Szerkezetváltással összekötött üzleti modellváltás zajlik a Dark Weben – így összegezhető a Cisco biztonsági kutatócsapatának, a Talosnak az éves jelentése. Bár a támadók elsődleges célja továbbra is a pénzszerzés, arra a korábbinál sokkal rugalmasabb eszközöket használnak, melyeknek akár menet közben is változtatható a célja és annak megfelelően funkciója.

Zsaroló vírus: nem tűnik el, de visszaszorul

Jól mutatja a kiberbűnözői világ átalakulását az, ami a zsarolóvírusokkal történik. Néhány éve a biztonsági piac "slágertémája" volt a ransomware-ek elleni védekezés. Ez a támadási forma annak ellenére roppant jövedelmező, hogy a megtámadottak töredéke, 2-3 százaléka fizet azért, hogy a zárolt rendszeréhez, adataihoz stb. hozzáférjen. 2017-ben becslések szerint globálisan mintegy 10 milliárd dollár kárt okoztak a zsarolók.

A károk nagyságrendje, valamint hogy gyakran kormányzati, egészségügyi rendszerek, sőt kritikus infrastruktúrák is áldozatul estek ilyen támadásoknak, végül nagyon sok országban komrányzati szinten váltott ki ellenreakciót. Emiatt azonban kockázatossá váltak az ilyen támadások: több kiberbűnöző is rács mögé került ransomware-támadás végrehajtása miatt. A kiemelt figyelem pedig más irányba, más támadási vektorok alkalmazása felé tolja a kiberbűnözőket.

A ransomware-ek nem tűnnek el, figyelmeztetnek a Talos kutatói, de súlyuk valószínűleg csökken az egyéb típusú támadásokhoz képest.

A hatékonyság záloga a modularitás

A kiberbűnözők ugyanis igyekeznek olyan támadási vektorokat kihasználni, amire jóval kisebb figyelem vetül – magyarázta Ács György, a Cisco Magyarország hálózatbiztonsági szakértője. Ezt többek között úgy próbálják elérni, hogy tevékenységüket legálisnak álcázzák, például olyan technológiákat használnak, mint a rendszerüzemeltetők, hogy a lehető legkisebb "zajjal" járjon a tevékenységük.

A legális eszközök használatát példázza az a tavalyi, Indiában felfedezett incidens, melynek során MDM (Mobile Device Management) rendszert használtak kibertámdásra. Az MDM-mel ugyanis egy vállalat minden mobil eszköze fölött át lehet venni az irányítást. Az indiai esetnél például annak segítségével juttattak rosszindulatú profilokat a mobil eszközökre, és így olyan alkalmazásokat tudtak telepíteni, amelyek lényegében minden adatot elértek, és a kommunikációt is lehallgathatták.

A kis zajjal járó kiberbűnözői tevékenységre a kriptovaluta-bányászat jó példa – mondta Csordás Szilárd, a Cisco IT-biztonsági tanácsadója. Mint mondta, ilyenkor "csupán" az egyes gépek erőforrásait csapolják meg a támadók, hogy azt a saját céljukra fordítsák. Az ilyen támadások a sok kicsi sokra megy elv alapján működnek. Amikor például a bitcoin árfolyama a csúcsán, 20 ezer dollár közelében volt, egy átlagos fertőzött rendszerrel nagyjából napi 0,25 dollárnyi kriptovalutát lehetett bányászni. Viszont a lebukás kockázata minimális. Egyrészt a tevékenység a háttérben zajlik, másrészt egy-egy ilyen bejelentésnél nehéz mozgósítani komolyabb erőforrásokat a felderítésre. A bányászat intenzitása egyébként összefügg a kriptovaluták árfolyamának mozgásával: amikor az árfolyam emelkedik, az illegális bányászati tevékenység is felerősödik, majd az árfolyam csökkenésével viszont gyengül.

Egy cryptomining kórokozó egy gépre nézve elhanyagolható többlet energiaköltségeket okoz, de egy vállalat egészét nézve már akár jelentős kiadás is lehet. Ráadásul a vállalat IT-rendszerének az a biztonsági rése, amit az illegális kriptovaluta-bányászok használnak, más célokra is használható.

És itt lép be az, hogy a károkozók esetében egyre általánosabbá válik a moduláris felépítés. A károkozók ilyen irányba történő fejlesztését példázza az Emotet. Amikor mintegy öt éve feltűnt, elsősorban banki adatok ellopására használták. Idővel azonban olyan moduláris platformmá fejlődött, amelynek révén különböző támadások hajthatók végre. Már 2017-ben azonosítottak benne a banki modul mellett, spam terjesztésére, DDoS támadások végrehajtására, webböngészők fertőzésére és az Outlook PST fájljainak fertőzésére alkalmas modult. Ez a felépítés lehetővé teszi az egy támadással elérhető haszon maximalizálását, ha az egyik modul nem hoz kellő hasznot, akkor a támadók továbbléphetnek más irányba.

Az Emotet azonban nem csak ennek köszönheti, hogy már az egyik legsikeresebb kártevőcsalád, hanem annak is, hogy a mögötte álló kiberbűnözők más csoportok számára is értékesítik a kártevőt. Ez nem új jelenség. Évekkel ezelőtt készültek felmérések arról, hogy a kiberbűnözés mögött kiterjedt háttértámogató hálózat épült fel. Emellett megjelentek az olyan bűnözői csoportok, melyek szabályos vállalati struktúrába szervezik a tevékenységüket.

A fenyegetés emailen érkezik

A Talos elemzése szerint továbbra is az email az egyik legfontosabb támadási felület, legyen szó bármilyen célról (adathalászat, károkozók terjesztése, botnetek létrehozása stb.). Népszerűségét két dolognak köszönheti: egyszerű és mind a mai napig a leghatékonyabb. Mint Ács György mondta, még mindig népszerű a makrovírusokkal fertőzött dokumentumok küldése, de ez manapság már bonyolultnak számít, hiszen a felhasználónak nem csak megnyitnia kell a levélhez csatolt mellékletet, hanem a makrók futását is engedélyeznie kell. Ezért egyre gyakoribbak az olyan levelek, amelyek csak egy linket tartalmaznak, amely fertőzött weboldalra mutat. Így egy lépésben lehet megfertőzni a megcélzott rendszert.

Ráadásul az ilyen támadások ellen sokszor csak a felhasználók képzésével, a biztonságtudatosság szintjének javításával lehet védekezni. Mint Ács mondta, nem elég időről időre elmagyarázni, hogy mire figyeljen a alkalmazott, amikor megnyit egy levelet, hanem be kell vezetni egy eljárási rendet is, ami útmutatást ad a teendőkről, amennyiben valaki gyanús levelet kap. (A Cisco például teszteli is dolgozóit félrevezető emailekkel, hogy az alkalmazottak veszélytelen környezetben szokják meg, mi a teendő, amikor gyanús küldemény landol a postaládájukban.)

A támadások összetettsége miatt ma tanácsos többrétegű biztonságot alkalmazni, amely tartalmaz végponti védelmet, hálózatbiztonsági megoldást, webes biztonságot segítő réteget is, és ezeket közös platformon kell összevonni, azaz integrált biztonsági architektúrát kell belőlük építeni.

A Cisco legfrissebb biztonsági jelentése innen tölthető le.