Így védekezzünk a zsarolóvírus ellen!
Olvasási idő:
A kutatások szerint egy zsarolóvírusos támadás átlagosan 214 millió forintos kárt okoz, ha vissza is vásároljuk adatainkat, ennek akár a dupláját is. Pedig számtalan lehetősége van a védekezésnek. Nemcsak IT-biztonsági megoldással, hanem a vállalati felhasználók tudatosságának növelésével, rendszereink frissen tartásával és rendszeres biztonsági mentések készítésével is védekezhetünk a zsarolóvírusokkal szemben.
A Sophos kutatása szerint (The State of Ransomware, 2020. május) egy zsarolóvírusos támadás átlagosan 214 millió forintos kárt okoz, és ha váltságdíjat is fizet a vállalat a túszul ejtett adatokért, akkor ez az összeg 425 millió forintra emelkedett. A kutatás ugye több országot vizsgált meg, a nagyobb és gazdagabb országok bevonásával készült el ez az átlagos összeg is. A szakértők Magyarországot nem vették be a vizsgálatba, de a hazánkhoz hasonló méretű és fejlettségű Cseh Köztársaság esetében megállapították, hogy egy sikeres támadás következtében 76 millió forintos vesztesége keletkezett egy vállalatnak.
Ha a zsarolóvírusokat (angolul ransomware) technikailag vizsgáljuk, akkor ezek a kártevők egyetlen kritikus tulajdonságukban különböznek az egyéb rosszindulatú kódoktól. Míg egy hagyományos vírus távolról irányítható zombit (botnetet) csinál a felhasználók gépéből, vagy ellopja a felhasználói adatokat, netán bankkártya-információkat, addig a zsarolóvírusok közvetlenül kényszerítik ki a pénzt. Ehhez vagy lezárják az egész gépet, vagy a gépen található dokumentumokat titkosítják, és a hozzáférés visszaállítását a váltságdíj megfizetéséhez kötik. Újabban azzal is fenyegetőznek a zsarolók, hogy a megszerzett vállalati adatokat az interneten közkinccsé teszik.
A zsarolóvírus terjedése
A zsarolóvírust a többi kártevőhöz hasonló csatornákon keresztül juttatják el az áldozatokhoz, legyen az kéretlen levél csatolmánnyal vagy hivatkozással, fertőzött weboldal vagy kártékony hirdetési hálózat. A biztonsági szakemberek és rendszergazdák mantrája, hogy ismeretlen hivatkozásra vagy linkre nem kattintunk, ennek ellenére a spam vagy a kéretlen levél továbbra is a fertőzés első számú forrása marad.
A zsarolóvírus gyakran a makrót engedélyező szöveges dokumentumban bújik meg, de a futtatható állományokat gyakorlatilag bármilyen típusú csatolmányként tálalni lehet. Kéretlen levél mellett fertőzött weboldalak is szórhatják a zsarolóvírusokat, vagy akár olyan hivatalos weboldalak is, melyeket megtámadtak és kódjukat módosították. Ha pedig nem weboldalon, akkor a fertőzött hirdetési hálózatokon keresztül is terjedhetnek.
Célzottan támadott vállalatok
A nagyobb vállalatokat megtámadó bűnözők általában célzottan támadnak, automatikus és manuális eszközök segítségével egyaránt bejutnak a hálózatba, ahol a megfelelő hosszabb munkaszüneti periódust kivárva aktiválódnak, megfertőzik a gépeket, titkosítják az adatokat és elhelyezik a zsarolólevelet. Vannak támadó csoportok és zsarolóvírusok, melyek kifejezetten a nagyobb megtérüléssel kecsegtető vállalati szférát támadják, az otthoni felhasználókat pedig figyelmen kívül hagyják.
Egyes iparágakat jobban érintenek a zsarolóvírusok, ilyen például az egészségügy, ahol a nagyszámú felhasználó relatív öreg és nem igazán karbantartott IT-infrastruktúrát használ, ugyanakkor igen érzékeny és nagy mennyiségű adatot kezel.
A zsarolóvírusok nemcsak az utolsó technológiát, hanem számos lélektani, viselkedési trükköt is bevetnek hatékonyságuk növelése érdekében. Nem csupán elérhetetlenné teszik a számunkra fontos adatokat, sok esetben például egy számláló mutatja, hogy mennyi idő múlva növekszik a váltságdíj. Olyan típusú zsarolóvírust is felfedeztek, mely elengedi a zsarolási díjat, ha vírussal megfertőzzük ismerőseinket, barátainkat.
