A floridai Riviera City közgyűlése a héten megszavazta, hogy a város fizesse ki a több mint 600 ezer dollárnak megfelelő váltságdíjat annak a ransomware csoportnak, amely hozzáférhetetlenné tett bizonyos adatokat a kormányzati rendszerben. A hetekkel ezelőtt, május legvégén történt incidens során a támadók olvashatatlanná tették (titkosították) Riviera City adatait, miután a Riviera Beach rendőrség egyik alkalmazottja megnyitott egy preparált email-üzenetet, és ezzel rászabadította a zsarolóvíruszt a város hálózatára.

A ransomware támadás annyira jól sikerült, hogy a közszolgáltatások gyakorlatilag leálltak a településen, ide értve a város weboldalait, levelező vagy számlázó rendszerét is, és a kommunikáció azóta csak telefonon vagy hagyományos postai úton zajlik. Az önkormányzati vezetők még június elején döntöttek összesen 400 új számítógép beszerzéséről majdnem egymillió dollár értékben, hogy megkezdjék egy új informatikai infrastruktúra kiépítését.

Esetenként nincs igazi választásuk

Ekkor még nem volt szó a váltságdíj kifizetéséről, időközben azonban világossá vált, hogy másképpen lehetetlen lesz ismét hosszférést szerezni a lezárt adatok jelentős részéhez, mivel azokról nem készítettek következetesen biztonsági másolatokat. Hétfőn aztán egyhangú többséggel megszületett a fenti döntés is, és a város biztosítója engedélyt kapott 65 bitcoin (akkori árfolyamon 603 ezer dollár) kifizetésére a kiberbűnözőknek.

A CBS News által feldolgozott sztori nem a legelső ilyen eset. A helyi The Palm Beach Post beszámolója szerint tavaly egy másik Palm Beach-i előváros, Palm Springs is hasonló körülmények között a fizetés mellett döntött, de a város kormányzata két évre visszamenőleg úgy is elvesztette az adatait, hogy teljesítette a zsarolók követeléseit. Idén márciusban a Georgia államba fekvő Jackson County egyezett bele hasonló nagységrendű, 400 ezer dolláros váltságdíj megfizetésébe, szintén a város rendszereiben tárolt fájlok hozzáférhetőségének helyreállításáért.

A műfajban még így is egy dél-koreai incidens jelenti a rekordot: a Nayana webhosting-cég majdnem pontosan két évvel ezelőtt 1,3 milliárd won (nagyjából 1,14 millió dollár) értékű kriptovalutával volt kénytelen megváltani a rendszereiben tárolt adatokat. A beszámolók akkor is és most is azt hangsúlyozták, hogy sokan a zéró tolerancia vagy a "kutyaharapást szőrével" elveket követik, bizonyos esetekben azonban egyértelmű, hogy a nemfizetés okozná a legnagyobb kárt.

A Jackson County ügyben például alsó hangon 2,6 millió dollárra becsülték a helyreállítás költségeit, ami azonban a ZDNeten megszólaló szakértők szerint simán felkúszhatott volna 17 millióig is – és akkor még nem volt szó a helyreállításhoz szükséges hónapokról, amire szükség lett volna a közszolgáltatások újraindításáig, és az ezalatt elszenvedett járulékos károkról. Ehhez képest a 400 ezres váltságdíj már észszerű választásnak tűnik.

Nem jó fizetni, és nem jó nem fizetni

A ransomware támadások száma minden forrás szerint látványosan emelkedik, a fenti dilemma viszont nehezen oldható fel, amennyiben a károk enyhítése közvetlenül összefügg a kiberterrorizmus finanszírozásával. A megfontolások általában onnan indulnak, hogy miylen módon lehet a legolcsóbban megúszni egy-egy esetet, de ehhez további szempontok is járiulnak: ilyen szempont lehet, hogy esetenként a támadók sem rendelkeznekolyan szofisztikált eszközökkel, amelyekkel praktikusan meg nem történtté tudnák tenni a vírusok pusztításának hatásait.

A Legalweek egyik felméréséből kiderül, hogy a döntési helyzetben lévők nagy többsége, 86 százalék a alapból a megszokott tanácsokat követné, és nem fizetne a zsarolóknak. A CyberScoop által megkérdezett jogi szakértők szerint viszont a kisebb összegek esetében már az egyetlen észszerű döntés a váltságdíjak kifizetése. A forrásokkal és szakértelemmel is rendelkező bűnözői csoportok már nem utaznak az olcsó "spray and pay" akciókban, ami viszont azt is jelenti, hogy a szofisztikált támadások nyomán a biztosítóknak, a nyomozóknak és a vállalati biztonsági csapatoknak is elég információ áll a rendelkezésére az elveszett információ visszaszerzésének esélyeiről.

A nyilatkozók itt is megjegyzik, hogy az IT-biztonsági vezetők szinte megoldhatatlan feladat előtt állnak, amikor egy-egy incidens közepette a támadásokkal kapcsolatos bizonyítékokat kellene elemezgetniük, miközben az üzleti vezetés szemében a rendszerek működésének minél gyorsabb helyreállítása jelenti a prioritást. Kisebb összegek esetében szinte mindenkinek megváltást jelent, ha gyorsan túlesnek az egészen – még akkor is, ha a hatóságok (így az FBI) nem győzik hangsúlyozni, hogy a váltsgdíjak kifizetése semmi másra nem vezet, mint a bűnözök tevékenységének kiszélesedéséhez.

A Bromium adatai alapján tavaly a zsarolók már több mint egymilliárd dollárt kerestek világszerte, míg a célpontoknak mindennel együtt 8 milliárd dollárjába kerültek a támadások. 2018-ban egyébként egészen sokkoló mértékben, közel négyötödével emelkedett az ilyen kísérletek száma, amit összefüggésbe helyez, hogy a kiberbiztosítások kárigényléseinek már 2017-ben is legalább a negyede a ransomware károkkal függött össze. Egyelőre az üzleti szereplőknek kevesebb mint harmada hajlandó vagy tud fizetni a támadóknak, a váltságdíjak emelkedése viszont azt is jelenti, hogy a kis- és közepes vállalkozások egyre kevésbé jelentenek vonzó célpontot a bűnözöknek.