A zsarolóprogrammal elkövetett támadások terén drámai fellendülés volt tapasztalható 2020-ban és 2021-ben, még azzal együtt is, hogy a világon a figyelmet nagyrészt a világjárvány, az amerikai elnökválasztás, a BREXIT, az Unió költségvetési vitája és egyéb fontos események kapták.
Ezekkel együtt különösen nehéz időszakot és hatalmas kihívást jelentett a kiberbiztonsági világ számára 2020-ban és idén is az, hogy a Covid-járvány következtében ‒ ahol ez lehetséges volt ‒ a távmunka (vagyis a home office) általánossá vált, és a vállalatok a hagyományos munkahelyi informatika védelmen túlmenően az újonnan létrehozott otthoni munka-infrastruktúrára is komoly figyelmet voltak kénytelenek fordítani.
Azonban a zsarolóprogram-támadások kockázati szintje folyamatosan növekszik, mivel a kiberbűnözők egyre keményebbek követeléseikben.
Ha ezek a tendenciák folytatódnak, a támadások miatt elvesztett összeg a század harmadik évtizedének közepére összevethető lesz a világ néhány vezető gazdaságának GDP-jével.
Fontos látnunk ugyanakkor azt is, hogy nem csak rossz hírek érkeznek.
A kiberlaboratóriumokból nap mint nap új segítség érkezik, új védelmi eszközök jelennek meg, és a zsarolóprogramok és a számítógépes bűnözés egyéb formáinak következményeinek fokozottabb tudatában a szervezetek sokféle csúcstechnológiás és alacsony technológiájú (de még mindig rendkívül hatékony) eszközt alkalmaznak, hogy megvédjék magukat. Ami még hátravan, az azon vállalkozások meggyőzése, amelyek még mindig vonakodnak pénzt költeni újabb és újabb ellenőrzésekre, és azt gondolják, hogy "velünk ez soha nem fog megtörténni".
Növekvő fenyegetés
A Világgazdasági Fórum szerint a célzott zsarolóvírus-támadások száma 2020 eleje óta megduplázódott. A támadások jellege változó, de általában a fő céljuk az üzleti folyamatok megszakítása a távmunka szolgáltatási platformjainak feltörésével és az üzletileg kritikus rendszerek titkosításával, majd váltságdíjat követelnek a rendszerek helyreállításáért, vagy néha az egyéneket további bűncselekmények elkövetésével zsarolják meg.
Ezért kiemelkedő fontosságú a Zero Trust Policy elfogadása, amelynek az alapja: bízzon, de ellenőrizzen. Csak az elvárt időpontban (Just in Time) szükséges és elégséges jogosultságot szabad megadni a felhasználók számára, és csak annyi szabadságot biztosítva számukra, hogy egy adott szerepkörben az adott feladatokat végre tudják hajtani. Ha egy támadó hozzáférhet az állandó és általános jogosultságokkal rendelkező felhasználók hitelesítő adataihoz, akár kritikus méretű kárt is okozhat. Ezzel szemben, ha a támadó egy, csak a szükséges és elégséges jogosultsággal és just in time hozzáféréssel rendelkező felhasználó hitelesítő adatai tudja megszerezni, akkor a támadás csak egy feladat végrehajtására korlátozódik, és csak az adott feladat méretétől, hogy a támadó maximum mekkora kárt okozhat.
Egyes esetekben a nagyobb vállalatokkal együttműködő, azok részfeladataikat végrehajtó-ellátó kisvállalkozások sebezhetőségeinek kihasználásán keresztül célozzák meg a kiberbűnözők az ellátási láncban. Ezeket a támadásokat különösen nehéz felismerni és megelőzni, mert a kisebb cégeknél általában hiányoznak a nagyobb cégek rendelkezésére álló kifinomult eszközök és technológiák. Éppen ezért a hatás (és ezen keresztül az okozott kár) ugyanolyan nagy lehet, mint egy direkt, a nagyvállalat elleni kibertámadás során ‒ különösen azokban az esetekben, amikor a szállító egyedülállóan fontos funkciót teljesít, és amelyet nem lehet könnyen átadni egy másik deszállítónak.
