Hiba fizeti ki a megtámadott szervezet a váltásdíjat az ellopott adatok törléséért, a zsarolók mégsem törlik azokat.

Egyre nagyobb cégeket támadnak meg zsarolóvírusokkal kiberbűnözők, így egyre jövedelmezőbb ez a támadástípus. 2020 harmadik negyedévére az átlagos váltságdíj közelített a 234 ezer dollárhoz, a mediánérték pedig a 11 ezerhez. Az átlag az előző negyedévhez képest is látványosan, 31 százalékkal emelkedett, a mediánérték csak 2 százalékkal – írja legfrissebb jelentésében a zsarolókra szakosodott Coveware biztonsági cég.

Ez azzal is összefügg, hogy a bűnözők egyre gyakrabban nagyvállalatokat és kormányzati szerveket támadnak meg. Azzal számolnak – joggal –, hogy ezek a szervezetek akár extra magas váltságdíjat is kifizetnek, mert nem engedhetik meg maguknak a hosszabb leállást.

De van más tendencia is, ami miatt a vállalatoknak módosítaniuk kellene a hozzáállásukon: egyre gyakoribb, hogy a támadók a váltságdíj kifizetése után nem teljesítik az ígéretüket. És hogy ez még problémásabb legyen, nem csak a titkosítás feloldásáról van szó, hanem adatlopásról is. Tavaly ősz óta a kutatók egyre több olyan esettel találkoznak, amikor a ransomware-es bűnözői csoportok már nem csak titkosították az adatokat, hanem előtte le is töltöttek belőle, amennyit csak tudtak. Ez ugyanis egy újabb adu volt a kezükben: ha esetleg a cég nem akart fizetni a titkosítás feloldásáért, akkor még meg lehetett zsarolni azzal, hogy kiteszik a netre az érzékeny adatait. Sok vállalat ekkor már inkább a fizetést választja, cserébe a bűnözők megígérik, hogy azonnal törlik az adatokat, amikor megkapták a pénzt.

Aztán mégsem törölik...

Már a ransomware-támadások felénél lopnak

A Coveware elemzése szerint a harmadik negyedévében kivizsgált ransomware-támadások felénél adatlopás is történt. Ezzel párhuzamosan az is egyre gyakoribb, hogy a támadók nem tartják be az ígéretüket. A REvil (Sodinokibi), a Netwalker (Mailto) és a Mespinoza (Pysa) zsarolót használó csoportokról például többször bebizonyosodott, hogy akkor sem törölték az ellopott adatokat, amikor az érintett cég kifizette a váltságdíjat.

Az adatok egyébként nem csak azért nincsenek biztonságban a kiberbűnözőknél, mert szándékosan szivárogtatni akarnak, esetleg azokat később újra akarják hasznosítani. Hanem azért is, mert csapnivaló biztonságú rendszereken tárolják a zsákmányt. A Coveware bemutatott például egy olyan incidenst, amikor a Maze ransomware mögött álló bűnözői csoport szervereiről még azelőtt kiszivárogtak a lopott adatok, mielőtt az áldozatokat megzsarolták volna velük. De volt ilyen esete a Sekhmet és az Egregor zsarlóvírusok mögött álló csoportoknak is.

Az adatlopással párosított ransomware-támadás egyik úttörője egyébként a Maze zsaroló volt, amely szolgáltatásként is (Ransomware as a Service) elérhető.

Itt nincs helye a bizalomnak, és nem szabad fizetni

Az új zsarolási forma elterjedése érthető. A titkosítással csak egyszer lehet lehúzni az áldozatot, míg az adatok miatt akár többször is vissza lehet térni. Már ha az áldozat hajlandó fizetni.

Biztonsági kutatók már jó ideje hangoztatják, hogy nem szabad a zsarolóknak fizetni. Még az sem biztos, hogy a váltságdíj kifizetése után megkapjuk a kulcsot a titkosítás feloldásához. Arra pedig végképp nincs garancia, hogy ellopott adatokat törölni fogják ahelyett, hogy értékesítenék. Az USA-ban már kormányzati szinten is foglalkoztak a váltságdíj kifizetésének szabályozásával. Az amerikai pénzügyminisztérium nyomozó szerve arra hívta fel a váltságdíjat fizetők figyelmét, hogy a fizetéssel könnyen megsérthetik a kormány ellenséges államokkal szemben hozott szankcióit. Sőt akár terrorszervezeteket is támogathatnak azzal, hogy váltságdíjat fizetnek. Mindkét esetnek súlyos jogi következményei lehetnek.

A biztonsági kutatók az ilyen zsarolós adatlopások esetében azt javasolják a szervezeteknek, hogy ne alkudozzanak bűnözőkkel. Inkább készítsék fel az érintetteket (alkalmazottakat, ügyfeleket), hogy megakadályozhassák az ellopott érzékeny adatokkal történő visszaéléseket.

Biztonság

Délkelet-Ázsiával lép digitális szövetségre az Európai Unió

A most beindított, európai támogatással létrehozott árutovábbítási rendszer mellett együttműködnének a digitális szabványok, a kiberbiztonság, az oktatás vagy a nagy teljesítményű számítástechnika fejlesztésének területén is.
 
Jó hír: ehhez rendelkezésre állnak a megfelelő eszközök. Az általánossá váló távmunka még jobban ráirányította a figyelmet, hogy az adatok biztosítása nem csak a cloud szolgáltatók, hanem legalább akkora részben a megrendelők felelőssége is.

a melléklet támogatója a Servergarden

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.