Súlyos biztonsági incidenst szenvedett Srí Lanka kormányzata, melyet a napokban hozott nyilvánosságra az informatikai vészhelyzetek elhárításáért felelős nemzeti kiberbiztonsági központ. A Sri Lanka CERT ugyanakkor sem bőbeszédű, sem konzekvens nem volt, mivel az egyik közleményükben az állami cloud infrastruktúrát ért támadásról írtak, máshol viszont a kormányzati levelezőrendszer volt megjelölve célpontként.

Az bizonyos, hogy az állami rendszerbe zsarolóvírust sikerült egy csoportnak bejuttatnia, amivel sikeresen blokkolni tudtak egy sor szolgáltatást és adatot. Helyi sajtóbeszámolók szerint az informatikáért felelős kormányügynökség (ICTA) megerősítette, hogy a gov.lk e-mail tartományt használó összes kormányhivatal - többek között a kabinetiroda, az elnöki hivatal, az oktatási és az egészségügyi minisztérium - súlyos adatvesztést szenvedett.

A jelentés szerint körülbelül 5000 e-mail címet érint az incidens, és mivel sem offline, sem online biztonsági mentési rendszer nem volt a támadás szempontjából kritikus két hónapos időszakban, az ekkor küldött és fogadott levelek egy része bizonyosan örökre elveszett. Az egyelőre nem világos, hogy mikor sikerült beférkőzni a hekkereknek a kormányzati rendszerbe, de azt valamikor idén májusa és az eset augusztus végi felfedezése közé teszik.

Az ICTA a történtek miatt - némileg eső után köpönyeg jelleggel - átállt a napi offline biztonsági mentésre az érintett állami szervezeteknél. Az intézkedés egészen addig életben marad, amíg nem sikerül a rendszereket megfelelően védett és frissített szoftverekkel megerősíteni.

Erre szükség is van, mivel sajtóértesülések szerint az elkövetők a köztisztviselőket célzó adathalász akcióval jutottak megfelelő belépési információkhoz. A hálózaton belüli piszkos munkát pedig megkönnyítette, hogy a kormányzatnál még mindig Microsoft Exchange 2013-at használtak, amelynek a támogatását a Microsoft idén áprilisban szüntette meg. A beszámolók alapján az ICTA vezérigazgatója elismerte, hogy a rendszert még 2021-ben tervezték frissíteni, ám arra költségvetési okokból végül nem került időben sor.

Nagyvadakra mennek

A zsarolóvírusok az utóbbi években elképesztő népszerűvé váltak a hekkercsoportok körében, amit egy idén tavasszal kiadott globális biztonsági jelentés számai is visszaigazolnak. A ransomware-es támadások elszaporodását az alvilágban kiépült komoly ökoszisztéma támogatja, amelynek keretében szolgáltatásként, szerény jutalék fejében gyakorlatilag bárki hozzájuthat a támadáshoz szükséges szoftverekhez és tudásbázishoz.

A modell sikerességét mutatja, hogy csak az elmúlt rövid időszakból is számtalan olyan esetet tudunk említeni, amelyben ismert nagyvállalat és kormányzati intézmény vált áldozattá. Így járt például a legnagyobb japán kereskedelmi kikötőt üzemeltető cég, a Ferrari, illetve az USA legrégebbi rendvédelmi ügynöksége.