Road

32_hacker_for_hire.jpg
Forrás: ITB
Nem az a kérdés, megzsarolnak-e, hanem az, hogy mikor

A vállalati zsarolóvírus tündöklése (és bukása)

Célzottan a vállalatokat támadják, személyre szabott váltságdíjat kérnek, és a maximális hatás elérése céljából időzítik a támadást – ezek a vállalati zsarolóvírusok legfőbb jellemzői. Csak idő kérdése, hogy szervezetünket mikor éri egy sikeres zsarolóvírus támadás. Réteges védekezéssel, oktatással és odafigyeléssel tudunk rájuk felkészülni.

A SamSam zsarolóvírus 2015-ben jelent meg, és a korábbi vírusokhoz képest egy kicsit másképp működött: válogatott a célpontok között, a közepes és nagy méretű vállalatoknál bukkant fel és okozott problémát. Abban is különbözött társaitól, hogy a váltságdíjat az adott szervezet pénztárcájára szabta. Úgy állapította meg, hogy az adatok helyreállítási költségeinél alacsonyabb, kifizethető legyen és arányos a vállalat vélt nyereségével. Abban is egyedi, hogy ezt senki sem tudta kibérelni, és miközben folyamatosan frissült, alkotói kihasználták az új sérülékenységeket, tovább gyorsan reagáltak a biztonsági vállalatok védekező mechanizmusaira.

2018-ban két iráni származású gyanúsított letartóztatásával ért véget a SamSam diadalmenete. Számítások szerint addig közel 6 millió dollárnyi (1,7 milliárd forintnyi) váltságdíjat gyűjtöttek össze, a legnagyobb tétel 64 ezer dollár volt. A vádirat szerint tevékenységükkel összesen 30 millió dolláros kárt okoztak a különböző vállalatoknak és szervezeteknek.

 

Mitől más a vállalati zsarolóvírus?

A SamSam példájára több olyan zsarolóvírus jelent meg, melyeket vállalatinak nevezhetünk. A „Sophos 2021 Threat Report” szerint a vállalatokat célzó zsarolóvírus-családok tovább finomítják és változtatják eszközeiket, technikáikat és eljárásaikat, komplexitásukban közelebb kerülnek az állami támogatású hekkercsoportokhoz. Ezek a családok nagyobb szervezeteket céloznak meg, magasabb váltságdíjat követelnek. 2020-ban ezen kártevők közé tartoztak a Ryuk és a RagnarLocker zsarolóvírusok.

Így jut be a zsarolóvírus a vállalati hálózatba
A válaszadók százalékában

Fájl letöltése/email fertőzött hivatkozással

29%

Távoli támadás szerveren

21%

Email kártevő csatolmánnyal

16%

Félrekonfigurált nyilvános felhő infrastruktúrán keresztül

 9%

Remote Desktop Protcol (RDP) segítségével

 9%

A szervezeten belüli alvállalkozón keresztül

 9%

USB-n, hordozható médián keresztül

 7%

Forrás: Sophos, The State of the Ransomware, 2020. május

A célponton kívül a használt támadási módszer is megkülönbözteti a vállalati zsarolóvírusok terjesztőit. A remélt gazdasági haszon fejében sok szaktudást, manuális munkát fektetnek a feladatba. Ez azt jelenti, hogy például kiszemelik az adott vállalat alkalmazottját, időt szánnak arra, hogy megismerjék szokásait, és így csalják el egy adathalász-weboldalra. Távolról, kitartóan pásztázzák a kiszemelt vállalat hálózatát, keresik a sérülékenységeket. Amikor az egyik eszközzel vagy technikával csődöt mondanak, akkor jöhet a következő módszer.

 

Legitim eszközöket használnak, és kivárják a legjobb pillanatot

A vállalati zsarolóvírusok terjesztői igyekeznek mindaddig észrevétlenek maradni a vállalati hálózatban, míg részletesen fel nem derítették őket. Ezért egyre többször legitim, jól ismert segédprogramokat és közismert rendszerszolgáltatásokat használnak a felderítéshez. Ezzel időt nyernek a hálózat megismerésére, a szokások felderítésére, ugyanakkor jól megtervezhetik a támadás időpontját.

