Az adatok olvashatatlanná tételében jeleskedő KillDisk malware, mely az ukrán energiaelosztó hálózat elleni sikeres támadásról és az ország áramellátásának jelentős kieséséről ismert, nemrég új változatokkal gyarapodott. Ezeket jelenleg a világ legdrágább zsaroló támadásaira használják. Windows-os és linuxos asztali gépeket és szervereket céloznak a támadók és egészen elképesztő összeget, 222 bitcoint (nagyjából negyedmillió dollárt) követelnek a pórul járt felhasználóktól.
Szerencsére eddig senki sem fizetett, noha többen is elvesztették már adataikat. Ugyanakkor hiába is nyitná ki a pénztárcáját egy érintett, a támadók nem tudnának rajta segíteni. A titkosított állományok feloldásához szükséges titkosító kulcsokat ugyanis helyileg nem tárolják, viszont nem is továbbítják a támadást irányító szerverek irányába.
Azaz gyakorlatilag feloldhatatlanná válnak az összebarmolt állományok, hívta fel a figyelmet a problémára az ESET két kutatója, Robert Lipovsky és Peter Kalnai.
Ukrán támadás
2015 karácsonya előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat idézett elő. Az gyorsan kiderült, hogy az ukrajnai incidenst egy BlackEnergy nevű program okozta. Az ESET kutatói már akkor észrevették, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak.
Azt már ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy jelszóhalász támadás segítségével bejuttassa a KillDisk trójait az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített. További részletek erre.
A kelet-ukrajnai események miatt egyébként több hackertámadás is érte már az ukránokat, lásd keretes írásunkat.
Backup, backup, backup!
Visszatérve a ransomware aktuális változatára; az áldozattá vált internetező az alábbi üzenet felbukkanását követően vethet keresztet adataira:
Rossz hír, hogy habár pénzt nem tudnak csinálni zsaroló programjukból a támadók, annyira voltak azért ügyesek, hogy elkerülték a hasonló trójaiakat készítők titkosítási hibáit, így igazából csak szerencse – és nagy erőforrás – kérdése, hogy vissza lehet-e fejteni a titkosított file-okat. Erre is csak linux alatt van lehetőség, itt a kutatók találtak egy olyan rést a trójaiban, ami lehetővé teszi a dekódolást. Windows-os környezetben viszont nincs menekvés – csak a backupból való helyreállítás segíthet.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak