Egy friss elemzés szerint a kifizetések átlépték az 1 milliárd dolláros összeghatárt, a zsarolóprogramokat fejlesztő, terjesztő kiberbűnözők örömére. Míg a 2022-es évben jelentős visszaesést mértek, addig tavaly közel duplaannyit voltak kénytelenek átutalni a megtámadott és áldozatul esett szervezetek azért, hogy visszakapják az ellenőrzést adataik felett. A költségek megugrása kéz a kézben járt a támadóstratégia evolúciójával: egyre gyakrabban alkalmaznak ugyanis hármas zsarolást a bűnözők. Ebben az esetben nem az érintett környezetben tárolják titkosítva az adatokat, hanem külső site-on, és nemfizetés esetén az információt (vagy annak egy részét) nyilvánosságra is hozzák, maximalizálva az érintett szervezet hírnevében okozható kárt.

Szintén az elmúlt néhány év terméke a RaaS, azaz Ransomware as a Service. Ahelyett, hogy minden, rosszindulatú terveket szövő kiberbűnözőnek nulláról kellene saját ransomware szoftvert fejlesztenie, némi pénzért cserébe azonnali bevetésre készen férhet hozzá, szolgáltatás formájában. Egyre csökken tehát a belépési küszöb ebben a szegmensben (is).

Cikksorozatunkban azt járjuk körül, milyen hibákat követnek el az érintettek, mi történik a megtámadott szervezetekkel, és mit tehetnek, hogy csökkentsék ezeket a kockázatokat.

Csöndben, a gyenge pontokon jutnak be

A zsarolóvírusok esszenciáját az adatok elérhetetlenné tétele és ennek pénzért történő feloldása jelenti. Ahhoz azonban, hogy a támadó sikeresen végigvihesse az első fázist, először fel kell mérnie a kiszemelt rendszert. Az első lépések megtételéhez ugyanis szükség van a célpont gyenge pontjainak felfedésére. A Unit 42 beszámolója szerint átlagosan kevesebb mint egy hónapig tart a nagyobb szervezeteket érintő támadások esetében ez a folyamat.

A ransomware-támadásokat gyakran előzik meg nem javított biztonsági rések felmérése és kihasználása vagy egyenesen nulladik napi (zero day) támadások. A kiberbűnözők széleskörű eszköztárának több elemét is szívesen alkalmazzák, a social engineeringtől a korábban kiszivárgott felhasználónév-jelszó párosok alkalmazásáig.

Mindazonáltal ezeknek a kísérleteknek a nyomait a támadó igyekszik álcázni, hiszen célja nem a minél gyorsabb károkozás, hanem a kompromittálódott rendszer alapos feltérképezése, az érzékeny adatok megkeresése és zárolása. Utóbbit végzi a ransomware: kijelölt mappákat, akár komplett hálózati meghajtókat titkosít. Az adatokat jogos tulajdonosa számára elérhetetlenné teszi, a támadó azonban a feloldókulcs birtokában hozzáférhet, és azzal zsarolhatja az áldozatot. Jellemzően kriptovalutában követeli a zárolt információ feloldását, annak nehezebb nyomonkövethetősége miatt.

Fizetni vagy nem fizetni? Ez itt a kérdés

Az áldozatul esett szervezet jobb esetben részlegesen, de gyakran akár teljesen elvesztheti az ellenőrzést az adatai felett. A titkosítottá vált információhoz – feloldókulcs híján – nem tud hozzáférni, így használni sem tudja azokat. És itt ne csak pár dokumentumra vagy táblázatra gondoljunk (habár azokban is lehet kritikus fontosságú információ), hanem komplett adatbázisokra, teljes hálózati mappákra, tárhelyekre.

