Bár egy időben mérhetően csökkent a zsarolóvírus-támadások száma, a bűnözők a végfelhasználók otthoni gépei helyett már megtalálták a befektetés-arányosan sokkal jobban fizető célpontokat, ami újra a fájlrendszereket titkosító malware-ek felfutásához vezetett. Az ideális áldozatok azok a kis- és közepes vállalkozások és hasonló méretű szervezetek, köztük a települési önkormányzatok, amelyek forrásaikat tekintve nem feltétlenül képesek a teljesen naprakész kiberbiztonsági protokollok kialakítására és fenntartására, de a sikeres támadások olyan károkat okoznak nekik, hogy a legtöbbször a váltságdíjak kifizetése tűnik az egyetlen életszerű választásuknak.

A 2017-es WannaCry összességében nem generált rekord bevételt az elkövetőknek, de első ízben mutatta meg a gyakorlatban is, hogy az ilyen kampányok milyen pusztítóak lehetnek az üzleti szereplőkre vagy akár a kritikus infrastruktúrák irányítására nézve. Bár az elmúlt években olyan szervezetek is áldozatául estek a zsarolóvírusoknak, mint a brit Nemzeti Egészségügyi Szolgálat, a Maersk vagy a Norsk Hydro, a leggyakoribb látható célponttá a városok és helyi önkormányzatok váltak, különösen az Egyesült Államokban.

Egyre nagyobb összegek röpködnek

Idén nyáron a 34 ezer lakosú, floridai Riviera Beach City már 600 ezer dollár értékű bitcoint fizetett az adatait és szolgáltatásait megbénító hekkereknek, nem sokkal később pedig a 12 ezres, ugyancsak floridai Lake City-nek került 500 ezer dollárjába a városi tanács majdnem minden informatikai rendszerét és szolgáltatását elérhetetlenné tévő támadás. Legutóbb a Colordao államban fekvő, szintén 12 ezres lélekszámú Lafayette jelentette be július végén, hogy 45 ezer dollárja bánja a számítógépes hálózatát, telefonos és levelező szolgáltatásait, illetve online fizetési és időpontfoglalási rendszereit tönkretévő malware-fertőzést.

Az ottani polgármester egy videoüzenetben biztosított róla mindenkit, hogy a közpénzek elköltésének nem ez volt az a módja, amelyet eredetileg terveztek, és minden lehetőséget számba vettek, mielőtt belementek volna a váltságdíj kifizetésébe. Ennek során nem csak a várható költségeket, de a helyreállítás időtartamát is figyelembe kellett venniük, összességében pedig világossá vált, hogy a rendszerek visszaállításának ára és a kimaradás hossza nem alternatíva a titkosító kulcs megvásárlása mellett.

A sort a Georgia állambeli Jackson County-val folytathatjuk, ahol 400 ezer dollárba került, hogy visszanyerjék a saját IT-rendszereik fölötti ellenőrzést. Az eddigi rekordot minden bizonnyal Atlanta, Greenville vagy Baltimore jelenti – utóbbi esetében a hekkerek követelése 70-80 ezer dollár értékű bitcoin volt, de a későbbi hírek szerint a városi képviselőknek egy 10 millió dolláros keretről kellett dönteniük a károk fokozatos helyreállítására. Az összes eset közös tulajdonsága azonban az, hogy a városi vezetőknek nem sok választásuk van, ha a kritikus közszolgáltatások helyreállításának leggyorsabb és legolcsóbb módját keresik, ezzel pedig a bűnözők is tisztában vannak.

A világon pesze nem csak az amerikai közösségek futottak bele komoly incidensekbe, és nem is mindenhol mennek bele a tárgyalásba: a dél-afrikai Johannesburg például tavaly döntött úgy, hogy nem fizet váltságdíjat néhány hónapon belül már második, a városi közműveket érintő zsarolóvírus-támadás elkövetőinek. A kisebb önkormányzatok azonban nem igazán gondolkodhatnak saját erőből megvalósítható megoldásokban, így a beszámolók szerint az sem meglepő, hogy a hekkerek már kifejezetten utaznak rájuk – korábban inkább csak vaktában lövöldöztek, és áldozataik közé véletlenül akadt be egy-egy helyi kormányzati hálózat.

Amit tudnak, azt azért megtehetnék

Ehhez jön, hogy az elkövetőket csak nagyon ritkán sikerül azonosítani, ami a szakemberek szerint a műfaj egyik sajátossága, szemben más támadási formákkal. Az egyetlen jó hír, hogy az illetékesek állítólag már egyre több helyen értik a zsarolóvírusok kockázatait, és egyre több forrást hajlandóak a védekezésre allokálni, nem utolsósorban a PR-katasztrófáktól való félelmükben. Ettől persze a bűnözőknek még bőven elég célpont áll rendelkezésére, így az előrejelzések szerint a belátható jövőben akkor is tovább emelkedik az ilyen esetek száma, ha a védekezés általában egyszerű lépésekből áll.

Ilyen a biztonsági frissítések naprakész telepítése a szoftverekhez és operációs rendszerekhez (a klasszikus WannaCry sikeréhez is ezek elmaradása járult hozzá a legnagyobb részben), a hálózaton keresztül kezelhető Távoli Asztal szolgáltatások felülvizsgálata, a jelszavak értelmes kezelése, netán a több faktoros azonosítás bevezetésével a kritikus helyeken. A legfontosabbnak azonban a rendszeres biztonsági mentéseket tartják, mert ha a baj megtörténik, csak ezek tehetik lehetővé az aránylag fájdalommentes helyreállítást, és arra is csak ezek adnak lehetőséget, hogy bárhol elvből elutasítsák a tárgyalást a bűnözőkkel.