A támadáshoz ráadásul minden vállalatnál ott lapul az a kiskapu, amin a ransomware be tud furakodni a céges rendszerekbe.

Közel egy éve fedezték fel a Nefilim (vagy Nemty) zsarolóvírust, de még mindig tud meglepetéseket okozni. A Sophos kiberbiztonsági vállalat elemezése szerint az ún. "szellemfiókok", azaz az elhagyott, magas szintű jogosultságokat biztosító felhasználói fiókokon keresztül olyan összetett támadásokat is végre lehet hajtani, aminél az utolsó lépés, a rendszerben található adatok titkosítása csak hab a tortán.

Először adatot lop, csak utána titkosít

A Nefilim is azt csinálja, amit manapság a legtöbb ransomware: először megpróbál minél több adatot megszerezni, aztán lecsap, és titkosítja a célpont rendszereit, hogy kellően ütős legyen a hekkerek érvelése. Ebből a szempontból tizenkettő egy tucat, ami ellen már vannak hatékony védelmi fogások. Ám van egy ügyes egyedi trükkje, ami rendkívül veszélyessé teszi.

Egy a zsarolóval végrehajtott támadásnál, amely több mint száz rendszert érintett, a kutatók elkezdték visszafelé követni a ransomware útját. Így derült ki, hogy a károkozó kód több mint négy héttel korábban jutott be egy magas szintű hozzáféréssel rendelkező adminfiókon keresztül.

A rendszertitkosítási akcióig a hekkerek képesek voltak titokban tartani a jelenlétüket. Ez idő alatt módszeresen végigpásztázták a hálózatot, ellopták egy domainszintű adminfiók hozzáférési adatait, felkutattak és elloptak több száz gigabájtnyi adatot. Majd amikor úgy gondolták, hogy minden fontos-érdekes a birtokukban van, szabadjára engedték a titkosító algoritmust. Utóbbi már csak egyfajta győzelmi jelentés volt a részükről.

Bár a folyamat is szép példája a ransomware-ek új típusú működésének, ebben a konkrét támadásban az igazán tanulságos a bejutás módja. A hekkerek először kompromittáltak egy adminfiókot, ami egy pár hónappal korábban elhunyt alkalmazotté volt. A cég ott követte el a súlyos hibát, hogy az adott fiókot aktívan hagyta, mert a kolléga halála után is használták több szolgáltatáshoz.

Egy másik, hasonló szisztémájú támadásnál a hekkerek még azzal sem vesződtek, hogy megszerezzenek egy domainszintű fiókot: egyszerűen létrehoztak egyet, mert a bejutáshoz használt fióknak kellően magas volt a jogosultsági szintje (indokolatlanul) egy ilyen művelet végrehajtásához. A domainszintű fiókon keresztül pedig töröltek vagy másfél száz virtuális szervert, titkosítottak biztonsági másolatokat a Microsoft Bitlockerrel. Minderről a biztonsági csapat nem kapott semmiféle riasztást. Itt is lényegében a győzelmi jelentéssel felérő titkosításnál derült ki: megtámadták a vállalat rendszereit.

Az alapvető biztonsági higiénia része

A Sophos Rapid Response menedzsere, Peter Mackenzie szerint túl sok olyan incidenssel találkoznak, ami indokolatlanul magas jogosultságú fiókokból indul. És egyre gyakoribb, hogy a hekkerek ehhez fölöslegessé vált, de felügyelet nélkül hagyott, ún. "szellemfiókokat" használnak.

A felhasználó fiókok felügyelete alapvető a biztonsági higiénia szempontjából. Egyszerűen nem szabad engedni, hogy a rendszerben felügyelet nélküli fiókok legyenek. Ha egy fiókra azután is szükség van, hogy az ahhoz tartozó személy távozott a cégtől, létre kell hozni egy ún. szervizfiókot, és abba megtagadni az interaktív belépéseket.

A jogosultságokkal pedig takarékosan és szigorúan kell bánni: csak akkor és az juthasson magasabb szintű jogosultsághoz, amikor és akinek arra valóban szüksége van az adott adott feladat elvégzéséhez. Szintén segíti a védekezést, ha például az Active Directory automatikusan küld riasztások a domainszintű adminisztrátori fiók használatakor, vagy ha új adminfiókot hoznak létre.

Biztonság

Bűncselekmények gyanújával készült feljelentés a KRÉTA-rendszer ügyében

A 2019-ig visszatekintő kormányzati átvilágítás "gyanús mintázatot" talált, ennek nyomán pedig 40 oldalas feljelentés készült a KRÉTA, a Neptun és az állami iratkezelők 100 milliárd forintot is meghaladó kifizetésit illetően.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.