Komoly dilemmával kell szembenéznie a megtámadottnak: ha nem fizet, akkor búcsút inthet az adatainak – hacsak nem gondoskodott védelemről korábban (kicsit később erről még lesz szó). Ha viszont fizet, akkor sem garantálja semmi, hogy nem sérül a szervezet jó hírneve. Ha szerencséje van, akkor egy "becsületes" kiberbűnözővel hozta össze a sors, aki valóban feloldja adatainak blokkolását. Ebben az esetben is számolni kell a kiesett munka költségével (a váltságdíj mellett, természetesen), valamint a károk felmérésével, a sebezhetőségek kijavításával, a rossz gyakorlatok feltérképezésével illetve megváltoztatásával és így tovább.

Számos módon lehet csökkenteni egy sikeres ransomware támadás bekövetkezésének kockázatát. A végpontvédelmek megerősítése, a biztonsági frissítések mielőbbi telepítésének általános alkalmazása, a munkavállalók képzése, az IT-biztonsági szabályzatok kialakítása/felülvizsgálata és betartatása általánosságban is jót tesz a szervezet kibervédelmének. A legjobb ellenszert azonban az adatmentés jelenti.

Menteni, menteni, menteni

Csak a backup jelent abszolút védelmet a zsarolóprogramokkal szemben. Ha ugyanis az adatokról a szervezet rendelkezik friss, biztonságos mentéssel és helyre is tudja állítani azokat (megfelelő folyamatok), akkor az adatvesztés mértéke minimalizálható. Eleget kell azonban tenni néhány feltételnek ahhoz, hogy a szervezet informatikai igazgatója nyugodtan aludhasson. Ezek közé tartozik, hogy a kritikus fontosságú adatok mentését offline vagy legalább a fő hálózattól elszeparáltan (például felhőben) kell tárolni, nehogy a ransomware azt is titkosítsa. Ebből adódóan a biztonsági másolatok védelmét ugyancsak meg kell oldani.

A verziókövetés szintén kardinális pont. Automatikus backupnál ugyanis előfordulhat, hogy már kódolt adatok kerülnek a biztonsági másolatba. Ez a hiba verziókövetéssel kikerülhető, hiszen így nem csak a legfrissebb, hanem régebbi állapot is helyreállítható. Arról szintén rendszeresen meg kell győződni, hogy a mentési folyamat mellett a visszaállítás is zökkenőmentesen zajlik. Tesztelni kell a rendszer restore funkcionalitását, amivel kideríthető, hogy éles helyzetben hozzávetőleg mekkora idő- és munkakiesésre kell számítani.

Alapvetően három különböző backup módszert alkalmaznak a szervezetek adataik védelmére. Teljes biztonsági mentés esetén a kijelölt állományok, mappák, hálózati meghajtók kompletten mentésre kerülnek. Inkrementális backupról akkor beszélünk, amikor az összes beállított erőforrást mentik, ami az utolsó biztonsági mentés óta megváltozott. Differenciális backup esetében pedig csak azok az erőforrások kerülnek biztonsági másolatba, amelyek tartalma eltér az utolsó teljes backupnál rögzített állapothoz képest.

Különösen hasznos lehet zsarolóprogramra alapuló támadás esetén az adatreplikáció (adatmentés) alkalmazása, vagyis az a folyamat, amikor a megadott adatokról teljes és folyamatos másolat készül lehetőleg fizikailag is elkülönített környezetbe. Ez a módszer a teljes rendszer teljesítményére is hatással lehet, gyorsabb helyreállítást biztosít a hagyományos backuppal szemben. Képes autonóm változásfigyelésre, így akár figyelmeztetést is küldhet, ha nem várt beavatkozás történik az állománystruktúrában.

Cikksorozatunk következő részében az adatmentési stratégiák fejlődését mutatjuk be, illetve áttekintjük, milyen trendek uralkodnak és bontakoznak ki napjainkban ezen a téren.

Ez a cikk független szerkesztőségi tartalom, mely az EURO ONE Számítástechnikai Zrt. támogatásával készült. Részletek »