Akár teljes hálózatokat is megbéníthatnak az új generációs zsaroló vírusok. A ransomwarek mellett a szerveroldali támadások jelentik a legnagyobb veszélyt a Cisco évközi biztonsági jelentése (Cisco Midyear Cybersecurity Report) szerint.

Ez az üzlet jól jövedelmez

A kiberbűnözés legjövedelmezőbb ága idén már a "zsarolóvírus-ágazat" volt. Mint arról korábban írtunk, ezek a károkozók – épp a jövedelmezőségük miatt – nagyon gyorsan fejlődnek. A Cisco szerint ez a trend tovább folytatódik, olyan károkozók megjelenésére kell számítani, amelyek már önmagukat terjesztik, miközben teljes hálózatokat, így teljes szervezeteket is lebéníthatnak.

Fontos trend az is, hogy a támadók moduláris felépítésű ransomware-eket fejlesztenek, így azok gyorsan tudnak alkalmazkodni a különféle környezetekhez és védelmi megoldásokhoz. Új törekvés a fejlesztésben például az – írják a kutatók –, hogy az új zsarolóvírusoknál a fejlesztők külön figyelmet fordítanak a processzorhasználat és a vezérlőszerverekkel történő kommunikáció minimalizálására, ami megnehezíti a károkozók detektálását.

A sérülékeny telepített szoftverek százalékos megoszlása régionként

(Forrás: Cisco. Kattintson a képre a nagyításhoz)

A jelentésről kiadott közlemény idézi Ács Györgyöt, a Cisco regionális hálózatbiztonsági szakértőjét, aki szerint ma Magyarországon is a zsarolóvírusok jelentik a legnagyobb veszélyt.

Gyakoribbak a támadások, védtelenebbek a rendszerek

Egyfelől tehát ott van a kiberbűnözés gyorsan fejlődő eszköztára, másfelől pedig az egyre bonyolultabb vállalati rendszerek, melyek megvédése egyre komolyabb kihívást jelent. Miközben az lenne az alap, hogy ezekre a rendszerekre a biztonsági frissítések a lehető leggyorsabban felkerüljenek, a patchmanagmentet sok szervezet elhanyagolja. Pedig azzal a többség tisztában van, hogy a támogatás nélküli, elavult és befoltozatlan rendszerek nagy lehetőséget jelentenek a támadóknak. A kutatók szerint egyébként a támadások száma az olyan kritikus iparágakban is jelentősen megnövekedett, mint például az egészségügy.

A biztonsági javításokkal telepítése szempontjából az automatikusan frissülő alkalmazásoknál értelemszerűen jobb a helyzet, mint ott, ahol a patchcsomagokat valamiért kézzel kell feltenni. Például míg a Chrome böngészők 75-80 százaléka mindig naprakész, a Java vagy a Microsoft Office esetében rosszabb a helyzet. A kutatók által vizsgált rendszerek harmadán például még mindig a Java SE 6-os verziója fut, míg az Office 2013 telepített példányainak legfeljebb tizede kapta meg a legújabb javítócsomagot.

A szerverek és a kliensek felől is támadnak

A kiberbűnözők egyre nagyobb hangsúlyt helyeznek a szerveroldali exploitok fejlesztésére. A nagy szállítók rendszereiben csak az év első három hónapját nézve is több száz sérülékenységre derült fény (lásd a grafikont). Ezek sok esetben ráadásul több éves hibák.
 

A kliensoldali támadásoknak a száma sem csökken. Itt a kétes dicsőség továbbra is az Adobe Flash: ennek sérülékenységeire épült a legtöbb támadás. A webes támadások terén a windowsos exploitok váltak a legelterjedtebbé. A Facebooknál viszont pozitív tendenciát látnak a kutatók: a közösségi oldalra épülő csalások száma csökkent.

Nagy probléma, hogy a támadók egyre hatékonyabban rejtik el tevékenységüket. Ezt szolgálja a kiberbűnözők körében egyre általánosabban használt TLS (Transport Layer Security), a Tor és a zsaroló programokkal kapcsolatban rendre feltűnő kriptovaluták. Jól jelzi azt a trendet az is, hogy malvertising kampányokban bevetett és HTTPS-titkosított károkozók mennyisége 2015 decembere és 2016 márciusa között 300 százalékkal nőtt.

A legfontosabb: a gyors felismerés és reagálás

A Cisco régóta hangoztatja a felderítési idő fontosságát (time to detection – TTD). Ezt a Cisco saját belső rendszereiben az elmúlt fél évben 13 órára csökkentette, miközben az iparágban 200 nap az átlag.

A 20 leggyakoribb malwarecsalád átlagos felderítési ideje

(Forrás: Cisco. Kattintson a képre a nagyításhoz)

A szervezeteknek sokat segítene, ha bevezetnék a felderítési idő mérését, amely révén folyamatosan javíthatnák ezt a mutatót, és gyorsabban tudnának reagálni az incidensekre. Ezeket a mutatókat pedig a szervezeti biztonsági szabályozás részévé is kellene tenni.

A Cisco Midyear Cybersecurity Report teljes anyaga itt tölthető le el pdf-ben.