Mik azok a vállalati zsarolóvírusok?

A kutatások szerint a vállalatok 51 százalékát érte zsarolóvírusos támadás 2020-ban. A három évvel korábban végzett kutatáshoz képest ez 3 százalékpontos csökkenést jelent. A csökkenés azonban nem jelenti azt, hogy a vállalatok kisebb veszélynek néznek elé. 2017-ben a támadások többsége automatizált, tömeges támadás volt, míg 2020-ban a szerver alapú támadások váltak jellemzővé. 
A széles körben terjedő, bárkit megfertőző támadásokkal szemben a bűnözők célzottabb, fókuszáltabb és nagyobb megtérüléssel biztató támadásokra tértek át. A célzott támadásokat jobban elő kell készíteni, több odafigyelést és manuális munkát igényelnek, viszont sokkal nagyobb haszonnal járhatnak. A célkeresztbe ugyanis a fizetőképes vállalatok és azok adatai kerültek.

Használt támadási technikák

A kutatás szerint a zsarolóvírusos támadási technikák eléggé megoszlanak. A támadók több eszközt is használnak, általában egy kihasználható sérülékenység mentén próbálkoznak. Ha az egyik támadási technika csődöt mond, akkor veszik a másodikat, harmadikat, amíg találnak egy gyenge pontot.

Használt támadási technikák:
Fájl letöltése/email fertőzött hivatkozással 29%
Távoli támadás szerveren 21%
Email kártevő csatolmánnyal 16%
Félrekonfigurált nyilvános felhő infrastruktúrán keresztül 9%
Remote Desktop Protcol (RDP) segítségével 9%
A szervezeten belüli alvállalkozón keresztül 9%
USB, hordozható médián keresztül 7%

Rekordmagas váltságdíjak

Már tavaly is rekordokat döntögető évet hagytunk magunk mögött, ami a zsarolóvírusos támadásokra kifizetett váltságdíjakat illeti, de idén már látszik, hogy mindez csak a kezdet volt. A Sophos kutatása szerint 2020-ban egy átlagos váltságdíj elérte a 170 404 dollárt (kb. 50 millió forintot). Noha ennél is nagyobb összegeket kértek a támadók, a vállalatok nem minden esetben fizették ki az orbitális váltságdíjat, a tavaly kifizetett legnagyobb összeg 3,2 millió dollár (950 millió forint) volt.

Az idén ezeket a rekordokat már megdöntöttük. Az átlagos váltságdíjat ugyan még nem tudjuk kiszámolni, azonban látjuk, hogy háromszorozódott a maximális, 3,2 millió dolláros összeg. Például a JBS húsfeldolgozó multinacionális vállalat júniusban elismerte, hogy 11 millió dollárt (3,1 milliárd forintot) fizetett váltságdíjként az orosz hátterű REvil csoportnak. A REvil egy szolgáltatásként igénybe vehető zsarolóvírus, mely nemcsak titkosítja az adatokat, hanem előtte ellopja a bizalmas információkat, és azok kiszivárogtatásával is kényszeríti áldozatait a fizetésre.

Előtte egy hónappal a benzinkutakat üzemeltető Colonial Pipeline fizetett ki 75 bitcoin váltságdíjat (ami 4,4 millió dollárnak felelt meg akkor, azaz körülbelül 1,2 milliárd forintot fizettek ki). A bitcoin nyomait felkutatva az amerikai hatóságoknak sikerült ennek a pénznek egy részét, 2,3 millió dollárt visszaszerezni, így szerencsére a veszteség feleződött.

Mitől lesz vállalati egy zsarolóvírus? 

A vállalati zsarolóvírus a támadás több pontján is különbözik a tömeges zsarolóvírusoktól. 

A támadás célpontja

A vállalati zsarolóvírus tipikusan egy olyan közepes vagy nagy méretű vállalatot támad meg, melyben látja a támadás gazdasági megtérülésének potenciálját. Általában olyan adatgazdag vállalatokról van szó, akik vállalati tevékenységük az adatok köré összpontosul. Ilyen például a fogyasztói szokásokat elemző vállalatok, a városi forgalom adatain alapuló cégek, az egészségügyi adatokkal foglalkozó szervezetek, az állampolgárok adatait kezelő és feldolgozó kormányzati szervezetek, hogy csak pár példát említsünk.

