Egyre nagyobb cégeket támadnak meg zsarolóvírusokkal kiberbűnözők, így egyre jövedelmezőbb ez a támadástípus. 2020 harmadik negyedévére az átlagos váltságdíj közelített a 234 ezer dollárhoz, a mediánérték pedig a 11 ezerhez. Az átlag az előző negyedévhez képest is látványosan, 31 százalékkal emelkedett, a mediánérték csak 2 százalékkal – írja legfrissebb jelentésében a zsarolókra szakosodott Coveware biztonsági cég.

Ez azzal is összefügg, hogy a bűnözők egyre gyakrabban nagyvállalatokat és kormányzati szerveket támadnak meg. Azzal számolnak – joggal –, hogy ezek a szervezetek akár extra magas váltságdíjat is kifizetnek, mert nem engedhetik meg maguknak a hosszabb leállást.

De van más tendencia is, ami miatt a vállalatoknak módosítaniuk kellene a hozzáállásukon: egyre gyakoribb, hogy a támadók a váltságdíj kifizetése után nem teljesítik az ígéretüket. És hogy ez még problémásabb legyen, nem csak a titkosítás feloldásáról van szó, hanem adatlopásról is. Tavaly ősz óta a kutatók egyre több olyan esettel találkoznak, amikor a ransomware-es bűnözői csoportok már nem csak titkosították az adatokat, hanem előtte le is töltöttek belőle, amennyit csak tudtak. Ez ugyanis egy újabb adu volt a kezükben: ha esetleg a cég nem akart fizetni a titkosítás feloldásáért, akkor még meg lehetett zsarolni azzal, hogy kiteszik a netre az érzékeny adatait. Sok vállalat ekkor már inkább a fizetést választja, cserébe a bűnözők megígérik, hogy azonnal törlik az adatokat, amikor megkapták a pénzt.

Aztán mégsem törölik...

Már a ransomware-támadások felénél lopnak

A Coveware elemzése szerint a harmadik negyedévében kivizsgált ransomware-támadások felénél adatlopás is történt. Ezzel párhuzamosan az is egyre gyakoribb, hogy a támadók nem tartják be az ígéretüket. A REvil (Sodinokibi), a Netwalker (Mailto) és a Mespinoza (Pysa) zsarolót használó csoportokról például többször bebizonyosodott, hogy akkor sem törölték az ellopott adatokat, amikor az érintett cég kifizette a váltságdíjat.

Az adatok egyébként nem csak azért nincsenek biztonságban a kiberbűnözőknél, mert szándékosan szivárogtatni akarnak, esetleg azokat később újra akarják hasznosítani. Hanem azért is, mert csapnivaló biztonságú rendszereken tárolják a zsákmányt. A Coveware bemutatott például egy olyan incidenst, amikor a Maze ransomware mögött álló bűnözői csoport szervereiről még azelőtt kiszivárogtak a lopott adatok, mielőtt az áldozatokat megzsarolták volna velük. De volt ilyen esete a Sekhmet és az Egregor zsarlóvírusok mögött álló csoportoknak is.

Az adatlopással párosított ransomware-támadás egyik úttörője egyébként a Maze zsaroló volt, amely szolgáltatásként is (Ransomware as a Service) elérhető.

Itt nincs helye a bizalomnak, és nem szabad fizetni

Az új zsarolási forma elterjedése érthető. A titkosítással csak egyszer lehet lehúzni az áldozatot, míg az adatok miatt akár többször is vissza lehet térni. Már ha az áldozat hajlandó fizetni.

Biztonsági kutatók már jó ideje hangoztatják, hogy nem szabad a zsarolóknak fizetni. Még az sem biztos, hogy a váltságdíj kifizetése után megkapjuk a kulcsot a titkosítás feloldásához. Arra pedig végképp nincs garancia, hogy ellopott adatokat törölni fogják ahelyett, hogy értékesítenék. Az USA-ban már kormányzati szinten is foglalkoztak a váltságdíj kifizetésének szabályozásával. Az amerikai pénzügyminisztérium nyomozó szerve arra hívta fel a váltságdíjat fizetők figyelmét, hogy a fizetéssel könnyen megsérthetik a kormány ellenséges államokkal szemben hozott szankcióit. Sőt akár terrorszervezeteket is támogathatnak azzal, hogy váltságdíjat fizetnek. Mindkét esetnek súlyos jogi következményei lehetnek.

A biztonsági kutatók az ilyen zsarolós adatlopások esetében azt javasolják a szervezeteknek, hogy ne alkudozzanak bűnözőkkel. Inkább készítsék fel az érintetteket (alkalmazottakat, ügyfeleket), hogy megakadályozhassák az ellopott érzékeny adatokkal történő visszaéléseket.