Üzleti modell a zsarolóvíírusok mögött
Nyilvánvaló, hogy a zsarolóvírusok és terjesztőik mögött jól átgondolt üzleti modell van, mely az olcsó működtetés mellett a lebukás kockázatának minimalizálására épül. Az alternatív fizetési módozatok, a kriptovaluták megjelenése és terjedése tette lehetővé, hogy a zsarolóvírusok mögötti profi támadók gyakorlatilag lekövethetetlenek legyenek. A Bitcoin és társai használatához már nem szükséges hagyományos bankszámla, így nagyon nehéz kinyomozni, ki áll a támadás mögött. Az is gyakori, hogy a támadók több fizetési szolgáltatáson keresztül utaztatják a pénzt, így rejtőznek el a hatóságok elől.
A zsarolóvírusok terjedését az is elősegítette, hogy ezen a téren is megjelent a b2b modell, ahol a zsarolóvírus készítője bérbe adja, eladja a vírust egy másik félnek, aki a tényleges terjesztést végzi. Gyakorlatilag nagyon alacsony befektetéssel és kezdő számítástechnikai ismeretekkel is lehet már zsarolóvírusokat terjeszteni, majd ebből nyereséget szerezni – mindez persze továbbra is törvénytelen! A zsarolóvírusok fejlesztői számára egyébként pont ez a b2b modell fő előnye: nem ők szoktak lebukni, hanem a terjesztésben üzletet látó kezdő maffiózók.
Hogyan védekezzünk a zsarolóvírusok ellen?
A felhasználók első reakciója zsarolóvírusos fertőzés esetén az, hogy fizetnének az adataikért. Ha viszont fizetünk, egyrészt fenntartjuk a zsarolóvírus-iparágat, másrészt pedig semmi garancia sincs arra, hogy vissza is kapjuk adatainkat. Hiszen a fizetés nem nyomon követhető, így csak a támadó becsületszava a biztosíték arra, hogy tényleg elküldi a titkosítókulcsot. És valóban, az eseteknek csak kisebb részében kapja meg a felhasználó a feoldáshoz szükséges kulcsot, és az adatok teljes kikódolása is csak ritkán sikeres. Ráadásul az adatok visszanyerése után maga a zsarolóvírus még a gépen marad, és bármikor újra aktiválhatja magát – ekkor pedig minden kezdődhet elölről.
Sok esetben a támadók nem is adnak lehetőséget a választásra az áldozatoknak. Amint már említettük, a zsarolók azzal fenyegetőznek, hogy az adatokat az interneten nyilvánosan elérhetővé teszik, ez pedig sok esetben a vállalat működésének végét jelentené.
Biztonsági megoldás. A legjobb védekezés a megelőzés, ezt pedig a legkönnyebben olyan biztonsági megoldás használatával érhetjük el, mely dedikált zsarolóvírus-ellenes modullal rendelkezik. Sok megoldás például észleli, ha egy külső folyamat tömegesen szeretne módosítani fájlokat a számítógépen. Ebben az esetben leállítja a károsnak gondolt folyamatot, majd minderről értesíti a felhasználót.
Frissítések. A biztonsági megoldás mellett azzal is védekezhetünk, hogy naprakészen tartjuk, frissítjük operációs rendszerünket, alkalmazásainkat. Ez azt jelenti, hogy folyamatosan kell ellenőrizni, hogy a rendszerünkhöz van-e frissítés, ha igen, frissíteni azokat. A vállalati felhasználók patch menedzsment megoldásokkal tarthatják karban számítógépflottájukat.
Biztonsági mentés. A zsarolóvírus azért hatékony, mert személyes adataink, dokumentumaink, fotóink rendkívül fontosak – számunkra. A zsarolóvírus méregfogát azzal tudjuk kihúzni, ha adatainkat rendszeresen mentjük egy olyan külső tárolóra, mely nem csatlakozik az internethez, a helyi hálózathoz. A rendszergazdák központosított backup megoldásokat használhatnak erre a célra.
Tudatosság. A technikai védelmet a felhasználói tudatosság növelésével egészíthetjük ki. Például e-mail csatolmányokat csak akkor nyissunk meg, ha azokat egy megbízható személy küldte és semmi gyanús nem merül fel, sem az üzenetben, sem a fogalmazás nyelvében. Hasonló bizalmatlansággal kezeljük az e-mailekben, üzenetekben érkező hivatkozásokat is, hiszen könnyen kártevővel fertőzött weboldalra látogathatunk el.