Zsarolóvírusok: nem érdemes fizetni

A zsarolóvírus-támadások nem érnek véget a váltságdíj kifizetésével. Az incidens azonnali kezelésétől az elhúzódó üzleti helyreállításig óriási kár érheti az egyes szervezeteket, amelyeknek gyakran csak néhány órájuk van súlyos döntéseket meghozni. A kiberbiztonsági területen iparágvezető BlueVoyant hatodik alkalommal csatlakozott az Európai Unió Kiberbiztonsági Ügynökségének tudatos internethasználatot hirdető kampányához, amelynek apropóján összefoglalta, mit kell tudni az egyik legveszélyesebb kiberbűnözési formáról, a zsarolóvírusról.

A ransomware támadások száma meredeken növekszik, az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) jelentése szerint 2021 májusa és 2022 júniusa között havonta mintegy 10 terabájt adatot loptak el a zsarolóvírusokkal támadó szereplők, amely a munkavállalók személyes adatait is tartalmazta. Magyarországon szintén számos olyan cég van, amely célpontja volt már hasonló támadásnak és a számuk folyamatosan nő. Sem méretben, sem szektorok szerint nincs kivétel – bármely szervezetet érinthetnek a többnyire külföldről induló támadáshullámok. Kétségtelen azonban, hogy a bankszektor az egyik legkedveltebb célpont, ám a szabályozói környezet és a magas pénzügyi kockázatok miatt ez az ágazat az átlagnál felkészültebb a támadások ellen.

A zsarolóvírus-támadások megbéníthatják az üzlet működését, az ilyen incidensek kezelésére azonban sok vállalat továbbra sem készült fel, figyelmeztet idei jelentésében (Unintended Consequences of Ransomware) a BlueVoyant.

Kiberbűnözés mint szolgáltatás

Három éve a Maze zsarolóvírus mögött álló szereplők egy weboldalon közzétették nem vagy túl későn fizető áldozataik adatait. Az első szivárogtató oldal után újabbak jöttek, a kettős zsarolás gyakorlata pedig széles körben elterjedt. A nagyobb esetekről a média is beszámolt, de a hangzatos szalagcímek alatt alig esett szó a lebukott zsarolók büntetéséről. A kiberbűnözők és kódkalandorok új lehetőséget ismertek fel.

Hirtelen felívelt a ransomware-eszközök iránti kereslet, amire a kiberalvilág új modell bevezetésével válaszolt. A támadások technológiai összetettségét elfedő cybercrime-as-a-service (CaaS) használatra kész eszközöket – például trójai és zsarolóvírusokat, robothálózatokat – kínál szolgáltatásként a kiberbűnözőknek, akik így sokkal könnyebben indíthatnak támadásokat. Ez a modell nemcsak a belépési küszöböt helyezte alacsonyra, hanem a zsarolóvírussal támadók azonosítását is megnehezítette.

Áldozatok és következmények

Minden támadás egyedi, ugyanakkor mindegyikük megbéníthatja a vállalatok működését, ha nincsenek rá felkészülve. Az áldozatul esett szervezetek nemcsak egy esetleges leállással néznek szembe, hanem jóhírnevük is csorbát szenved, amit akár perköltségek is tetézhetnek.

„Az, hogy egy vállalatot mekkora kár ér, a kiberbiztonsági ellenállóképességétől függ – mondta el Egyed Péter, a BlueVoyant európai biztonsági műveleti központjának (SOC) vezetője. – Képes -e detektálni egy támadást a korai fázisában? Megteszi-e a megfelelő védelmi intézkedéseket? Rendelkezik-e olyan technológiákkal, személyzettel és tapasztalattal, amelyek effektíven redukálják az intézkedésekhez szükséges időt és ezzel a támadással járó kockázatokat? Vagy - csak hogy a legalapvetőbbet említsük - rendelkezik -e offline mentésekkel, amiket képes gyorsan és hatékonyan visszatölteni, ha már bekövetkezett a baj?”

