ROYAL FLUSH az IT szektorban, avagy ami mindent visz: RANSOMWARE?!

2021-ben 623,3 millió ransomware támadás történt világszerte, ami 105%-os növekedés a 2020-as adatokhoz képest. Ez részben azzal magyarázható, hogy a vállalkozások továbbra is problémákkal küzdöttek az informatikai rendszerek és az ellátási láncok távmunkához és hibrid munkához való adaptálásakor. Az adat még akkor is riasztó, ha ezek nem mind voltak sikeres támadások, hanem „csak” támadási kísérletek.

A riasztó támadási számadatok ellenére örvendetes viszont, hogy 2022-ben a ransomware támadások száma 23%-kal visszaesett, s ez azt jelzi, hogy a fokozott ellenőrzés és a veszélyekkel kapcsolatos általános tudatosság növekedett, ami kicsit megnehezíti a kiberbűnözők dolgát.

De mi is az a ransomware, ami órák alatt képes cégeket tönkretenni, s hogyan tudunk ellene védekezeni? 

Ransom malware vagy ransomware egy olyan típusú rosszindulatú program, amely megakadályozza a felhasználókat, hogy hozzáférjenek a rendszerükhöz, avagy a személyes fájljaikhoz. Rendszerint váltságdíjat követelnek a hozzáférés visszaadásáért cserébe (amire persze a fizetés után semmiféle garanciát nem adnak). Mindemellett sok esetben még a megszerzett fájlok közzétételével is fenyegetőznek a bűnözők, amennyiben az áldozat nem fizet időben, vagy egyáltalán nem hajlandó fizetni.

A zsarolóvírusok legkorábbi változatait az 1980-as évek végén fejlesztették ki. Napjainkban a zsarolóvírus-készítők a váltságdíj kifizetését kriptovalutában vagy hitelkártyán keresztül kérik, a támadók pedig magánszemélyeket, vállalkozásokat és szervezeteket is megcéloznak.

Ransoware-t legtöbbször email-en, rosszindulatú hirdetéseken, de akár sms-en keresztül is kaphatunk. Ez lehet kéretlen levél - spam, amely érkezhet akár egy általunk ismert személy nevében, de ezek a támadási módszerek gyakran tartalmaznak ún. social engineering elemeket is. A social engineering azokat a módszereket takarja, amelyeket a kiberbűnözők arra használnak, hogy az áldozatokat valamilyen megkérdőjelezhető lépés megtételére ösztönözzék, ami gyakran a biztonság megsértésével, pénzküldéssel vagy akár személyes adatok megadásával jár.

Bármelyik módszert is használják a támadók - amelyet általában az áldozat egy hivatkozásra kattintva vagy egy melléklet megnyitásakor aktivál-, amint hozzáférést szereznek a rendszerünkhöz, titkosítják a fájljainkat, hogy ne férhessünk azokhoz hozzá. A titkosítás mellett azonban adatokat is ellophatnak, aminek veszélyei könnyen beláthatóak. A támadást követően többnyire egy üzenet szoktak elhelyezni a támadók a megtámadott eszközön, amelyben részletesen leírják, hogy a váltáságdíjjal kapcsolatosan mik is az áldozat teendői.

A ransomware támadások rendszerint költségesek az áldozatok számára, ráadásul károsíthatják a vállalat hírnevét is. Mindezek mellett a napi szintű működésben is komoly fennakadásokat, leállásokat okozhatnak, ami akár a vállalat termelékenységére is kihatással lehet.

A támadások elsődleges célpontjai a vállalatok, hiszen ezek az akciók általában sokkal „jövedelmezőbbek” lehetnek, mintha magánszemélyeket támadnának. Ettől függetlenül, mint magánszemélyek sem vagyunk teljesen biztonságban. - az otthoni környezetünket is érhetik hasonló jellegű kibertámadások, így ott is nagyon körültekintően kell eljárnunk.

Mivel sok vállalat ténylegesen fizet is, hogy ismét elérhesse a rendszereit és adatait, ez egy rendkívül népszerű támadási forma a kiberbűnözők körében. Fontos kiemelni, hogy a támadás után a vállalatok nagy része sajnos továbbra sem fordít kellő figyelmet az incidensek kivizsgálására és azon biztonsági hiányosságok javítására, amin keresztül sikeresen megtámadták őket, így sok esetben érvényesül az „aki egyszer áldozattá vált, az is marad” jelenség.

A ransomware támadások elleni hatékony védekezésben kulcsfontosságú ezért, a saját és a beszállítók biztonsági auditja, hogy a vállalatok így megfelelően biztosíthassák az ellátási lánc végponttól végpontig tartó biztonságát.

Hogyan védekezzünk a ransomware ellen?

