A 2021-ben kivizsgált biztonsági incidensek csaknem fele zsarolóvírusokhoz köthető – derül ki a Kaspersky adataiból.
Incidenselhárítás alatt azt értjük, amikor a vállalatok egy rendszerfeltörést követően egy speciális csapathoz fordulnak a kár mérséklése és a támadás terjedésének megelőzése céljából. A Kasperskynél az incidenselhárítást a Globális vészhelyzet-elhárító csapat (GERT) végzi; ezt a szolgáltatást a közép- és nagyvállalatok számára tartják fenn. A 2021. januártól novemberig terjedő időszakban a GERT által kezelt csaknem minden második biztonsági incidens (az összes incidenselhárítási kérés csaknem 50%-a) zsarolóvírusokhoz volt köthető, ami majdnem 12 százalékpontos emelkedést jelent a 2020-as évhez viszonyítva. Többek között ez az egyik legfontosabb megállapítása a Kaspersky „Az év sztorija: zsarolóvírusok a címlapokon” című kiadványának. A vállalat éves Security Bulletin sorozatának részeként megjelenő 2021-es Az év sztorija kiadvány a zsarolóvírusok jelenlegi helyzetét és a 2022-ben várható fejleményeket vizsgálja.
Ha kiberbiztonságról van szó, akkor a zsarolóvírus vitathatatlanul elviszi a pálmát az év sztorijaként, olyan témákat utasítva maga mögé, mint a gázvezetékek és az állami egészségügyi szolgáltatások. A zsarolóvírusok működtetői finomítottak az arzenáljukon, és most már inkább a nagyméretű szervezetek elleni kevesebb számú támadásra fókuszálnak. Emellett egy egész földalatti ökoszisztéma is megjelent a zsarolóvírusokkal támadó hekkercsoportok erőfeszítéseinek támogatására.
A 2021-es év első 11 hónapjában a Kaspersky GERT csapata által feldolgozott, zsarolóvírusokhoz köthető incidenselhárítási kérések 46,7%-ot tettek ki, ami elég jelentős ugrás a 2020-ban regisztrált 37,9%-ról, valamint a 2019-ben mért 34%-ról.
A leggyakoribb célpontok a kormányzati és az ipari szektorban működő szereplők voltak; a két szektor ellen irányuló támadások összességében csaknem 50%-át adták az összes zsarolóvírushoz kapcsolódó incidenselhárítási kérésnek a 2021-es évben. Az informatikai vállalatok és a pénzintézetek is a népszerű célpontok közé tartoztak.
Azzal párhuzamosan azonban, hogy a zsarolóvírusok működtetői átálltak a nagyobb összegű váltságdíjak követelésére és a jelentősebb, ismertebb célpontok támadására, növekvő nyomás nehezedik rájuk a politikusok és a rendvédelmi szervek részéről, ezért aztán kritikusan fontos a támadások hatékonyságának növelése. Ennek kapcsán a Kaspersky szakemberei két fontos trendet emelnek ki, amelyek véleményük szerint népszerűek lesznek majd 2022-ben. Először is, a zsarolóvírusokkal támadó csoportok valószínűleg gyakrabban hozzák majd létre a zsarolóvírus Linux buildjét a támadási felületük maximalizálásához, mint ahogy azt már a RansomExx és a DarkSide csoportoknál is láthattuk. A támadók továbbá nagyobb hangsúlyt helyeznek majd a „pénzügyi zsarolásokra”. Ilyen esetekben a támadók azzal fenyegetőznek, hogy információkat szivárogtatnak ki a kritikus pénzügyi eseményeken keresztülmenő (például fúzióra, akvizícióra vagy tőzsdére készülő) vállalatokról a részvényáraik alulértékelése céljából. Ha egy vállalat ilyen sebezhető pénzügyi helyzetben van, akkor nagyobb valószínűséggel fizeti ki a váltságdíjat.
„2020-ban kezdtünk el az úgynevezett „Ransomware 2.0-ról” beszélni, és most, 2021-ben azt látjuk, hogy teljes gőzzel robog felénk a zsarolóvírusok új korszaka. A zsarolóvírusok működtetői nem elégszenek meg az adatok titkosításával, hanem ellopják őket a kritikus fontosságú, jelentős célpontoktól, és azzal fenyegetőznek, hogy nyilvánosságra hozzák az információkat, ha az áldozatok nem fizetnek. Ráadásul a Ransomware 2.0 még a következő évben is velünk marad” – mondta Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
„Ugyanakkor most, hogy a zsarolóvírusok a címlapokra kerültek, a rendvédelmi szervek keményen dolgoznak a termékeny csoportok megbuktatásán, mint ahogy ez a DarkSide-dal és a REvillel is történt az idén. E csoportok életciklusa rövidül, ami azt jelenti, hogy 2022-ben finomítaniuk kell a taktikáikon, hogy jövedelmező legyen a működésük, különösen akkor, ha egyes kormányok illegálissá teszik a váltságdíjfizetést – amiről már tárgyalnak is” – tette hozzá Fjodor Szinicin, a Kaspersky biztonsági szakértője.
A Kaspersky szakértői a következőket javasolják a vállalatoknak a zsarolóvírusok elleni védekezéshez:
Ne engedélyezzék a távoli asztal szolgáltatások (pl. RDP) nyilvános hálózatokon való működését, kivéve, ha mindenképpen szükséges, és mindig használjanak erős jelszavakat hozzájuk.
Haladéktalanul telepítsék a javításokat azokhoz a kereskedelemben kapható VPN-megoldásokhoz, amelyek a távol lévő alkalmazottakhoz biztosítanak hozzáférést és átjáróként működnek a hálózatban.
Mindig tartsák naprakészen a szoftvereket az általuk használt összes eszközön, hogy a zsarolóvírusok ne tudják kiaknázni a sérülékenységeket.
A védelmi stratégiájukat az oldalirányú mozgások és az adatok internetre való kikerülésének észlelésére összpontosítsák. Fordítsanak fokozott figyelmet a kimenő forgalomra, hogy észlelni tudják a kiberbűnözők kapcsolatait. Rendszeresen készítsenek biztonsági mentést az adatokról. Gondoskodjanak arról, hogy szükség esetén vészhelyzetben is gyorsan hozzájuk lehessen férni. Használják fel a legfrissebb fenyegetéselemzési információkat, hogy tisztában legyenek a támadók által aktuálisan alkalmazott taktikákkal, technikákkal és eljárásokkal.
Használjanak olyan megoldásokat, mint a Kaspersky Endpoint Detection and Response és a Kaspersky Managed Detection and Response szolgáltatás, amelyek segítenek a támadások korai szakaszban történő azonosításában és megállításában, még mielőtt a támadók elérhetnék a végcéljukat.
A vállalati környezet védelme érdekében részesítsék oktatásban az alkalmazottakat. Ebben segítséget nyújthatnak a célzott képzések, mint például a Kaspersky Automated Security Awareness Platformján kínáltak. Egy zsarolóvírusos támadások elleni védekezést bemutató ingyenes lecke itt érhető el.
Használjanak megbízható végpontvédelmi megoldást, mint például a Kaspersky Endpoint Security for Business szoftvert, amely az exploit-megelőző és a viselkedés-elemző funkció mellett a kártékony műveleteket visszafordítani képes helyreállító motorral is rendelkezik. A szoftver olyan önvédelmi mechanizmussal is rendelkezik, amely meggátolja, hogy a kiberbűnözők eltávolítsák.
