftvereket szolgáltatásként, valamint számítási felhő technológiákat kínál.