Ugyanaz a ransomware, azaz zsarolóvírus fertőzte meg a múlt héten a vállalati megoldásokat szállító német Software AG rendszereit, mint ami korábban a holland Maastrichti Egyetemen pusztított. A probléma azért sem elhanyagolható, mert a Software AG vállalatoknak kínál szoftvereket, a kor szellemének megfelelően egyre inkább felhőből, szolgáltatásként (SaaS).

Fokozatosan szabadult el a fertőzés

A Software AG saját oldala szerint több mint 70 országában van jelen (habár például a közvetlen képviselet helyett Lengyelországból szolgálják ki több kelet-közép és dél-európai országban, köztük Magyarországon is az ügyfeleiket). Az ötezer főt alkalmazó szoftvercégnek jelenleg több mint 10 ezer vállalat az ügyfele.

A társaság október 5-én jelentette be az illetékes hatóságoknak a támadást, de maga a fertőzés két nappal korábban, október 3-án történt. A vállalat első intézkedésként leállította néhány belső rendszerét. Bár hogy pontosan mennyire volt kiterjedt a fertőzés, a bejelentés szövegéből nem derült ki. A helpdesket és a belső kommunikációt biztosan érintette, azt ugyanis nem sikerült helyreállítani a bejelentés időpontjáig. A támadás azonban nem érintett sem az ügyfeleknek nyújtott szolgáltatásokat, sem az ügyfelek adatait – állította a szoftvercég, ahogy azt is, hogy a problémás rendszerek helyreállítása folyamatban van.

Aztán három nappal később kiderült: a ransomware-t nem sikerült teljesen megfékezni. Ekkor már azt is elismerte a vállalat, hogy a támadók adatokat is le tudtak tölteni mind a szerverekről, mind az alkalmazottak eszközeiről.

A Maastrichti Egyetem már átesett ezen

Mint fentebb írtuk, hogy a Software AG rendszereit ugyanaz a vírus fertőzte meg, amelyikkel a Maastrichti Egyetemnek is meggyűlt a baja idén februárban: a Clop nevű zsaroló féreg. Akkor az egyetem a gyors helyreállítás érdekében 30 bitcoint fizetett (ez akkori árfolyamon kb. 72,5 millió forint volt, momentán 103 milliót ér).

A MalwareHunterTeam kutatói a mostani támadás kapcsán újra megnézték a vadon fellelhető Clop ransomware-ek variánsait. Arra jutottak, hogy a károkozó az elmúlt hónapokban bővült. Kapott egy olyan funkciót, melynek feladata logfájlok törlése. A Software AG rendszeriben garázdálkodó változat azt is ellenőrizte, hogy a McAfee vírusvédelme jelen van-e a rendszerben, és ha megtalálta, megpróbálja törölni. Azt a kutatók nem tudták megmondani, hogy ez a funkció kifejezetten azért készült-e, mert a támadók megtudták, hogy a Software AG ezt a vírusvédelmet használja.

A támadók nem csak titkosítottak, hanem adatokat is loptak, és megfenyegették a szoftvervállalatot, hogy ha nem fizet, azok egy részét hamarosan nyilvánosságra hozzák. Ha hitelesek a hekkerek által küldött képernyőmentések, elképzelhető, hogy egymilliónál is több érzékeny állományt, köztük útlevélmásolatokat, számlákat, elektronikus leveleket töltöttek le.

Kicsit drágább, mint az egyetemi támadás

A Bleeping Computer úgy értesült, hogy a támadók 2000 bitcoint kérnek az adatokért (kb. 6,9 milliárd forint, 19,3 millió euró!). Ezt az értesülést azonban egyelőre a vállalat nem erősítette meg. A kérdés azonban nem az összeg nagysága, bár ennyi pénz még egy Software SG méretű vállalatnak is nagyon fájdalmas. 2018-ban a profitja 195 millió euró volt, aminek kapásból tizedét elvinné, ha kifizetné a váltságdíjat.

A fizetés ráadásul kockázatos, ahogy arra többször is figyelmeztettek szakemberek. Minden váltságdíj-fizetés ugyanis egyben a kiberbűnözés támogatása is. A múlt héten az USA pénzügyminisztériuma kiadott, egy figyelmeztetést is, hogy jogi szankcióknak nézhet elébe az, aki közreműködik a ransomware-támadások után a váltságdíj kifizetésében.