Miközben a járványidőszak alatt a cégek körében felerősödött a digitalizáció, a kiberbűnözők is jóval nagyobb sebességre kapcsoltak. A Mimecast nevű biztonsági vállalat felmérése alapján tavaly a társaságok 61 százalékára csaptak le olyan zsarolóvírusok, amelyek rendszerint fontos adatokat titkosítanak le, majd az okozott károk visszafordításáért váltságdíjat követelnek. Egy évvel korábban ez az arány még 20 százalékponttal kevesebb volt - írta a Figyelő.
A jelek szerint az idén sem nagyon javul a helyzet.
A friss marha- és sertéshúsok globálisan vezető feldolgozója, a JBS például a minap 11 millió dollárt (közel 3,3 milliárd forintot) csengetett ki egy bűnözőcsoportnak, miután egy zsarolóvírus miatt több üzemüknek is le kellett állnia. Mindez nem sokkal azután történt, hogy a Colonial Pipeline vezetékhálózatot irányító rendszert is digitális támadás érte. Ami azért figyelemre méltó, mert ez az Egyesült Államok keleti partvidékének közel a felét látja el üzemanyaggal.
Mire figyeljünk?
A cégeken belül érdemes a dolgozók tudtára hozni, hogy a zsarolóprogramok a legtöbbször e-mailen keresztül támadnak. Elég gyakran ismétlik a szakértők, de nem lehet elégszer hangsúlyozni: az ismeretlen címről érkező levelek csatolmányát csak akkor nyissuk meg, ha egy biztonsági program már átnézte, és nem talált benne vírust.
Akkor is legyünk nagyon gyanakvóak, ha látszólag egy-egy hivatalos szerv, illetve állami hivatal írt a vállalatnak. Ausztráliában volt, hogy a hackerek az állami posta fejlécét használták, itthon pedig évekkel ezelőtt egy hamis levelet éppenséggel a köztársasági elnök képével próbáltak hitelessé tenni…
A következő lépés
Azután, hogy megtörtént a baj, a vírus leblokkolta az adatokat, a követelést gyakran a rendőrség nevében fogalmazzák meg. Például közlik, hogy illegális tartalmat találtak a gépen, a bírságot pedig 24 órán belül át kell utalni egy megadott címre. Mivel a kis cégeknél gyakran feltört Windows, Microsoft Office van a PC-ken, esetleg akadnak szürkén foglalkoztatottak, az alkalmazottak vagy akár a társaság vezetői, tulajdonosai hamar kétségbeesnek.
Mondjuk azt már le sem ellenőrzik, hogy például a beidézett jogszabály létezik-e. Volt olyan vírus, amelyik az alábbi szöveggel állt elő:
„Magyarország Büntető Törvénykönyve 301. cikke büntetésként meghatározza a HUF 50.000.000 (Ft) magyar forint összegű bírságot vagy az 5 évig történő szabadságvesztést.” Ha valaki utánanéz, rájöhet, hogy a kérdéses cikkely – amíg létezett egyáltalán ebben a formában – nem az illegális szoftverekre, hanem az árdrágításra vonatkozott. Nyilván a Google Fordítóéra emlékeztető szövegezés is több mint gyanús, elképesztően magyartalan.
Nem meglepő, hogy a bűnözők egy-egy sablonszöveget eredetileg csak angolul fogalmaznak meg, majd gyakran online fordítóprogramokkal teszik át más nyelvekre.
Jönnek a kriptolopók
Nálunk talán kevésbé gyakori, ám annál veszélyesebb, amikor egyes alkalmazottak a céges gépeken próbálnak kriptovalutákat tartani, esetleg azokat bányászni.
Ez nyilván jobbára a frissen munkába állt 20-as és a fiatal 30-as korcsoportot érinti. A legmodernebb kiberbűnözők manapság már kriptopénzekben utaznak. A Kaspersky IT-biztonsági cég jelentése szerint a bányászvírusok új, módosított változatainak a száma 2021 márciusában több mint a négyszeresére (3815-ről 16 934-re) nőtt az előző hónaphoz képest.
