Ransomware: What it is And How To Protect Yourself

A zsarolóvírus egy olyan rosszindulatú szoftver vagy malware, amely gyakorlatilag túszul ejti az adatait, zárolja a számítógépét, és azzal fenyeget, hogy zárolva tartja, amíg nem fizeti ki a támadó váltságdíját. Az International Business Machines Corporation (IBM) jelentése szerint 2021-ben a zsarolóvírus-támadások az összes kibertámadás 21%-át tették ki, és megdöbbentő 20 milliárd USD veszteséget eredményeztek.

Mi az a zsarolóvírus?

Korábban a zsarolóvírus-támadások kizárólag arra irányultak, hogy zárolják egy személy adatait vagy eszközét, amíg nem fizetett pénzt a feloldásért. 

Manapság azonban a kiberbűnözők teljesen új szintre emelik a dolgokat. A 2022-es X-Force Threat Intelligence Index feltárta, hogy gyakorlatilag minden zsarolóvírus-támadás már a ‘kettős zsarolás’ stratégiát alkalmazza, amely nemcsak zárolja az adatokat, hanem váltságdíjat is követel a lopás megakadályozása érdekében. Ezenkívül ezek a rosszindulatú kiberbűnözők egy további fenyegetést is bevezetnek repertoárjukba – a hármas zsarolási kampányokat, amelyek elosztott szolgáltatásmegtagadási (DDoS) támadásokat foglalnak magukban – és ezek egyre gyakoribbá válnak.

Zsarolóvírus és Malware

A zsarolóvírus jobb megértése érdekében először meg kell vizsgálnunk, mi is a malware (rosszindulatú szoftver) és annak következményei.

Malware – egy kifejezés, amely több kérdést vet fel, mint választ. Vajon maga a szoftver rosszindulatú, vagy csak gonosz célokra használják? Mint a kiberbiztonság sok aspektusában, erre a kérdésre sincs egyetlen válasz; ehelyett ez egy bonyolult és összetett terület, ahol több tényezőt kell figyelembe vennünk. A szoftver önmagában is lehet rosszindulatú; azonban az ember, aki ezt a szoftvert működteti, végső soron felelős annak meghatározásáért, hogy mennyire és hogyan lesz rosszindulatú.

A kiberfenyegetések széleskörűek, a pusztító vírusoktól a ravasz trójaiakig. De van egy egyedi törzs, amely még ezeknél is veszélyesebb – a zsarolóvírus. Fedezze fel ennek a rosszindulatú szoftvernek a rejtélyét, és tanulja meg, hogyan védheti meg magát tőle!

Hogyan működik a zsarolóvírus?

A zsarolóvírus célja, hogy zárolja a célzott számítógép vagy hálózat hozzáférését és minden tartalmát, amíg a támadó meg nem kapja a fizetséget. Még kifinomultabb támadások is kezdeményezhetnek lemezszintű titkosítást olyan intenzitással, hogy a váltságdíj kifizetése nélkül lehetetlen lenne bármilyen fájlt visszafejteni. Az FBI Internet Crime Complaint Center 2013 és 2020 között drámai, 243%-os növekedést észlelt a jelentett zsarolóvírus-esetekben.

A kiberbűnözés más formáival ellentétben a zsarolóvírus megköveteli, hogy áldozatai együttműködjenek a bűnözővel a siker érdekében.

Ahogy a weboldalukon is szerepel, az FBI figyelmeztet a váltságdíj kifizetésére, ha egy egyén vagy vállalat zsarolóvírus-támadás áldozatává válik. A váltságdíj kifizetésével nincs garancia arra, hogy egy szervezet vagy áldozat visszanyeri az adataihoz való hozzáférést, ami kockázatos és megbízhatatlan megoldássá teszi. Sajnos, egyes esetekben, amikor az áldozatok kifizették a támadók által követelt váltságdíjat, mégsem kaptak valódi visszafejtési kulcsot az adataik feloldásához. Még ha kapnak is egyet, lehetséges, hogy nem minden fájl lesz visszaállítható. A váltságdíj kifizetésével nemcsak ösztönzi a bűnözőket, hogy továbbra is végrehajtsanak zsarolóvírus-támadásokat szervezetek és egyének ellen, hanem vonzóbbá teszi azt más potenciális kiberbűnözők számára is.