A támadási módszer

A remélt gazdasági haszon motiválttá teszi a támadókat, hogy nem automatizált eszközöket, hanem manuális támadásokat használjanak. Nagyon gyakran egy, a vállalat valamely alkalmazottját célzó csali weboldalt építenek meg, ahonnan a támadást elindító exploit a felhasználó tudta nélkül letöltődik a kiszemelt számítógépre. 

Az adathalász támadások esetében kimunkált, alaposan előkészített e-mailekben érkezik a fertőzött csatolmány, így maximalizálva annak kinyitási lehetőségét. Bár nem gyakori, az is előfordult, hogy a támadás szervezetten, vállalati szintű fegyelemmel, több szakértő bevonásával történik.

A terjesztési módszer

Vállalati környezetben a zsarolóvírust hordozó kártevő mindaddig rejtve marad a hálózaton belül, míg a maximális számú végpontokat nem fertőzték meg a támadók. A zsarolóvírus terjesztése tehát ellenőrzött, admin eszközök segítségével történik. 

A támadás időzítése

A vállalati zsarolóvírusos támadás indítását maximális hatás elérésére időzítik. A belépési azonosítók megszerzése vagy a hálózatba történő bejutás után a támadók hosszabb ideig rejtve maradnak, például várnak egy olyan időszakra, amikor egy állami vagy egyházi ünnep miatt az alkalmazottak többsége szabadságon van. A felügyelet nélküli vagy a felületes felügyeletű vállalati hálózatokban jut idő a hálózat felfedezésére, a támadás alapos előkészítésére.

Dupla zsarolás

Úgy tűnik, a vállalatok tanultak a múlt hibáiból, és egyre többen készítenek adataikról biztonsági másolatot, melynek egy zsarolóvírusos támadás nem árthat. Így egy sikeres támadás esetében a vállalatnak van honnan visszaállítania adatait, és nem kényszerül a váltságdíj megfizetésére, szóba sem áll a támadókkal.
Igen ám, de emiatt a zsarolóvírusos támadók is változtattak taktikájukon, és sok esetben azzal is zsarolják a vállalatokat, hogy a tőlük megszerzett adatokat nyilvánosságra hozzák. Így a megtámadott cégek alkudozni kényszerülhetnek a támadókkal, még olyankor is, ha egyébként adataikat sikeresen visszaállították.

Üres ígéretért fizetni nem jó befektetés

A Coveware vállalat (a biztonsági cég a zsarolóvírusos támadások következményeinek felszámolásában segít) adatai szerint a zsarolóvírusos esetek közel felében a támadók azzal fenyegetőznek, hogy a megszerzett adatokat nyilvánosságra hozzák. Azonban egy üres ígéretért fizetni nem igazán megtérülő befektetés.
Gyakran előfordul, hogy miután a vállalat elküldte a váltságdíjat, a támadók nem törlik az adatokat, hanem egy második zsaroláshoz használják, hiszen egyszer már sikerrel jártak.

A biztonsági vállalat szakértői három gyakori forgatókönyvvel találkoztak:
• A megszerzett adatokat a támadó nem törli, hanem eladja egy másik támadónak vagy megtartja magának, ilyenkor újabb zsarolásra számíthat az áldozat.
• Az ellopott adathoz többen hozzáférhettek, mivel azokat nem tárolták biztonságosan. A támadó hitelt érdemlően törli az adatokat a váltságdíj megérkezése után, ám a többi bűnöző, aki hozzáfért azt adathoz, készített róla másolatot, hogy újabb zsaroláshoz használják.
• Az adatokat véletlenül vagy szándékosan nyilvánosan elérhetővé tették az interneten, még azelőtt, hogy az áldozat érdemben hozzászólt volna a kérdéshez.

A vállalatok a váltságdíjat csupán egy hiú reményért cserébe fizetik ki, azt gondolják, adataik nem kerülnek nyilvánosságra, és esetleg a biztonsági incidens is rejtve maradhat a nyilvánosság elől. Azonban egy jelentésköteles biztonsági eseményről van szó, mely válságkezelésért kiált. Az adatok és a támadás ténye előbb vagy utóbb ugyanis nyilvánosságra került, a titkolózással járó reputációs veszteséget érdemes megelőzni.

