Az USA kibervédelméért felelős ügynökség (CISA) és a Szövetségi Nyomozó Iroda (FBI) tanácsadó figyelmeztetést adott ki az ünnepi hétvégéken várható, nagyszabású kibertámadásokkal kapcsolatban. Ebben kiemelik, hogy az elmúlt években a hekkerek tucatnyi pusztító támadást indítottak ezeken a hosszú hétvégéken, és arra szólítják fel a szervezeteket, hogy tegyenek lépéseket a rendszereik kitettségének csökkentésére, és végezzenek megelőző fenyegetésvadászatot (threat hunting), a behatolók jelenléte után kutatva a hálózataikon. A hekkerek nem feltétlenül ugyanakkor mennek szabadságra, mint a céges alkalmazottak, és ezt a védekezést megszervezésekor is érdemes lenne figyelembe venni.

Bár nincs szó semmilyen konkrét fenyegetésről szóló értesülésről, az utóbbi időszak tapasztalatai alapján nyilvánvaló, hogy a rosszindulatú szereplők tisztában vannak az informatikai csapatok korlátozott lehetőségeivel az ünnepi hétvégék környékén. A CISA ehhez hozzáteszi, hogy a ransomware továbbra is folyamatosan nemzetbiztonsági fenyegetésnek számít, azonban nincs szó leküzdhetetlen kihívásokról. Az esetleges váltságdíjak kifizetéséről továbbra is igyekeznek mindenkit lebeszélni, és arra szólítanak fel, hogy az illetékes hatóságok értesítését megelőzően senki ne hozzon semmilyen döntést ezekben az ügyekben.

A közleményből felidézi például a Kaseya szoftvergyártót célzó július 4-ei támadást, a Colonial Pipeline elleni anyák napi akciót vagy a JBS húsfeldolgozót érintő, az emlékezet napjának hétvégéjére visszavezethető incidenst is. A hatóságok szerint 2020-ban rekord számú, közel 800 ezer bejelentés érkezett hozzájuk a különféle internetes bűncselkményekkel kapcsolatosan, amelyek már a bejelentések alapján is több mint 4 milliárd dolláros kárt okozhattak, összességében pedig egészen elképesztő, 69 százalékos emelkedést jelentenek az előző évi szinthez képest.

A zsarolóprogramok ezen belül az esetszámot tekintve 20 százalék körüli növekedést mutattak, a váltságdíjak összegében viszont 225 százalékos növekedés volt tapasztalható. A CISA ehhez hozzáteszi, hogy a bűnözők új módszereket is bevetnek, hogy a támadások minél pusztítóbb hatásúak legyenek, így a fájlok titkosítása mellett igyekeznek megsemmisíteni a biztonsági mentéseket, vagy a fenyegetést azzal nyomatékosítják, hogy érzékeny adatokat próbálnak ellopni a célpontoktól.

Kivárják a legjobb alkalmat

A hosszú hétvégékről szólva a CISA is azt magyarázza, hogy a bűnözők sok esetben már hetekkel azelőtt behatolnak a céges rendszerekbe, hogy ténylegesen elindítanák a támadásokat – ez azonban a másik oldalon is lehetőséget ad rá, hogy még időben felfedezzék az árulkodó jelenket. Az ünnepi-hétvégi időpontok azért ideálisak a hekkerek szemében, mert olyankor hosszabb lehet a válaszadás ideje, sokszor pedig egy olyan ügyeletes csapat tartja a frontot, amely nem rendelkezik a megfelelő erőforrásokkal az egyidejű felügyelethez és a támadások gyors elhárításához.

A ZDnet által megszólaltatott szakértő szerint ilyenkor is működhetnek persze az automatikus riasztások és a nyomukban végrehajtott lezárások, de általában ezek is emberi beavatkozást igényelnek. A támadók tisztában vannak vele, hogy az ünnepi hétvégéken sokan vannak úton, nem feltétlenül érik el a munkahelyi hozzáférést biztosító eszközeiket, így a riasztások esetén is csak korlátozottan tudnak közbelépni. A ransomware támadások sokszor lennének megelőzhetők a naplózás vizsgálatával, amit persze a hekkerek is meg tudnak kerülni, de a potenciális áldozatok számának gyors emelkedését és a borzalmas kiberbiztonsági higiéniát figyelembe véve erre nincsenek igazán rákényszerítve.

A legtöbb szervezet ráadásul azonnal a titkosított adatok feloldására törekszik, és nem akarja kivárni az ünnepi hétvége időtartamát (ami a szervezet presztízsét is annyival tovább rombolhatja), így nagyobb valószínűséggel áll le tárgyalni a támadókkal, és a váltságdíj gyors kifizetésével igyekszik minimalizálni a hosszabb távú kockázatokat. A nyár elején mi is beszámoltunk a Cybereason kutatásáról, amely szerint az adataikat váltságdíjért visszavásároló szervezetek 80 százalékát újból támadás éri, sőt az is előfordul, hogy még a támadók is ugyanazok.