Kifinomultabbakká váltak az elmúlt években a zsarolóprogramok, az új támadási módszereknek köszönhetően még több adathoz tudnak hozzáférni, így a vállalatok még kitettebbekké válnak. Ráadásul a tavalyi év trendjei azt jelzik, hogy egyhamar nem tűnnek el a hackerek eszköztárából, sőt a korábbiaknál gyakoribb támadásokra lehet számítani.
Változó célpont
Eleinte az otthoni felhasználókat fenyegették a zsarolóprogramok, és mivel igen jövedelmezőnek bizonyultak, hamar telítetté vált a "piac". Ráadásul, ahogy a fogyasztóknak szánt antivírus-megoldások nagyobb hatékonysággal kezdték felismerni a zsarolóvírusokat, egyre kevésbé kecsegtetett sikerrel a tömegeket célzó támadási módszer. A Malwarebytes biztonsági cég tavaly augusztusi jelentése, amely a 2018 második negyedéve és 2019 második negyedéve közötti időszak zsarolóvírus-támadásait elemezte, megállapította, hogy a kiberbűnözők az otthoni felhasználók tömeges támadásáról áttértek a vállalatok célzott támadására.
A vizsgált időszakban 365 százalékkal emelkedett az üzleti környezeteket érő regisztrált támadások száma, miközben a fogyasztók érintettsége csökkent, és a trend folytatódott az év hátralévő részében. A fentebb említetteken kívül jelentősen hozzájárult ehhez, hogy manapság az Eternal Blue és más csomagok segítségével egyszerűbb megfertőzni a vállalatok rendszereit, mint pár évvel ezelőtt.
Az EternalBlue a Server Message Block (SMB) protokoll Microsoft-féle implementációjának sérülékenységét használja ki, amelyet 2017 márciusában javított ki a szoftvergyártó a Windows összes érintett változatában. Ez volt a WannaCry, a NotPetya és más zsarolóférgek elsődleges terjesztési módszere a vállalati hálózatokban a sok szervezetet megbénító 2017-es támadások során.
Újabb módszerek
A zsarolóprogramok terjesztésének fő módszere a célzott adathalászat és a nem biztonságos Remote Desktop Protocol (RDP) kapcsolatok kihasználása maradt. Ugyanakkor vásárolni is lehet hozzáférést olyan rendszerekhez, amelyek már megfertőződtek más rosszindulatú programokkal. Tudniillik az online feketepiacokon árulnak hozzáférést feltört számítógépekhez és szerverekhez, a botnetek pedig rosszindulatú programokat telepítenek azok számára, akik hajlandóak ezért fizetni.
Például az Emotet spam bothálózat, a TrickBot azonosítási adatokat lopó trójai és a Ryuk zsarolóprogram közötti kapcsolat jól ismert a biztonsági közösségben.
A Ryuk zsarolóprogram-incidensek szinte mindig egy megvásárolható rosszindulatú programmal végrehajtott feltöréssel kezdődnek, állapította meg a Secureworks biztonsági cég. Az Emotet bothálózat akciója TrickBot fertőzéshez vezet, majd némi idő elteltével telepítik a Ryukot az áldozat számítógépére. A kutatók feltételezése szerint a Ryuk mögött álló hackercsoport fizet a hozzáférésért.
Jó hír ugyanakkor, hogy a kezdeti Emotet-fertőzés és a Ryuk telepítése között hosszabb idő (akár több mint egy hónap) telhet el, ami lehetőséget ad az érintett vállalatoknak, hogy felfedezzék és megszüntessék a fertőzést. Rossz hír viszont, hogy ezt a fajta manuális hackelést és a programkártevők hálózaton belüli oldalirányú mozgását nehéz felfedezni fejlett hálózat- és rendszermonitorozó eszközök nélkül.
Egy másik érdekes fertőzési módszer a menedzselt szolgáltatók infrastruktúrájának feltörése, amely privilegizált hozzáférést ad az ügyfelek rendszereihez. Ez komoly problémát okozhat, mivel sok kis- és középvállalkozás kiszervezi hálózatát és rendszereinek védelmét erre specializálódott cégekhez.
Növekedést tapasztalt a Malwarebytes a webes kihasználócsomagok, különösen a RIG zsarolóprogramok telepítésével kapcsolatban is. Ezeket a támadásokat olyan feltört webhelyekről indítják, amelyekről a hackerek tudják, hogy adott szektor vállalatainak alkalmazottai gyakran látogatják.
