A hétvégén az egész világon végigsöpört a WannaCry zsarolóvírus (ransomware), amely egy Windows-sebezhetőséget kihasználva fertőzött meg rekordidő alatt rengeteg számítógépet. Az NSA-tól lopott kód vasárnapra már 150 országban több mint 200 ezer felhasználó és szervezet állományait titkosította. Bár ideiglenesen megállították a terjedését, a történtekből azt a következtetést kell levonni, hogy a jövőben bármikor újra lecsaphat egy hasonló malware.

A Symantec vonatkozó kutatásából kiderül, hogy az elmúlt években a gazdasági élet minden területén előfordultak hasonló incidensek, néhány ágazat azonban a többinél is nagyobb mértékben került a bűnözők a látókörébe. A Datto adataira épülő kutatásból persze kiderül, hogy a fertőzéseket legelsősorban még mindig az emberi tényező, vagyis a felhasználók figyelmetlensége okozza, akik ész nélkül kattingatnak az emailek csatolmányaira.

Az ideális célpont az amerikai szolgáltató

Bár a ransomware támadások jellemzően még mindig nem válogatnak a célpontok között, a Symantec szerint már megfigyelhető az a trend, hogy a bűnözők egyre inkább az üzleti, céges felhasználást próbálják kipécézni. A zsarolóvírusokat terjesztőcsoportok rásdásul szntén elkezdtek a korábbinál kifinomultabb technikákat használni, a szakértelem olyan jeleit mutatva, amit az időről időre nagy port kavaró kiberkémkedési incidensek során tapasztalnak.
 

Emelkedőben a szervezeteket célzó ransomware-támadások száma
(forrás: Symantec)

Az üzleti területek közül a szolgáltatások a leginkább veszélyeztetettek, itt fordul elő a szervezeteket érintő összes fertőzés 38 százaléka. Ennél jóval alacsonyabb, de még mindig igen magas a gyártóipar 17 százalékos, illetve a pénzügyi szolgáltatók és a közszféra 10-10 százalékos érintettsége. A globális fertőzések egyébként az Egyesült Államokat találják meg a legnagyobb, 28 százalékos arányban, Európából az olaszok a legveszélyeztetettebbek 4 százalékkal.

A korábbiakhoz képest fontos változás, hogy 2011 óta egyre több ransomware-családot azonosítanak, így az elmúlt évben is száz új zsarolóvírus-családot határoztak meg a biztonsági szakemberek, ami ismét csak rekordnak számított. Érdekesség, hogy tavaly a ransomware-variánsok között egy kivételével már kizárólag kriptovírusokat találtak, szemben a 2015-ös 80 százalékkal. Néhány éve még magasan vezettek a lockerek vagy a hamis antivírusok.

Egyre többen egyre többet követelnek

Ezzel párhuzamosan a zsarolók által követelt váltságdíjak átlagos összege is gyorsan növekszik: ez 2015-ben még 294 dollár volt, tavaly viszont már elérte ennek csaknem két és félszeresét, a 679 dollárt is. A támadások már 43 százalékban cégeket, vagyis céges felhasználókat érintenek, a közeljövő IoT-hulláma pedig azt vetíti előre, hogy a bűnözők új célpontokat is támadnak majd, az okos tévéktől egészen a meglepően védtelen ipari irányítórendszerekig.
 

Ransomware-rel fertőzött okostévé
(forrás: Symantec)

Ezzel párhuzamosan terjed a RaaS (ransomware-as-a-service) modell is, amelynek lényege, hogy kvázi előfizetéses renszerben lehet hozzájutni jutni a zsarolóvírusokhoz, a hozzájuk tartozó frissítésekhez és technikai támogatáshoz. Az úgynevezett exploit kitek segítségével aztán magas fokú szakértelem nélkül hajthatók végre támadások; a váltságdíjakból a vírus készítői aztán levonják a maguk jutalékát, a többit pedig eljuttatják a szolgáltatásukat igénybe vevő ügyfélnek.

A WannaCry mostani felbukkanása olyan szervezeteket érintett, mint például a brit egészségügyi rendszer, az orosz belügyminisztérium, kínai állami hivatalok, a német vasút, a Nissan, a Renault, a PetroChina vagy a FedEx, nem számítva a világszerte érintett többi céges vagy akár kórházi rendszert. Nem véletlen, hogy a Microsoft tegnap már azt szorgalmazta, hogy a hasonló kiberbűncselekményeket a törvények is hasonló módon ítéljék meg, mint a fizikai világban végrehajtott fegyverhasználatot.