Nincs olyan biztonsági cég, melynek felméréseiben a kiberbiztonsági kockázatok között ne a toplista elején szerepelnének a ransomware-ek, azaz a zsaroló programok. Az Infoblox biztonsági cég egy tavalyi kutatása szerint 2015 első negyedéve és 2016 első negyedéve között a zsaroló programok mennyisége 3500 százalékkal (!), a kifizetett váltságdíjak összege pedig tízszeresére nőtt. A PrivacyPC egy látványos infografikán összegezte a zsaroló vírusokkal kapcsolatos eseményeket 2016 májusa és 2017 februárja között: ez idő alatt több mint kétszáz új aktív ransomware jelent meg, míg a visszafejtett zsarolók száma ennek alig negyede.

A múlt héten zajlott San Franciso-i RSA konferencia hangsúlyosan foglalkozott a témával. Az Intel Security vezére, Chris Young  vetette fel, hogy bár a zsaroló programok már a 80-as évek végétől léteznek, csupán az elmúlt néhány évben terjedtek el robbanásszerűen. (A zsaroló programok evolúciójáról érdemes elolvasni Csizmazia-Darab István írását.)

Chris Young a jelenséget arra vezette vissza, hogy míg korábban nagy volt a lebukás veszélye, mert a váltságdíjhoz nehéz volt észrevétlenül hozzájutni, addig manapság a támadó a bitcoin révén az anonimitása megőrzésével tudja elérni célját. Amikor a ransomware-dömping beindult, kezdetben gyanútlan fogyasztók voltak a célpontok, és ők a legjobbnak látták fizetni a titkosítás feloldásáért, amivel segítették az egész folyamat gyorsulását: újabb, hatásosabb vírusok fejlesztését, melyekkel nagyobb szabású támadásokat lehetett végrehajtani.

Mindenhonnan támadnak

Ma már az a helyzet, hogy gyakorlatilag bárhonnan támadhatnak a zsaroló vírusok. Akár a Google Playből is letölthetünk olyan appot, amely ransomware-t tartalmaz. Young szerint a napi szinten használt eszközeink – a számítógép és az okostelefon – mellett az IoT (Internet of Things) eszközök, biztonsági kamerák, webkamerák, okostévék stb. egyaránt ki vannak téve a támadásoknak. És ha közvetlenül nem is tud velük mit kezdeni a bűnöző, ugródeszkaként jól jöhetnek nagyobb szabású támadásokhoz.

A zsarolóprogramok egyre fontosabb célpontokat támadnak meg. Ilyenek például a kórházak, ahol a betegadatok titkosításával akár az intézmény működését is meg lehet bénítani, amin viszont akár emberéletek múlhatnak. Ilyen eset Magyarországon is történt. Tavaly áprilisban a Veszprémi Csolnoky Ferenc Kórház rendszeri bénultak meg ransomware-támadás miatt. Mint azt Csizmazia-Darab is írja fentebb említett cikkében, a kórházak már csak azért is jó célpontok (legalábbis Magyarországon), mert jellemzően informatikai infrastruktúrájuk elavult, és az ott dolgozókat nem is készítik fel arra, hogyan előzhetik meg az ilyen támadásokat.

Vagy ott van a San Francisco-i eset, amikor az ottani tömegközlekedési vállalat rendszereit támadták meg sikerrel.

A bankok lesznek a következő célpont

A SANS Institute egyik munkatársa, Ed Skoudis arról beszélt a konferencián, hogy a zsaroló programokkal elkövetett támadások következő fontos célpontjai a kisebb és közepes méretű bankok lesznek. Ráadásul a ransomware-ek által használt titkosítás is egyre jobb, és így a saját adataink válnak ellenünk használható fegyverré.

Az ilyen támadások ellen Chris Young szerint úgy tudunk hatékonyan védekezni, ha az adatokra koncentrálunk. Ugyanakkor a szakember feltett egy nagyon fontos kérdést is: ha egy céget zsaroló programmal támadtak meg, ki dönt arról, hogy a cég fizet váltságdíjat vagy sem? A biztonsági cégek és a bűnüldöző szervek határozottan állítják, hogy nem szabad fizetni a zsarolóknak, mert nincs semmi garancia arra, hogy a bűnözők visszaállítják a titkosított adatokat. Ráadásul minden kifizetett váltságdíj a támadók pozícióit erősíti. Azt azonban Young is elismerte: vannak esetek, amikor a helyzet kényszere erősebb, mint az üzleti elvek.