Népszerű zsarolóvírus-változatok

Számos zsarolóvírus-változat létezik, nem csoda, hogy némelyik sikeresebb, mint mások. Valójában van néhány kiválasztott, akik hatékonyságuk és népszerűségük tekintetében kiemelkedtek társaik közül.

1. Ryuk

A Ryuk egy olyan zsarolóvírus, amely egy adott típusú felhasználót céloz meg. Általában e-mailen vagy valaki bejelentkezési adataival jut be a rendszerbe. Miután a rendszer megfertőződött, a Ryuk titkosít néhány fájlt, majd pénzt kér azok visszaadásáért.

A Ryuk hírhedten az egyik legköltségesebb zsarolóvírus-változat, átlagos váltságdíj-követelései meghaladják az 1 millió USD-t. Emiatt a Ryuk-kal kapcsolatos kiberbűnözők rendszeresen olyan vállalkozásokat céloznak meg, amelyek elegendő pénzügyi forrással rendelkeznek ezeknek a magas kifizetéseknek a teljesítéséhez.

2. REvil (Sodinokibi)

A REvil (más néven Sodinokibi) egy rosszindulatú zsarolóvírus-törzs, amely elsősorban nagyvállalatokat sújt.

A hírhedt REvil zsarolóvírust egy orosz nyelvű csoport működteti 2019 óta, és ma az egyik legismertebb kiberfenyegetés az interneten. Például felelőssé tették őket olyan jelentős adatvédelmi incidensekért, mint a ‘Kaseya’ és a ‘JBS’, ami komoly fenyegetést jelent a számos iparágban működő vállalkozások számára.

Az elmúlt években a REvil szembeszállt a Ryuk-kal a legköltségesebb zsarolóvírus címéért. Jelentések szerint ez a rosszindulatú szoftver akár 800,000 USD váltságdíj-kifizetéseket is követelt.

Kezdetben a REvil csak egy hagyományos zsarolóvírus-változat volt, de azóta fejlődött. Jelenleg a Kettős Zsarolás technikát alkalmazzák – nemcsak titkosítják a fájlokat, hanem adatokat is lopnak a vállalkozásoktól. Ez azt jelenti, hogy a váltságdíj követelése mellett a támadók azzal fenyegetőznek, hogy nyilvánosságra hozzák az ellopott információkat, ha nem fizetnek további összeget.

3. Maze

A Maze zsarolóvírus innovatív megközelítése miatt vált hírhedtté a zsarolás terén. Nemcsak titkosítja a fájlokat, hanem érzékeny adatokat is ellop az áldozat számítógépéről, és azzal fenyeget, hogy nyilvánosságra hozza vagy eladja azokat, ha nem fizetik ki a váltságdíjat. Ez a fenyegető stratégia még nehezebb helyzetbe hozza a célpontokat – vagy fizetnek, vagy sokkal magasabb költségekkel szembesülnek egy drága adatvédelmi incidens miatt.

Bár a Maze zsarolóvírus-csoport feloszlott, ez nem jelenti azt, hogy a zsarolóvírus-fenyegetések most már elavultak. A Maze több korábbi partnere áttért az Egregor zsarolóvírus használatára, és széles körben feltételezik, hogy ez a három változat – a harmadik a Sekhmet – azonos eredetű.

4. DearCry

2021 márciusában a Microsoft kritikus frissítéseket adott ki négy sebezhetőségre az Exchange szervereikben, de mielőtt mindenki alkalmazhatta volna a javításokat a potenciális károk elleni védelem érdekében, a DearCry megjelent egy új zsarolóvírus-változattal, amely kifejezetten ezeknek a gyengeségeknek a kihasználására készült.

A DearCry zsarolóvírus számos fájlt képes zárolni, és a felhasználóknak egy váltságdíj-követelést hagy a számítógépükön, amely arra utasítja őket, hogy vegyék fel a kapcsolatot az üzemeltetőivel, hogy megtudják, hogyan állíthatják vissza a hozzáférést.