A biztonsági szakértők egyetértenek abban, hogy a zsarolóvírusok elleni védekezés legjobb módja a megelőzés.

Bár léteznek módszerek a zsarolóprogram-fertőzés kezelésére, ezek a legjobb esetben is tökéletlen megoldások, és gyakran sokkal több technikai tudást igényelnek, mint amivel egy átlagos számítógép-felhasználó rendelkezik. A következőket javasoljuk, hogy elkerüljük a zsarolóprogramok támadásait:

Folyamatosan frissítsük szoftvereinket!

Ne futtassunk elavult rendszereket vagy alkalmazásokat. Semmi sem fáj jobban, mint ha feltörik a rendszerünket egy frissítés hiánya miatt. A zsarolóvírusok gyakran használják ki a rendszerekben, szoftverekben rejlő hibákat. Szabaduljon meg ezért az elavult szoftverektől és cserélje ki azokat a gyártó által továbbra is támogatottakra.

Felhasználói tudatosság és oktatás!

Használhatunk legújabb biztonsági eszközöket, azok sem fognak minket megvédeni, ha a felhasználók nincsenek tisztában a biztonsági kockázatokkal, és nem rendelkeznek azokkal az információkkal, amelyek segíthetnek megvédeni őket és a vállalatukat a ransomware és és az ehhez hasonló támadásoktól. Nagyon fontos ezért a felhasználói oktatás és biztonságtudatossági képzés.

Alakítsunk ki megfelelő mentési rendszert!

Adataink biztonsági másolatai kapcsán továbbra is a legjobb és leghatékonyabb megoldás a szalagos mentőegység használata. A szalagos mentőegységeket a zsarolóvírusok nem képesek felülírni, így ha ott rendelkezünk biztonsági másolattal, akkor a helyreállítás már csak idő kérdése. Ezzel rengeteg erőforrás spórolható meg és a vállalat reputációját is meg tudjuk őrizni.

További hasznos tanácsok, amelyeket célszerű megfogadni és alkalmazni:

• Védjük rendszereiket: alkalmazzunk tűzfalat, víruskeresőt, valamint rosszindulatú programokat észlelő és eltávolító programokat!
• Figyeljünk az e-mailek megnyitásakor a mellékletekre kattintáskor! Mindig ellenőrizzük a feladó nevét és email címét, valamint gondoljuk át, hogy vártunk-e ilyen jellegű emailt a feladóként megjelölt személytől?
• Az adatokhoz és a rendszereszközökhöz való hozzáférés során alkalmazzuk a legkevesebb jogosultságot biztosító megközelítést!
• Integráljuk üzletmenetünkbe a rendszeres biztonsági tesztelést!

Ha már megfertőzödtünk, akkor hogyan távolítható el a ransomware?

Ahogy korábban már említettük, ha egy támadó titkosítja az adatainkat, és váltságdíjat követel, nincs garancia arra, hogy feloldja a titkosítást, függetlenül attól, hogy fizetünk vagy sem.

Éppen ezért rendkívül fontos, hogy lehetőleg felkészüljünk, mielőtt a zsarolóvírussal találkozunk.

Ebben, ahogy arra utaltunk a két kulcsfontosságú lépés a következő:

• Telepítsünk biztonsági szoftvereket (tűzfal, vírusírtó, rosszindulatú programokat észlelő és eltávolító programokat)!
• Készítsünk biztonsági másolatot adatainkról (fájlok, dokumentumok, fényképek, videók stb.)! Itt ismét fontos kiemelnünk, hogy lehetőleg rendelkezzünk biztonsági másolatokkal szalagos egységen is!

Ha mégis ransomware fertőzésben találjuk magunkat, az első számú szabály az, hogy soha ne fizessük ki a váltságdíjat. Ha fizetünk az csak arra ösztönzi a kiberbűnözőket, hogy további támadásokat indítsanak akár Ön, akár valaki más ellen.

Ha meg akarjuk akadályozni a ransomware titkosító fertőzését, akkor különösen ébernek kell lennünk. Ha azt látjuk, hogy rendszerünk látszólag ok nélkül lelassul vagy egyes fájlok elérhetetlenek lesznek, furcsa, addig nem látott kiterjesztéseket kapnak, akkor azonnal csatlakozzunk le az internetről és kapcsoljuk ki eszközeinket, s ezt követően minden esetben kérjük megfelelő IT szakértő segítségét, aki jártas IT biztonsági területen, illetve megfelelő üzemeltetési tapasztalattal rendelkezik - különös tekintettel a mentési rendszerekre.

A cikk szerzője:
Bányai Tamás
CTO, FNX Solutions Kft., az MKVK OK informatikai szolgáltatója
www.fnxs.hu/kapcsolat
info@fnxs.hu