Zsarolóknak nem engedünk! Tényleg?!

Zsarolóknak nem engedünk! Tényleg?!

February 25, 2022

Ha megjelenik a piros képernyő, már nincs esélyed – erre ne is pazaroljuk az időt. Nézzük meg inkább azt, pontosan mi áll a ransomware-ek, vagy zsarolóvírusok mögött? Kik mozgatják a szálakat, és hogy néz ki az online zsarolásra szakosodott nemzetközi kibervállalkozók üzleti modellje? Ha mindezt átlátjuk, legközelebb talán megelőzhetjük a piros képernyőt, és valamivel többet is tehetünk az érdekeink védelméért, mint hogy megpróbáljuk lealkudni a váltságdíjat a zsarolók hivatalos ügyfélszolgálatán.

Kezdjük azzal, hogy ez nem vicc: a ransomware-támadások jelentős részénél valóban van egy profin működtetett ügyfélszolgálat, amit a pórul járt áldozatok felhívhatnak, ha valamilyen nehézségbe ütköztek volna. Kis fantáziával el is képzelhetjük, hogyan zajlik egy ilyen hívás: a támadás áldozatául esett nagyvállalat, bank vagy állami intézmény műszaki vezetője van a vonal egyik végén, és miután pár csöngést követően meghallgatta a zsaroló kiberbűnöző szervezet vidám zenei szignálját, rövidesen átirányítják hívását egy kedves és szolgálatkész ügyintézőhöz. Az izzadó tenyerű hívó szorongását némileg enyhíti ugyan a barátságos és segítőkész hangnem, de így is nagyon fél,  hiszen a rábízott adatok és informatikai rendszerek a támadás miatt teljesen elérhetetlenné váltak, és a napról napra emelkedő váltságdíj összege immár csillagászati mértékű.

Hogy mit lehet ilyenkor tenni? „Kérjük, utalja át a jelzett összegű bitcoint a megfelelő számlára, és máris rendelkezésére bocsátjuk a zárolást feloldó kódot” – csilingeli az ügyintéző. És mi történik, ha inkább a hatóságokhoz fordulunk? „Természetesen megértjük, ha nem élnek a szolgáltatásainkkal” – érkezik a kedves válasz, majd kis hatásszünet után folytatódik a tájékoztatás: „de fel kell hívnom a figyelmét arra, hogy ez esetben az adatairól készült másolatot – beleértve ügyfeleinek személyes adatait, számlavezetési információit, jelszavait, valamint a vezetőség teljes privát levelezését – 24 órán belül felkínáljuk értékesítésre a darkweb megfelelő piacterén.”

Pénzt, vagy életet!

Meggyőző, ugye? Bár pontos információk a téma természetéből adódóan nem állnak rendelkezésre, nagyságrendileg valószínűleg nem lövünk nagyon mellé, ha úgy saccoljuk: a ransomware-támadások 50 százalékánál ténylegesen megtörténik a váltságdíjfizetés. Természetesen, mint minden hasonló szituációban, itt sincs semmi garancia arra, hogy ha az adott szervezet teljesíti a zsarolók követelését, akkor valóban hozzájut az adataihoz – de a fizetéssel záruló esetek 60-70 százalékában a kiberbűnözők jellemzően állják a szavukat. Érdekes tény, hogy ez az arány évről évre nő, tehát egyre több olyan eset van, amikor a fizetés után valóban megérkezik a rendszerek zárolását feloldó kód. Mi ennek az oka? Röviden annyi, hogy a zsarolóknak jól belátott üzleti érdekük, hogy az áldozatok megbízzanak bennük, hiszen minél több olyan ismert eset van, amikor a tranzakció után valóban sikerült feloldani a zárolást, a következő áldozat annál könnyebben egyezik majd bele az üzletbe. Valójában ez nem más, mint a szolgáltató és az ügyfél közötti üzleti bizalom egy egzotikus formája.

A zsarolók számára olyannyira fontos a jó hírnevük, hogy egyes elhíresült esetekben szinte társadalmi felelősségvállalásnak is beillő lépésekkel erősítik saját PR-jukat a nemzetközi nyilvánosságban. Ismert például egy eset, mikor a zsarolóvírus egy nonprofit segélyszervezet rendszereit támadta meg, és követelt tőlük nagyjából 5000 dolláros váltságdíjat. A szervezet felhívta a ransomware ügyfélszolgálatát, és jelezte, hogy ők nem üzleti céllal működnek, nem tudnak ilyen célra előrántani 5000 dollárt, mire a zsarolók kis mérlegelés után közölték, hogy „OK, akkor legyen 50 dollár.” Tehát nem csak a vidám szignál miatt érdemes hívni az ügyfélszolgálatot; az is előfordulhat, hogy a kiberbűnözők épp a mi ügyünkön keresztül kommunikálják majd a világ felé, hogy ők bizony jófejek is tudnak lenni.

