Zsarolóvírust benyelni egyszer sem öröm, hát még egymás után hármszor! A rossz hír, hogy egyre gyakoribbak azok az esetek, amikor egy vállalat rendszerét egymás után támadják meg különböző hekkercsoportok, melyek között nincs semmiféle kapcsolat. A Sophos kiberbiztonsági cég egy friss elemzése egy autóipari beszállító esetét hozza fel példának: a cég hálózatát nagyon rövid időn beül – lényegében egymást átfedve – megtámadta a Hive, a Lockbit és a BlackCat zsarolóvírus-csoport is (a konkrét eset elemzése itt olvasható).

Ha megvan egy hiba, mindenki rárepül

A Sophos X-Ops Active Adversary hasonló támadásokat elemző tanulmánya szerint (Multiple Attackers: A Clear and Present Danger) ez általános tendencia. A példaként hozott vállalat hálózatánál az első két támadás között mindössze két óra telt el, de a harmadik is alig két héten belül következett be. Ennek eredményeként a fájlok egy része háromszorosan volt titkosítva.

A Sophos szerint ez újdonság. Bbár korábban is volt rá példa, hogy egy szervezet hálózatát több hullámban támadták különböző kiberbűnözői csoportok, az egyes támadások között minimum hónapok teltek el. Ma viszont már az egymást átfedő kibertámadások sem ritkák. Sokszor egy kriptobányászat célú támadást (amikor bányász algoritmsuok futtatására csapolják meg a megtámadott rendszer erőforrásait) rövid időn belül követ egy távoli hozzáférésű trójai eszköz (remote access trojan, RAT), majd esetleg bothálózat.

Ez az elemzés szerint azért fontos újdonság, mert alapesetben a bűnözői csoportok is versengenek egymással az erőforrásokért, ezért igyekeznek akadályozni egynást. A kriptobányászok például általában olyan erőforráslopó kódot telepítenek, amely kiiktat minden olyan konkurens káros kódot, amely veszélyezteti a hatékonyságát. De a RAT-ekbe is egyre gyakrabban építenek olyan funkciót, amely kilövi a különböző botokat. (Amikor 2018-ban megtalálták az első olyan káros kódot, amely kiirtotta a megtámadott rendszerről a konkurenseit, a kutatók még azt feltételezték, hogy talán valamilyen programozási hiba okozhatja ezt a viselkedést.)

A Sophos által példaként hozott támadásoknál viszont mintha a támadások segítették is volna egymást: a három egymást követő ransomware-támadásban például az utolsó csoport (a BlackCat) nem csak a saját tevékenységének nyomait törölte, hanem a LockBitét és a Hive-ét is. De a kutatók találkoztak olyan esettel is, amikor egy rendszert a LockBit zsarolóvírus fertőzött meg, majd három hónappal később a Contihoz kapcsolódó Karakurt Team a LockBit által létrehozott backdooron keresztül lopott adatokat, hogy azokért váltságdíjat követeljen.

Kattintson a képre a nagyobb mérethez!

A Sophos kutatója, John Shier szerint valami változóban lehet: bár nincs bizonyíték a különböző kiberbűnözői csoportok együttműködésre, de lehetséges, hogy a támadók felismerték, hogy az egyre kompetitívebbé váló piacon véges számú erőforráson kell osztozniuk.

Gyorsabban jön a támadás, mint a patch

Az elemzés szerint a támadás első hulláma általában valamilyen javítatlan sebezhetőségen keresztül történt. (A Sophos sok foltozatlan Log4Shell-, ProxyLogon- és ProxyShell-sérülékenységet talált, de gyakori támadási felület a rosszul konfigurált Remote Desktop Protocol is.) A legtöbb esetben az történt, hogy megtámadott szervezet már az első támadást sem tudta megfelelően elhárítani, így az gyakorlatilag kinyitotta az ajtókat a további támadások előtt.

Mint azt John Shier a SecurityWeeknek összefoglalta, az első támadást gyakran kriptobányászok hajtáj végre, akik egy könnyen kihasználható új sebezhetőségre azonnal rávetik magukat. Ha ezt nem fedezi fel időben a vállalat kiberbiztonsági csapata, a kriptobányász program megnyitotta úton jön a támadások újabb és újabb hulláma. A tanulság tehát, hogy a legkisebb biztonsági réssel is azonnal, a felfedezésekor kell foglalkozni.