5. Lapsus$

A dél-amerikai Lapsus$ zsarolóvírus-banda világszerte jelentős célpontok elleni kibertámadásokhoz kapcsolódik. Megfélemlítéssel és az érzékeny adatok kiszivárogtatásának lehetőségével a kiberbanda nevet szerzett magának azzal, hogy zsarolja áldozatait, amíg azok nem teljesítik a követeléseiket. Dicsekedtek azzal, hogy behatoltak az Nvidia, a Samsung és az Ubisoft rendszereibe, többek között más globális szervezetekbe. Ez a csoport ellopott forráskódot használ arra, hogy a rosszindulatú fájlokat legitim szoftvernek álcázza.

6. Lockbit

A LockBit egy olyan szoftver, amelyet azért hoztak létre, hogy megakadályozza az embereket az adatokhoz való hozzáférésben. 2019 szeptembere óta létezik. Nemrégiben Ransomware-as-a-Service (RaaS) lett belőle. Ez azt jelenti, hogy az emberek fizethetnek azért, hogy használhassák, és megakadályozzák másokat az adatokhoz való hozzáférésben.

A zsarolóvírus költséges következményei

Azok az emberek, akik zsarolóvírussal foglalkoznak, gyakran vonakodnak bevallani, mennyi váltságdíjat fizettek. A Definitive Guide to Ransomware 2022 jelentés szerint a váltságdíj-követelések drasztikusan megnőttek; ami korábban csak egyjegyű kifizetéseket jelentett, most már hét- és nyolcjegyű összegekre bővült. A legszélsőségesebb esetekben a vállalatoknak akár 40-80 millió USD váltságdíjat is fizetniük kell, hogy visszakapják adataikat. Ezek a kifizetések azonban nem az egyetlen költségek, amelyek a zsarolóvírus-támadásokkal járnak; más közvetlen és közvetett költségek is növelhetik egy szervezet pénzügyi terheit. Az IBM Cost of Data Breach 2021 tanulmányában szereplő jelentés szerint a zsarolóvírus-támadások átlagos költsége a váltságdíj-kifizetések nélkül 4,62 millió USD volt.

A DCH Kórházak esete

A DCH egy regionális orvosi központ Tuscaloosában, Alabamában, amely 1923 óta működik.

2019. október 1-jén a DCH Kórházakat zsarolóvírus-támadás érte. Minden elektronikus rendszer leállt. Nem tudtak új betegeket fogadni, és mindent papíron kellett végezniük.

A DCH egyik képviselője elárulta, hogy a rendszer akkor kompromittálódott, amikor valaki megnyitott és interakcióba lépett egy fertőzött e-mail melléklettel. Szerencsére egyetlen beteg információja sem került veszélybe.

A DCH Kórházi Rendszer három nagy kórházzal büszkélkedhet – DCH Regional Medical Center, Northport Medical Center és Fayette Medical Center – amelyek Nyugat-Alabama jelentős részét szolgálják ki. Ez a három orvosi létesítmény több mint 850 ágyat kínál, és évente több mint 32,000 beteget fogad.

Szombaton, október 5-én, hogy gyorsan visszanyerjék a rendszereikhez való hozzáférést, a DCH Kórházak úgy döntöttek, hogy kifizetik a váltságdíjat, és megszerzik a visszafejtési kulcsot a támadóktól. Azonban úgy döntöttek, hogy nem hozzák nyilvánosságra, mennyit fizettek. Mivel az egészségügyi rendszerek kritikusak és érzékenyek, könnyű célpontot jelentenek a zsarolóvírus-támadások számára. Gyakran ezek a szervezetek úgy találják, hogy a váltságdíj kifizetése előnyösebb, mint a potenciális adatvesztéssel vagy zavarokkal való szembenézés. A rendszereikben tárolt bizalmas információk túl értékesek ahhoz, hogy elveszítsék. A DCH Kórház biztonsági megsértésére használt rosszindulatú zsarolóvírust egy alkalmazott tudatlanul segítette elő, aki megnyitott egy adathalász e-mailt, amely fertőzött mellékletet tartalmazott. Ez lehetővé tette a malware számára, hogy hozzáférjen, és később megfertőzze a számítógépes hálózatukat.