Amennyiben ismertté válik egy beszállító elleni támadás, arra az időre amíg a veszély el nem hárul, átmenetileg minden informatikai összeköttetést, kapcsolatot meg kell szakítani az érintett beszállítóval.
Míg a kormányzati szervek és a feldolgozóipar továbbra is a zsarolóprogramot alkalmazó kiberbűnözők legfőbb célpontjai, az elmúlt évben drámai fellendülés zajlott az egészségügyi szervezetek elleni támadások kapcsán is. A közelmúltban az Egyesült Államokban az FBI, a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), valamint az Egészségügyi és Humán Szolgáltatások (HHS) osztálya kiadott egy javaslatot, amelyben felvázolta „az amerikai kórházakat és az egészségügyi szolgáltatókat fokozó és közvetlen kiberbűnözés veszélyét”. (Sajnos, ilyen Magyarországon nem került kiadásra.)
Noha a fenyegetések jellege nem derült ki teljes mivoltukban, az ügynökségek azt állították, hogy rosszindulatú csoportok célozzák meg az ágazatot a Ryuk zsarolóprogram rendszer segítségével, abból a célból, hogy kritikus adatokat szerezzenek meg és egyúttal az egészségügyi szolgáltatásokat is megzavarják. Az ilyen típusú erőfeszítéseknek már tulajdonítottak egy halálesetet.
2020 decemberében az FBI figyelmeztetést adott ki a DoppelPayer zsarolóprogrammal kapcsolatban arról, hogy kiberbűnözők ezzel az eszköztárral többirányú támadást alkalmaztak, többek között telefonhívásokkal gyakoroltak nyomást a kiszemelt áldozatokra.
A securityintelligence.com szerint 2020-ban a zsarolóprogram támadások elkövetői taktikájukban is változást hajtottak végre. A múltban a cél csupán a rendszerek lezárása vagy az adatok titkosítása volt, hogy váltságdíjat követeljenek azok visszaszolgáltatásáért. Az utóbbi időben azonban megjelent egy új, "vegyes zsarolási" módszer, amely során az érzékeny adatokat még a titkosítás előtt ellopják, és zsarolásra használják. Amennyiben aztán az áldozat nem hajlandó fizetni, az adatok nemcsak elvesznek, hanem nyilvánosságra is kerülnek, ami a célvállalkozást akár számos szabályozási és/vagy polgári jogi szankciónak teszi ki. Ez azonban rengeteg problémát vethet fel, mivel pl. az Egyesült államokban a váltságdíjkövetelések kifizetése illegális lehet, és hogy az így eljáró vállalatok ellen akár büntetőeljárás indulhat.
Mit kell, mit lehet tenni?
Mit tegyen tehát egy vállalkozás, különösen a mostani időkben, amikor a világjárvány megzavarta az üzletmenetet, a nyereség csökken, és az árrés egyre szűkül?
Noha számos szoftver- és szolgáltatási platform létezik a zsarolóprogram támadások azonosítására és megzavarására, a leghatékonyabb stratégia talán az, ha minden szervezet először felismeri a fenyegetés súlyosságát, majd együtt védekezik. A Biztonsági Magazinban Diana Salazar szerint az első dolog, amit meg kell érteni, hogy a támadók nem véletlenszerűen választják ki áldozataikat ‒ némelyiket hónapokig, sőt évekig figyelik a támadás megkezdése előtt. Mások azonban inkább a lehetőségeket keresik ‒ a támadókat elsősorban a megszerezhető profit motiválja, mégpedig a lehető legkevesebb kockázat és erőfeszítés mellett.