Hiába futsz, úgyse menekülsz!

Most nézzük, mi történik akkor, ha nem fizetünk. Nos, ahogy a bevezetőben már említettük: Ha megjelenik a piros képernyő, már nincs esély. Ez a tétel sajnos általános igazságként kezelhető, hiszen a ransomware-ek többnyire jól megírt kódolást alkalmaznak, nagyjából olyat, amit kvantumszámítógép híján évtizedekbe telne feltörni. Ez a kapu tehát bezárult, mielőtt kinyitottuk volna. Az egyetlen esélyünk, ha készítettünk backup mentéseket a rendszereinkről, mivel kis szerencsével előfordulhat, hogy van olyan verzió, amihez vissza tudunk térni, és így kikerülhetjük a zsarolót.

Mielőtt azonban bárki a biztonság ábrándjába ringatná magát, jelezzük: a fenti módszerrel sokszor a kiberbűnözők is számolnak. Vannak olyan ransomware-ek, melyek szándékosan hosszú ideig feltűnés nélkül dolgoznak az áldozat rendszerében, mivel így jó eséllyel belekerülhetnek több biztonsági mentésbe is. A szoftver ilyenkor akár heteken, hónapokon keresztül észrevétlenül titkosítja a fájlokat, viszont egészen az utolsó pillanatig ezt a titkosítást nem élesíti, vagy feltűnés nélkül átengedi rajta a felhasználókat. Amikor azonban a „kibervállalkozó” command and control centerében eldördül a rajtpisztoly, a ransomware élesíti magát, és többé nem enged hozzáférést semmihez. A kétségbeesett rendszergazda pedig hiába nyúlna a legutóbbi backup-hoz, hiszen amikor az készült, már rég a rendszerben volt a fertőzés.

Szíveskedjék befáradni, Mr. Kiberbűnöző!

De hogy kerülhet be a többnyire erősen védett vállalati rendszerekbe egy ilyen alkalmazás? Kezdjük a folyamat elején: egy csillogó szemű kibervállalkozó szétnéz a darkweb különböző piacterein, és az egyik kofától ropogós bitcoin-ért megvásárol egy ígéretesnek tűnő ransomware alkalmazást. Az ilyen szoftverek jellemzően valamilyen 0-day vulnerability-re épülnek, vagyis kifejezetten arra irányulnak, hogy kihasználják a különböző, széles körben használt alkalmazásokban, operációs rendszerekben feltárt – és még nem javított – hibákat, kiskapukat, sérülékenységeket. Ha megvan a ransomware, már csak be kell juttatni azt a kiszemelt szervezethez. Azt gondolnánk, ez lesz a projekt legnehezebb pontja, de a valóság ennél sokkal humorosabb: egy felmérés szerint átlagosan mindössze 12 e-mail-t kell egy cég címeire kiküldeni ahhoz, hogy valaki az alkalmazottak közül megnyissa a levelet, és óvatlanul rákattintson a ransomware-t tartalmazó linkre.

Mi a tanulság? Az első és legfontosabb, hogy nem lehet túlbecsülni a felhasználók képzésének, tudatosításának jelentőségét, hiszen túlzás nélkül ki lehet mondani: gyakorlatilag minden betörés és fertőzés emberi figyelmetlenségre apellál. Hiába épít egy vállalat kínai nagy fal méretű védelmi rendszert a hálózata köré, ha az alkalmazottai gyanútlanságuk okán betalicskázzák a rendszerbe az ártó célú kódokat. A képzéseken és a tudatosság növelésén túl egy jó megoldás van, ami kis szerencsével átsegíthet minket a bajon: ha fejlett eszköztárral rendelkező, megbízható felhőszolgáltatónál tartjuk a mentéseinket. Természetesen ilyenkor is megeshet, hogy a ransomware titokban már megfertőzte az adatainkat, de ebben az esetben van rá esély, hogy a szolgáltató felügyeleti rendszere kiszúrja, amikor a fertőzés megindul, és ezzel nyerünk némi lépéselőnyt.

Összegezve tehát, érdemes törekednünk rá, hogy felkészülten érjen minket egy ilyen zsarolóvírus megjelenése, hiszen a kérdés nem az, hogy találkozunk-e a sokat emlegetett piros képernyővel, hanem az, hogy mikor.

Kollár György
Cikket írta
Kollár György
IT Security Engineer
Olvasási idő:
IT biztonság
Megosztás