5 lépés, hogy elkerülje, hogy zsarolóvírus áldozatává váljon

1. Képezze ki alkalmazottait a kiberbiztonsági fenyegetésekről.

Ahhoz, hogy megvédjük magunkat a kibertámadásoktól, és képesek legyünk felismerni azok előfordulását a munkahelyen, el kell ismernünk az egyéni felelősségünket a kiberbiztonságért. Minden alkalmazottnak speciális képzést kell kapnia a kibertér fenyegetéseinek felismeréséről és megelőzéséről. De végső soron minden egyes egyénen múlik, hogy a kapott információkat felhasználva pontosan felmérje a potenciális kockázatokat a mindennapi életében. A DCH Kórházak esete fontos példa arra, hogy mennyire értékes lehet a személyes kiberbiztonsági ismeretek birtoklása.

A vállalatnak tájékoztatnia kell az alkalmazottat az ismeretlen feladóktól származó e-mail mellékletek megnyitásának potenciális kockázatairól, különösen munkahelyi környezetben. Ha kétségei vannak, mindig a legjobb, ha konzultál valakivel, aki tapasztalattal rendelkezik, mielőtt bármilyen üzenetet, linket vagy mellékletet megnyitna. Sok vállalkozás rendelkezik házon belüli IT-osztállyal, amely bármilyen adathalász kísérlet jelentését fogadja, hogy megerősítse, hogy az üzenet legitim-e az alkalmazott számára. Ha az üzenet megbízható forrásból, például a bankszámla-szolgáltatójától vagy személyesen ismert ismerősöktől származik, vegye fel velük közvetlenül a kapcsolatot, és erősítse meg, hogy ők küldték az üzenetet és annak tartalmát, mielőtt bármilyen linkre kattintana. Ily módon megvédheti magát a potenciális kibertámadásoktól.

2. Készítsen biztonsági másolatot a fájljairól.

Ha valaha zsarolóvírus célpontjává válik, vagy elveszít néhány adatot egy támadás során, és nem akarja kifizetni a váltságdíjat, elengedhetetlen, hogy biztonságos biztonsági másolattal rendelkezzen a legértékesebb információiról.

A rosszindulatú támadás következményeinek minimalizálása érdekében a DCH Kórházaknak megelőző intézkedéseket kellett volna tenniük, és biztonsági másolatot kellett volna készíteniük a lényeges fájljaikról az incidens előtt. Egy biztonsági másolat lehetővé tette volna számukra, hogy nyitva maradjanak és folytassák a működést a zsarolóvírus okozta megszakítás nélkül.

3. Tartsa naprakészen a szoftverét.

A kiberbűnözők gyakran meglévő gyengeségekre vadásznak, hogy rosszindulatú szoftvert juttassanak be egy eszközbe vagy rendszerbe. A nem javított, vagy nulladik napi, biztonsági hibák veszélyesek lehetnek, mivel vagy nem ismertek a digitális biztonsági ipar számára, vagy azonosították őket, de még nem orvosolták. Bizonyos zsarolóvírus-csoportok megfigyelhetően vásárolnak információkat nulladik napi sebezhetőségekről kiberbűnözőktől, amelyeket rosszindulatú műveleteikhez használnak. Az is ismert, hogy a hackerek kihasználhatják a javított biztonsági hibákat, hogy bejussanak a rendszerekbe és támadásokat indítsanak. 

Elengedhetetlen a javítások rendszeres alkalmazása, hogy megvédjük magunkat a szoftverek és operációs rendszerek sebezhetőségeit célzó zsarolóvírus-támadások ellen.

4. Telepítse és frissítse a kiberbiztonsági eszközöket

Fontos frissíteni a kiberbiztonsági eszközöket – kártevőirtó és vírusirtó szoftvereket, tűzfalakat, biztonságos webes átjárókat, valamint vállalati megoldásokat, mint például végpont-észlelés és válasz (EDR), kiterjesztett észlelés és válasz (XDR), amelyek segíthetnek a biztonsági csapatoknak valós időben észlelni a rosszindulatú tevékenységeket.