Még komolyabb titkosítás
A biztonsági cégek mindig megpróbálnak sebezhetőségeket találni a zsarolóprogramok által használt fájltitkosításban, hogy ily módon segítsenek az áldozatoknak adataik visszaszerzésében a váltságdíj kifizetése nélkül. Az erőfeszítések eredményeképpen létrehozott dekódoló eszközök általában ingyenesen elérhetők az Europol által gondozott NoMoreRansom.org webhelyen.
Csakhogy a képzettebb hackercsoportok által használt zsarolóprogramok egészen kifinomultak. A kiberbűnözők tanultak korábbi hibáikból. Egyes zsarolóvírusok kódját kiszivárogtatták az internetre, így azt mások lemásolhatják és továbbfejleszthetik. Az operációs rendszerek titkosító API-kat szolgáltatnak, továbbá léteznek ellenőrzött nyílt forráskódú titkosítási keretrendszerek és könyvtárak. Mindez azt jelenti, hogy a legnépszerűbb zsarolóprogramok egyúttal a legveszélyesebbek, mert nehezen megfejthető erős titkosítási algoritmusokat használnak.
Rendkívül fontos, hogy a vállalatoknak legyenek megfelelő adatmentési és -visszaállítási terveik, amelyeket rendszeresen tesztelnek. A mentéseket biztonságos helyen, a hálózaton kívül kell tárolni, hogy azokat a támadók ne tudják törölni vagy titkosítani. Néhány dokumentált esetben a szervezeteknek meg kellett fizetniük a váltságdíjat, mert mentéseik sérültek voltak, vagy a helyreállítási folyamat túlságosan hosszú ideig tartott volna, így megérte inkább megvásárolni a dekódoló eszközt.
Így védekezhetünk
Mindenekelőtt el kell kerülniük a vállalatoknak, hogy könnyű prédává váljanak, ehhez belső és külső penetrációs teszteket kell végezniük, továbbá azonosítaniuk kell a potenciálisan veszélyeztetett rendszereket és szervereket. A távoli VPN- vagy RDP-hozzáférésekhez erős és egyedi felhasználói azonosítókat kell rendelni, valamint be kell vezetni a kétfaktoros azonosítást.
A hálózaton belül az operációs rendszerek és a futtatott szoftverek rendszeres frissítésével kell biztosítani, hogy a végpontok és a szerverek mindig naprakész állapotban legyenek. A hálózatokat a legkevesebb kiváltság elve alapján szegmentálni kell azért, hogy adott osztályon lévő munkaállomás feltörése ne eredményezze az egész hálózat feletti ellenőrzés megszerzését. A Windows-hálózatokban a doménkontrollereket gondosan monitorozni kell a nem szokványos hozzáférések kiszűrésére.
Menedzselt szolgáltatókkal szerződő szervezeteknek gondoskodniuk kell arról, hogy a kapcsolatokat monitorozzák és naplózzák, valamint a használt szoftvereknél kétfaktoros azonosítást kell alkalmazni. A partnercégek hálózati és rendszerhozzáférését korlátozni kell: csak azt szabad elérniük, amihez a munkájukhoz szükség van.
Pontos leltárral kell rendelkezniük a vállalatoknak az üzleti tevékenységük szempontjából kritikus adatokról, és az ezeket tároló rendszereket szigorú ellenőrzés alá kell vonniuk.
Mivel sok zsarolóvírus-fertőzés kezdődik egyetlen munkaállomás feltörésével, fontos a végponti antivírusszoftverek használata. Erősen ajánlott a szükségtelen bedolgozók és kiterjesztések eltávolítása a böngészőkből, a programok naprakészen tartása, valamint az alkalmazottak hozzáférési jogainak megfelelő korlátozása.
Képezzük ki a munkavállalókat az adathalász e-mailek és a fájlok megnyitását vagy hivatkozásokra kattintást kérő trükkös üzenetek azonosítására. Hozzunk létre olyan e-mail-címet, ahová az alkalmazottak továbbíthatják a gyanús leveleket!
Végül készítsünk incidens-elhárítási tervet, és győződjünk meg arról, hogy minden érintett ismeri a szerepét, illetve tudja, mit kell tennie, ha behatolás történik, beleértve a kommunikációt a biztonsági szolgáltatóval és a bűnüldöző szervekkel. Ne vegyük könnyen a malware-fertőzéseket, alaposan vizsgáljuk ki őket, mert ezek lehetnek a kezdetei a jóval súlyosabb incidenseknek.