DDoS-támadás

Az adatok nyilvánosságra hozatalával való fenyegetőzés mellett a zsarolóvírus-támadásban az is előfordulhat, hogy a bűnözők egy újabb taktikával, a DDoS-támadással kényszerítik ki a váltságdíjat. A DDoS (Distributed Denial of Service) támadásban a bűnözők egyszerre rengeteg megfertőzött eszközről és gépről intéznek kérést az adott vállalat weboldalához. Egy idő után a weboldal nem képes kiszolgálni a megnövekedett számú felhasználót, és az a legitim látogatók számára használhatatlanná válik. A szolgáltatás kiesése pedig komoly pénzügyi veszteséget jelent.

Így védekezhetünk a zsarolóvírus ellen

Rengeteg technológiai megoldás létezik, mely hatásosan megvédi vállalatunkat a zsarolóvírusos támadástól. Egy vállalati tűzfal, az Intrusion Prevention System (IPS - behatolásvédelem), a sandboxing technológia, a végpontok és szerverek védelme, zsarolóvírus-ellenes megoldások stb. 
Legyünk tudatában annak, hogy vállalatunkat bármikor érheti zsarolóvírusos támadás, csak idő kérdése. Ennek megfelelően tervezzük meg kibervédelmünket, mely legyen réteges, hogy bármely használt támadási technikát sikeresen tudjuk hárítani.
A hálózati szegmentáció a legjobb kialakítás tűzfalvédelem szempontjából. A LAN-t kisebb, elszigetelt szegmensekbe vagy VLAN-ba szegmentáljuk, melyek egyenként biztonságosak és a tűzfal köti őket össze. Ezentúl megfelelő IPS-szabályok felállításával a LAN szegmenseken áthaladó forgalmat tudjuk ellenőrizni, így meg tudjuk akadályozni az exploitok, férgek, botok LAN szegmensek közötti terjedését.

A Remote Desktop Protokoll a támadók kedvenc eszköze a zsarolóvírusok oldalsó terjeszkedéséhez szerverekre, végpontokra. Ha az RDP-protokollt a tűzfallal ellenőrzésünk alatt tartjuk, vagyis csak a megfelelő VPN kapcsolaton érkező fehérlistás IP címről érkező forgalom juthat be, akkor nem lehet probléma. Ha más, távoli menedzsment eszközöket is használunk, akkor azokat is csak megfelelő védelem mellett tegyük, legyen kötelező a VPN kapcsolat és vagy a fehérlistás IP címek.

A vállalati zsarolóvírusos támadások ellen nem csak az irodai órákban kell védekeznünk. A támadások legtöbbször akkor válnak láthatóvá, amikor kevesen tartózkodnak az irodában, vagy épp egy hosszabb munkaszünet van. A támadási ablak csökkentése érdekében érdemes állandóan, napi 24 órában felügyelni és monitorozni hálózatunkat, akár egy menedzselt hálózati monitorozó szolgáltatás segítségével. Dolgozzunk ki incidens válaszadási forgatókönyvet, hogy ne érjen meglepetésként egyetlen támadás sem. A forgatókönyvben foglaltakat rendszeresen frissítsük és gyakoroltassuk alkalmazottjainkkal.

Készítsünk biztonsági mentést, tároljuk offline is! Rendszeresen mentsük adatainkat, hiszen a fontos dokumentumokat, fájlokat nem csak egy zsarolóvírusos támadás teheti elérhetetlenné, elveszíthetjük az adathordozót, véletlenül töröljük őket. 

A biztonsági mentésből egy példányt tároljunk titkosítva, offline és az irodán kívül egyaránt. Ha a felhőt használjuk biztonsági mentésre, akkor a felhő megfelelő védelméről is gondoskodjunk.

Oktassuk az alkalmazottakat! 

A tudás a legnagyobb ellenszere a zsarolóvírusos támadásoknak. Ha alkalmazottjaink képesek egy adathalász levelet felismerni, akkor egyszerűen nem kattintanak a kártevőt tartalmazó csatolmányra. Szimulált támadások, rendszeres oktatások segítségével proaktívan növelhetjük vállalatunk biztonsági szintjét.