A fő probléma azonban itt nem az, hogy a rendszereket veszélyeztették, hanem az, hogy az áldozatul esett szervezetek többsége hajlik a dolgok elhallgatására egy kripto-támadás után. A jelenlegi szabályozás határértékeket állapít meg az információk kiadásának idejére és módjára vonatkozóan egyaránt, de ezen túlmenően a legtöbb áldozatul esett vállalatnak nincs kedve megosztani a támadás pontos végrehajtásának részleteit, többek között azért sem, mert érzékeny információkat tárhat fel az informatikai infrastruktúrával, az üzleti folyamatokkal és az ügyfelekkel kapcsolatban.
Valójában sok szervezet inkább csendben kifizeti a bűnözők által követelt váltságdíjat, minthogy megkockáztassa a nyilvánosságra kerülésből adódó kellemetlenségeket. Ez viszont arra ösztönzi a bűnözőket, hogy nyugodtan folytassák a támadásaikat, és a tények elhallgatása azt is megakadályozza, hogy más vállalkozások betekintést nyerjenek a legújabb fenyegetések folyamataiba, és ez akár egész iparágakat is sebezhetővé tesz a folyamatos támadásokkal szemben.
Ráadásul arra sincs garancia, hogy a zsarolók végül a titkosítási kulcsot átadják az áldozatnak. A megtámadottnak könnyen kialakulhat az az érzése is, hogy ha fizet, és az adataihoz való hozzáférése egyébként helyreáll, a támadók ettől függetlenül könnyű célpontnak tekinthetik.
A vállalkozásoknak azt is szem előtt kell tartaniuk, hogy a saját és alkalmazottaik infrastruktúrájának egyszerű védelme már nem elegendő. Mivel az informatikai rendszerek jelentős része a felhőbe és újabban a dolgok internetének (IoT) peremére került, a védelmi irányelveknek figyelembe kell venniük ezt az új valóságot. Bár nincs 100 százalékban hatékony megoldás, például a Sophos brit biztonsági cég azt tanácsolja a menedzselt szolgáltatóknak (MSP), hogy fogadjanak el, és valósítsanak meg néhány kulcsfontosságú védőintézkedést:
Széleskörű tudatosság a fenyegetés oktatásával kapcsolatban, beleértve a kétfaktoros hitelesítés bevezetését és a csalárd e-mailek kiszűrésének képességét.
A többfaktoros hitelesítés (MFA) elengedhetetlen, ha felhő-hozzáférésről van szó.
A biztonsági rendszerek és eljárások folyamatos fejlesztése a termelési környezetek, valamint az összes és az összes kiegészítő létesítmény számára.
Ellenőrizni kell, és meg kell győződni arról, hogy szigorú biztonsági intézkedések vannak érvényben a folyamatos integráció (CI) / a folyamatos kézbesítés (CD) rendszer futtatásakor. Más szavakkal, ellenőrizze, hogy a DEV-Ops megfelelő biztonságot jelent-e.
- Végpontfelismerő és -válaszoló (EDR) eszközök üzembe helyezése a teljes adatlánc felügyeletére. A kiszervezés életképes lehetőség lehet, ha az erőforrások korlátozottak.
- Erőteljes emberi beavatkozás, az elit fenyegetéskezelő csoportok létrehozásáig, hogy proaktív és reaktív reakciót nyújtson a támadásokra.
- Gyors baleseti reagálási eszközök, amelyek a fenyegetések semlegesítésére és a károk enyhítésére specializálódtak.
Zárógondolatok
A Zsarolóprogramok, és általában a számítógépes bűnözés olyan probléma, amely soha nem fog megszűnni. Ugyanazok a mögöttes eszközök és technológiák használhatók támadásra, amelyek felhasználhatók a vállalkozás védelmére. De ez nem riaszthatja el az összes nagy vagy kicsi, kritikus vagy nem kritikus szervezetet az állandó éberség fenntartásától.
Mint minden bűncselekmény esetében, a legjobb védekezés az, ha folyamatosan éber marad a környezete és a saját sérülékenysége tekintetében.