Zsarolóvírus-támadásra válaszolva az első 72 óra kritikus, ezért a gyors intézkedéshez a szervezeteknek egy sor fontos döntést kell meghozniuk. Közülük az egyik legnagyobb, hogy fizessenek-e a bűnözőknek.

„A követelt váltságdíj összege általában néhány ezer és néhány tízezer dollár értékű sávban szokott mozogni. Ma már minden esetben kizárólag kriptovalutában (azon belül bitcoinban) várják a fizetést a bűnözők” – mondta Halász Viktor rendőr százados, a Készenléti Rendőrség Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztály szakértője.

Az ENISA szerint az incidensek 94,2 százalékáról nem tudjuk, hogy a vállalat kifizette-e a váltságdíjat vagy sem. A támadók pedig az esetek közel 37 százalékában fedik fel és teszik elérhetővé weboldalaikon a nem fizető áldozatok adatait.

„Semmi sem garantálja, hogy a zsarolásnak engedő szervezetek megváltják magukat. A váltságdíj kifizetése csak rövid távú megoldás, mivel a bűnözők egyre gyakrabban alkalmaznak kettős, akár hármas zsarolási technikákat áldozataikkal szemben. A vállalatoknak ezért azt tanácsoljuk, hogy fizetés helyett összpontosítsanak a gyors incidenskezelésre és a megelőzésre” – tette hozzá Egyed Péter.

Ezt Halász Viktor így egészíti ki: „Minden esetben azt javasoljuk a hozzánk forduló vállalatok képviselőinek, hogy ne fizessenek. Ezzel tökéletes célponttá teszik magukat későbbi támadásokhoz, hiszen bizonyítják, hogy hajlandóak és képesek is fizetni hasonló esetekben. Az adatok visszaszerzése időnként fizetés nélkül is lehetséges, az egyéb fenyegetéseket (így az adatok nyilvánosságra hozatalát) pedig sokszor nem váltják be az elkövetők, hiszen ebből közvetlen hasznuk már nem származik.”

Incidenskezelés öt lépésben

Bár a hatékony kibervédelem jelentősebb összegbe kerül, akár egy vállalat éves IT költségvetésének 20-40 százaléka is lehet, ma már nem éri meg kockáztatni. Átfogó incidenskezeléshez pedig a BlueVoyant a következő öt intézkedést tanácsolja minden szervezetnek:

Dolgozzanak ki útmutatást az incidensek kezeléséhez, beleértve az esemény dokumentálására, valamint a belső és külső kommunikációra vonatkozó lépéseket is.

Monitorozzák a hálózati forgalmat a rosszindulatú tevékenységre utaló jeleket észlelő rendszerrel, akár maguk vezetnek be ilyen eszközöket, akár nyilvános fenyegetésintelligenciára támaszkodnak vagy menedzselt biztonsági szolgáltatást vesznek igénybe.

Készítsenek tervet az elszigeteléshez, amely korlátozza a támadás terjedését, ezáltal az okozott kár mértékét is.

Dolgozzák ki a következmény-felszámolás folyamatát, amely az első válaszadás után a támadási felület felmérésétől a behatolási pont azonosításáig ível.

Végül állítsák helyre a működést, de már megerősített kibervédelem – biztonságosabb jelszavak, többlépcsős azonosítás és telepített szoftverfrissítések – mellett.

Képezzék továbbá rendszeresen munkavállalóikat is, hiszen a kiberbűnözők sokszor az emberi hiszékenységre, figyelmetlenségre alapoznak. Jó, ha az adathalász-támadások (phishing) ellen is rendszeres tesztelést és oktatást végeznek, a zsarolóvírusokat bevető támadók ugyanis gyakran rosszindulatú kódot rejtő linkek vagy mellékletek küldésével tévesztik meg az alkalmazottakat, akik így egy kattintással elárulhatják vállalati fiókjuk azonosítóit.