A vállalati zsarolóvírusos támadás indítását ugyanis a maximális hatás elérésére időzítik. Türelmesen kivárják azt az ideális időpontot, amikor a hálózatot már részletesen felderítették, minden lehetséges gépre eljutottak, nyomaik eltüntetését is előkészítették. A cég legnehezebb időszakára időzítik a támadást, ezzel is növelve a váltságdíj kifizetésének esélyét. Hiszen melyik webshop ne akarna eladást maximalizálni karácsony előtt?

Gyakori, hogy egy állami vagy egyházi ünnep miatt elrendelt általános szabadság alatt indítják el a támadást, így van idő arra, hogy minden fontos szerveren lévő adatot titkosítsanak. És egyébként is szabadság alatt a legtöbb hálózati tevékenységet legjobb esetben is felületesen monitoroznak, így nyugodtan és alaposan folyhatnak az előkészületek.

 

Megjelent a másodlagos zsarolás

Rendszeresen finomítják működésüket a vállalati zsarolóvírusok üzemeltetői. Miután a vállalatok nagy része tanult sorstársaik hibájából, kipróbált, tehát jól működő backup-rendszerre bízzák az adatok védelmét. Ez azt jelenti, hogy semmi sem kényszeríti a vállalatokat arra, hogy tárgyaljanak a bűnözőkkel, még ha adataikat sikeresen titkosították is. A támadók ezért az ellopott adatok nyilvánosságra hozatalával zsarolják meg a szervezeteket. Ezt a módszert egyébként a második zsaroláskor is használják: ha már egyszer fizetett a vállalat, akkor biztos másodjára is hajlandó fizetni alapon.

Ha pedig a bizalmas adatok nyilvánosságra hozatala nem elég kényszerítő erejű, akkor a DDoS-támadást vetik be. A szolgáltatás-megtagadásos támadásokban a bűnözők fertőzött eszközök és számítógépek millióit felhasználva egyszerre látogatják az adott szervezet weboldalát, a legitim látogatók számára az oldal emiatt elérhetetlenné válik. A támadók mindaddig folytatják a DDoS-támadást, míg a szervezet nem tárgyal vagy fizet.

 

Készüljünk fel a támadásra

A rossz hírünk az, hogy vállalatunkat bármikor érheti zsarolóvírusos támadás, csak idő kérdése. A lényeg, hogy ezt a kockázatot szem előtt tartva tervezzük meg kibervédelmünket.

Lehetőleg réteges védelmet használjunk. A biztonsági szakemberek azt javasolják, hogy szegmentáljuk a hálózatot: a LAN-t kisebb, elszigetelt szegmensekbe vagy VLAN-okba daraboljuk, melyek egyenként biztonságosak. Ellenőrizzük a LAN-szegmenseken áthaladó forgalmat, így meg tudjuk akadályozni a kártevők átjutását.

Mitől vállalati egy zsarolóvírus?

Hagyományos zsarolóvírus

Vállalati zsarolóvírus

Egyszerre több célpont

Egy kiszemelt KKV, nagyvállalat a célpont

Automatizált támadás

Manuális támadás

Minél több számítógép azonnali megfertőzése a cél

Admin-eszközökkel terjed, feltérképezi a hálózatot

Nincs időzítés

Időzítés a maximális hatás elérése érdekében

Példák: WannaCry, NotPetya

Példák: BitPaymer, Ryuk, MegaCortex, RagnarLocker

Forrás: Sophos

Már írtuk, hogy a támadók szívesen használják a legitim eszközöket arra, hogy hálózaton belül terjeszkedjenek. Például a Remote Desktop Protokoll (RDP) segítségével a támadók előszeretettel mennek át tovább szerverekre, végpontokra. A tűzfal vigyázó szemei legyenek rajta a távoli menedzsment eszközökön is.

Felügyeljük állandóan a hálózatot, szűrjük ki a gyanús tevékenységeket. Előre találjuk ki az incidensreagálási forgatókönyvet. Ez legyen részletes, specifikáljuk, hogy kinek mi a feladata. Lehetőség szerint a forgatókönyvben foglaltakat rendszeresen frissítsük, és gyakoroltassuk is kollégáinkkal. És ne feledkezzünk meg alkalmazottjaink rendszeres oktatásáról sem!