Legújabb zsarolóvírus-riportunk 71 milliárd távoli hozzáférést célzó támadásról számol be


2021.09.09.

Közzétettük legújabb, zsarolóvírusokról szóló jelentésünket, amely azt vizsgálja, hogyan válnak egyre veszélyesebbé a zsarolóvírusok a bűnözők technikai fejlesztései és egyre újabb megtévesztéses trükkjei által. Emellett bemutatja a támadók által használt leggyakoribb technikákat, három legelterjedtebb támadási vektorra fókuszálva: Távoli Asztali Protokoll (Remote Desktop Protocol, RDP), e-mail mellékletek és az ellátási lánc.

A zsarolóvírussal támadó csoportok a zsarolási és terjeszkedési eszköztáruk bővítésére használták ki a koronavírus-járványt, például a Távoli Asztali Protokollt futtató, nyilvánosan elérhető és rosszul konfigurált rendszereken keresztüli behatolásokra összpontosítva. Telemetriai adataink szerint az RDP mára az egyik leggyakoribb támadási formává vált: a 2020 januárja és 2021 júniusa közötti ilyen észlelések száma meghaladta a 71 milliárdot. Az e-mailhez csatolt rosszindulatú fájl mellékletekkel ellentétben az RDP-n keresztüli támadások a legitimitás álcájával tudnak kicselezni számos észlelési módszert, mivel a vállalkozások kevésbé tudatosak ezzel a fenyegetéssel kapcsolatban.

335 millió támadás megakadályozva

Telemetriánk azt is feltárta, hogy a főként vállalati hálózatok fájl- és nyomtatómegosztására használt Server Message Block (SMB) protokollt támadási vektorként is lehet használni, és ezen keresztül is sikeresen be lehet juttatni a zsarolóvírust a szervezetek hálózatába. 2021 januárja és áprilisa között biztonsági megoldásaink több mint 335 millió nyilvános SMB elleni brute force (próbálgatásos módszerű) támadást akadályoztak meg.

Ahogy a zsarolóvírus-támadások egyre célzottabbakká válnak, elengedhetetlen, hogy a vállalkozások tisztában legyenek a kiberbűnözők legújabb módszereivel és készen álljanak azok kezelésére, elhárítására. 2020 kezdete óta többször is bebizonyosodott, hogy betartott szabályokkal, a távoli hozzáférés megfelelő beállításaival, kétlépcsős belépéssel kombinált erős jelszavakkal, illetve rendszeres biztonsági frissítésekkel sikeresen fel lehet venni a harcot a zsarolóvírusokkal. A jelentésben az RDP és más kiberhigiéniai tényezők megfelelő beállítása mellett egy fejlett végponti detektálásra és reagálásra képes eszköz, például az ESET Enterprise Inspector alkalmazását is javasoljuk a vállalkozásoknak.

Óriási támadások a közelmúltban

A riport kiemeli a Kayesa és a Colonial Pipeline rendszerét érintő közelmúltbeli nagy horderejű támadásokat is, illetve, hogy világszerte milyen óriási költségeket jelentenek a vállalkozásoknak a zsarolóvírus-támadások. A tanulmány szerzői a váltságdíj fizetési dilemmát is megvitatják a fent említett esetek fényében. Érveik szerint bár a váltságdíj kifizetésével talán visszaszerezhető a fájlok egy része, nincs rá semmifajta garancia, hogy kiberbűnözők ténylegesen hajlandók vagy képesek is helyreállítani az adatokhoz való teljes hozzáférést, a követelt kriptovaluta pedig segíti őket a jövőbeli névtelen bűncselekmények további finanszírozásában – ezért folyik jelenleg is vita az ilyen jellegű kifizetések illegálissá tételéről.

Elengedhetetlen, hogy a szervezetek rendelkezzenek a szükséges ismeretekkel a zsarolóvírus-színtér legújabb fejleményeivel kapcsolatban, hogy a kiberhigiéniára, az optimális beállításokra, rendszeres mentésekre és a megbízható biztonsági intézkedésekre alapozva építhessék ki védelmüket. A riport azon célunkat tükrözi, hogy mindig egy lépéssel a kiberbűnözők előtt járva, gyakorlati védelmi, megelőzési tanácsokkal lássuk el a rendszergazdákat.

Van segítség, ha már megvan a baj

A No More Ransom elnevezésű, 2016-ban induló kezdeményezés a végrehajtó szervek és az IT biztonsági vállalatok közös összefogásával született, célja a zsarolóvírusok áldozatainak segítése a fájlok helyreállításában.

Azóta, hogy 2018-ban mi is csatlakoztunk ehhez a kezdeményezéshez, már öt zsarolóvírus-kezelő eszközünket bocsátottuk a nyilvánosság rendelkezésére, amelyek több mint 25 ezer embernek segítettek. Technológiáink évente többmillió zsarolóvírus-támadást észlelnek. Brute-force támadások elleni biztonsági technológiánk kifejezetten sikeres védelmi mechanizmusnak bizonyult: 2020 januárja és 2021 áprilisa között a csaknem 1 millió ügyfelünket célzó, megközelítőleg 55 milliárd támadási kísérletet észlelt és blokkolt. Ezen felül több mint 300 ezer internetező töltötte le egyik nyilvánosan elérhető zsarolóvírus-eltávolító eszközünket.

Indulása óta a No More Ransom több mint hatmillió embernek segített ingyenesen helyreállítani a túszul ejtett fájljait, amely közel egymilliárd euró megszerzésében akadályozta meg a zsarolóvírussal támadó bűnözőket. A kezdeményezés jelenleg 121 különféle ingyenes eszközt kínál, ezek 151 zsarolóvírus család dekódolására képesek, és 170 védelmi partnert egyesítenek a köz- és a magánszektorból. A portál 37 nyelven érhető el, az új No More Ransom weboldal pedig modernebb és felhasználóbarátabb, és folyamatosan friss információkkal és tanácsokkal szolgál a zsarolóvírusokról, illetve a támadások megelőzéséről.