A bányászvírusok ugyanis arra szolgálnak, hogy kriptovalutákat lopjanak a megfertőzött eszközökről. E programokat a felhasználó tudta nélkül telepítik a gépre, ahol azután elkezdik elszipkázni az ott tárolt kriptókat, néha hatalmas károkat okozva. A Kasperksy „Malware Q1 2021” jelentése szerint a 2018-ban felbukkant ilyen kártevők 2020-ra visszaszorultak, ám a erősödésével újra sokan kezdtek kriptopénzeket venni. A társaság szakemberei összesen 23 894 új bányászvírus-változatot fedeztek fel 2021. januártól márciusig.
A vállalat szoftverét használók körében ez év januárjában közel 188 ezer áldozatot regisztráltak, ám márciusban már 200 ezer felett volt az érintettek száma. Január és március közt pedig összesen 432 ezer felhasználó eszközét támadta meg valamilyen bányászvírus.
„Még túl korai biztosat mondani arról, hogy a 2021 első negyedévében megfigyelt trend tartósnak bizonyul-e. Mindenesetre úgy látszik, hogy a bitcoin és a többi digitális fizetőeszköz értékének a növekedése megújult érdeklődést keltett a bányászvírusok iránt. Ha a kriptopiac erős marad az idén, akkor valószínűleg még több felhasználót ér majd ilyen kártevő általi támadás” – mondta el Tóth Árpád, a Kaspersky magyarországi igazgatója.
A jelentés emellett több más figyelemre méltó tendenciára is rávilágít.
Többek között arra, hogy csökkent azoknak a felhasználóknak a száma, akiknek a mobileszközét vagy a számítógépét banki trójai vírus általi támadás érte, továbbá arra, hogy nőtt a trójai zsarolóvírusok módosított változatainak a száma: a 2020. negyedik negyedévi 3096-ot követően ez év első három hónapjában már 4354 ilyet találtak.
Vadonatúj zsarolóvírust fedeztek fel
A Sophos kutatói azonosítottak egy Epsilon Rednek nevezett zsarolóvírust.
Ez nyomokban hasonlít a REvil kártevő egyes részeihez. Érdekes, hogy a vírus maga egy lecsupaszított program, amely csupán a zsaroláshoz szükséges titkosítás végrehajtására képes. A további feladatokat az úgynevezett PowerShell-parancsok látják el, amelyek felkészítik a gépet a végső titkosításra.
Ezeket úgy programozták, hogy módosítsák a tűzfalszabályokat, hogy létrehozzák a támadók távoli kapcsolatait, letiltsák azokat a folyamatokat, amelyek megakadályozhatják a titkosítást. Valamint töröljék a biztonsági másolatok készítését, hogy meggátolják a titkosított fájlok helyreállítását, töröljék az eseménynaplót, valamint magasabb szintű hozzáférést is szerezzenek az elkövetők.
„Az Epsilon Red egy érdekes új zsarolóvírus. Valójában csak fájlok titkosítására használják, és nem célozza meg pontosan az eszközöket. Ha úgy dönt, hogy egy mappát titkosít, akkor mindent kódol benne. Sajnos ez azt jelentheti, hogy más futtatható fájlokat és programkomponenseket is titkosít, ami letilthatja a kulcsfontosságú programokat vagy az egész rendszert. Ennek következtében a megtámadott gépet teljesen újra kell telepíteni” – tette hozzá Szappanos Gábor. A Sophos kiberbiztonsági szakértője szerint az olyan zsarolóvírusok, mint az Epsilon Red ellen a legjobb úgy védekezni, ha szervereken telepítünk minden biztonsági javítást.
A Kaspersky szakértői tanácsai:
Telepítsen hatékony biztonsági megoldást a számítógépére.
Mivel a bányászvírusokat sokszor „riskware-ként” terjesztik, a biztonsági megoldások nem blokkolják őket automatikusan. Ezek beállításait azonban lehet úgy konfigurálni, hogy ezt a feladatot is elvégezzék.
A szoftverek mindig legyenek naprakészek az összes használatban lévő eszközön.
Azért, hogy a bányászvírusok ne tudják kiaknázni a sérülékenységeket, használjon olyan eszközöket, amelyek automatikusan észlelik a gyenge pontokat, és letöltik, majd telepítik a javításokat.
Kizárólag törvényes forrásból (például hivatalos alkalmazás-áruházakból) származó applikációkat telepítsen.
A cikk a Figyelő július 1-jei számában került publikálásra.