5. Vezessen be hozzáférés-ellenőrzési irányelveket

A szervezeteknek többtényezős hitelesítést, zero-trust architektúrát, hálózati szegmentálást és kapcsolódó védelmi intézkedéseket kell bevezetniük, hogy megvédjék a sebezhető adatokat, és megakadályozzák a kriptoférgek átterjedését a hálózat más gépeire.

A zsarolóvírus az egyéneket is célba veszi.

Általában a zsarolóvírus-történetek a vállalati vagy egészségügyi rendszerek feltörése utáni következményekre összpontosítanak; azonban fontos felismerni, hogy az egyének sem mentesek ezek alól a támadások alól. Valójában gyakrabban fordulnak elő, mint gondolnánk. Az egyéneknek tisztában kell lenniük a zsarolóvírus valós veszélyével az internet használata során, mivel az veszélyeztetheti a biztonságukat és a védelmüket.

A kiberbűnözők két fő módszert alkalmaznak a zsarolóvírus terjesztésekor: titkosítást és képernyőzárat.

Titkosító zsarolóvírus

A kiberbűnözők elsősorban a helyileg tárolt fájlokat célozzák meg titkosító zsarolóvírussal. Az ilyen dokumentumok kiválasztásához a támadó adathalász trükköket vagy más rosszindulatú szoftvereket használ, hogy felderítse célpontját. Miután a fájlok titkosítva vannak, az áldozat váltságdíjat követel, hogy megkapja a visszafejtési kulcsot, amely szükséges az adatok eléréséhez. A hackerek általában ezt a stratégiát alkalmazzák, hogy hozzáférjenek a bizalmas vagy érzékeny információkhoz, amelyeket a vállalatok keményen próbálnak megvédeni. Ez a megközelítés népszerűvé vált a rosszindulatú felek körében, így a vállalkozások és szervezetek gyakori célponttá váltak.

Képernyőzáró zsarolóvírus

Ezzel szemben a képernyőzáró zsarolóvírus bizonyos fájlokat titkosít, és teljesen működésképtelenné teszi a felhasználó eszközét. A képernyőzáró zsarolóvírus lezárja az eszközét, és egy teljes képernyős üzenetet jelenít meg, amely nem mozdítható el és nem minimalizálható. Felszólítják, hogy fizessen váltságdíjat a rendszer feloldásához vagy az elveszett adatok vagy fájlok visszaszerzéséhez.

Ezek a programok gyakran félelemkeltő taktikákat alkalmaznak, hogy fizetésre kényszerítsék, például egy visszaszámláló órát, amely figyelmeztet, hogy törölni fogja az összes fájlját, ha lejár az idő. A kiberbűnözők gyakran megpróbálják megfélemlíteni az egyéneket azzal, hogy kitalált történeteket mesélnek arról, hogy az eszközeik illegális tevékenységekhez vagy nem megfelelő anyagokhoz kapcsolódnak, és azzal fenyegetőznek, hogy jelentik őket a hatóságoknak, ha az áldozat nem fizet. A zsarolóvírus-fejlesztők egyesek pornográf képeket is felhasználnak, és azzal fenyegetőznek, hogy az áldozat nem tudja eltávolítani azokat fizetés nélkül.

Végül

Hatékony kiberbiztonsági intézkedések bevezetése, például a szoftverek és biztonsági eszközök rendszeres frissítése, hozzáférés-ellenőrzési irányelvek érvényesítése, valamint a rosszindulatú programok által alkalmazott különféle taktikák ismerete a vállalkozások védelme érdekében a zsarolóvírus-támadások ellen. Ezenkívül az egyéneknek proaktív lépéseket kell tenniük eszközeik védelme érdekében a zsarolóvírus-támadásokkal szemben – beleértve az óvatosságot az ismeretlen forrásokból származó e-mailek megnyitásakor vagy linkekre kattintáskor. Tudatossággal és körültekintő gyakorlattal mindannyian hozzájárulhatunk a zsarolóvírus fenyegetésének csökkentéséhez digitális világunkban.