hotline

Mi újság a ransomware területen?

Maria Korolov cikke nyomán a CSO Online oldaláról

Júniusban a Nayana nevű dél-koreai hoszting vállalatot érte egy ransomware támadás, amely térdre kényszerítette 153 Linuxos webszerverét. Ez a vállalatnak 400 Bitcoinjába fájt.

Júliusban a Merck gyógyszerészeti óriás ismerte el, hogy egy hónappal korábban egy ransomware támadás okozott világszintű műveleti problémákat náluk.

Augusztus elején pedig a hajózási szállító óriás Maersk jelentette be, hogy egy ransomware támadás jutott be a cég rendszerébe egy automatikus könyvelési program frissítésen keresztül. Ez 500 helyszínen érintette a felhasználókat és az alkalmazásokat, nagyjából 200 és 300 millió dollár közötti veszteséget okozva a vállalatnak.

WannaCry, Petya és Shadow Brokers, te jó ég

Az idei főcímeket a WannaCry és a Petya ransomware támadások uralták, valamint az NSA hackelési eszközöket (EternalBlue exploit) szivárogtató Shadow Brokers.

“Minden nap új változatok jelennek meg” – mondta Brian Bartholomew, a Kaspersky Lab ZAO Global Research and Analysis csapatának vezető biztonsági kutatója. “Most már több, mint teljes munkaidős tevékenység nyomonkövetni a vadonban megtalálható összes családot”.

A ransomware támadók nem csak új kártevő változatokat használnak. Olyan támadásokat is indítanak, amelyekhez nem szükséges semmilyen szofvert letölteni. Ehelyett a támadók az áldozat gépén található már létező eszközök és szoftverek előnyeit használják ki, vagy csak a memóriában futtatnak dolgokat.

“Ezért a hagyományos anti-malware megközelítés haszontalan” – mondja Dan Schiappa, a Sophos végfelhasználói és hálózatvédelmi biztonsági csoportjának általános igazgatója és elnöke. “A labda már egy másik játékba ment át”. – tette még hozzá. “Mi megemeljük/megerősítjük a védelmünket és a rosszfiúk találnak egy másik támadási vektort.”

Új támadási stratégiák

Az új exploitok csak az innovációs jéghegy csúcsát jelentik, amikor a ransomware iparágról beszélünk. A támadók új stratégiákat vettek át a hálózatokba történő betöréshez, növelték károkozási képességüket és legalább ilyen fontos, hogy szofisztikált növekedést-elősegítő üzleti modeleket tesznek magukévá.

Például, a felhasználók képzést kapnak arról, hogy ne kattintsanak rosszindulatú csatolmányokra vagy ne látogassanak meg rosszindulatú oldalakat és az anti-malware forgalmazók egyre jobbak lesznek ezeknek az oldalaknak és csatolmányoknak a felfedezésében. De a férgek önmagukat terjesztik anélkül, hogy a felhasználónak bármit is kelljen csinálnia. “A féreg megfigyeli és leellenőrzi a környezetét a hálózatban kihasználható sérülékenység után kutatva, majd lemásolja magát a kihasznált számítógépekre” – mondja Robert Simmons, a ThreatConnect kutatásfejlesztési igazgatója.

Simmons szerint egy internetre csatlakozó sérülékeny géppel rendelkező vállalat könnyű célpont. Ha egy vállalat lezárta az összes publikus irányba elérhető számítógépét, akkor egy dolgozó egy mobileszközt vagy laptopot is használhat, hogy egy nem biztonságos hálózatra csatlakozzon, amelyen egy másik fertőzött gép is megtalálható.

Ezután ha a felhasználó visszatér a céges hálózatba, a ransomware már onnan tud terjedni. Miután bekerült, a támadók nem csak a titkosítást indítják el azonnal.

“A Petyával arra jöttek rá, hogy a ransomware képességein felül olyan eszközzel is rendelkezett, amely további lehetőséget ad Windows tartományvezérlők megtámadásához, ahol a hálózathoz szükséges azonosítókat és jelszavakat tárolják”. – tette hozzá. “Ezért olyan más képességek felé mennek el, amelyekkel körbe tudnak forogni a hálózatban”.

A támadók például adatokat lophatnak vagy más károkat okozhatnak. Ezután a ransomware kikapcsol és segít a támadók nyomainak eltűntetésében. “A ransomwaret porfelhőként használhatják” – teszi hozzá. “Sokkal nehezebbé válik az eredeti támadás bizonyítékainak megtalálása.”

Mi van a mentésekkel?

Ha a ransomware bejut és elkezd mindent titkosítani, egy cég még mindig letörölheti a fertőzött gépeket és visszaállíthatja azokat a legutolsó mentésből, nem igaz? Nem feltétlenül.

Egyre gyakoribbá válik, hogy a ransomware leállítja a Windows Shadow Copy szolgáltatást és letörli az összes már elkészített mentést, mondja Nikolay Grebennikov, az Acronis kutatásfejlesztési alelnöke. Tény, hogy az év elején az AV-Test és az Anti-Malware Test Lab által lefolytatott tesztekben a legtöbb népszerű mentőszoftver képtelen volt megvédeni a mentési állományokat a ransomwaretől.

Még egy nagyvállalati-szintű mentési platform is áldozatul eshet, mint a Veeam, akiknek saját állításuk szerint negyedmillió üzleti ügyfele van. A tavasz folyamán egy ügyfél jelentette, hogy támadók hozzáférést szereztek a felhasználónevekhez és jelszavakhoz, majd letörölték a mentéseket.

A ransomware írók egyéb technikái közé tartozik az is, hogy rosszindulatú kódjaikhoz digitális aláírásokat szereznek, ezért nem regisztrálódnak veszélyként, folytatja Gerbennikov az Acronistól. Az ő vállalata volt az egyedüli, amely mind az AV-Test, mind az Anti-Malware Test Lab jelentésében jó eredményeket ért el. “A mentési forgalmazók sosem gondolnak erre, és szinte zéró önvédelmük van.” – tette hozzá. “De az önvédelem jelenleg egy létfontosságú komponense a védelemnek.”

Miután valaki a ransomware közösségből kijön egy új támadási módszerrel, igen gyorsan elterjed. A feltalálók eladják eszközeiket vagy licenszelik azokat a terjesztőknek. A Kasperskys Bartholomew szerint “vannak ilyen eszközeik, amelyeket megvásárolhatjuk és saját ransomware támadásokat hozhatunk létre. Csak vegyük célba a kívánt embereket és már mehet is. Már rendelkeznek ransomware szolgáltatással is (ransomware-as-a-service, azaz RaaS). Egyre elérhetőbbé válik és könnyű használni.”

Heurisztika és más új-generációs védelmek

A hagyományos szignatúra-alapú antivírus megoldások nem tudják tartani a lépést az új változatokkal, az új nulladik-napi fenyegetésekkel és fertőzésekkel, amelyek nem futtatható állományoktól függenek. Ennek eredményeként a hagyományos antivírus forgalmazók és az új végpont védelmi forgalmazók egyaránt ajánlanak olyan új-generációs védelmi képességeket, mint a homokozó technológia (sandboxing) és a viselkedés elemzése.

A hagyományos forgalmazók mellett új biztonsági forgalmazók is megjelentek a piacon, kifejezetten az új-generációs kártevő észlelésre fókuszálva, amelyet a hagyományos szignatúra-alapú antivírus megoldások kiegészítésére vagy lecserélésére terveztek.

Sok forgalmazó állította az idei Black Hat konferencián is, hogy az ő termékeik megfogták az összes ransomwaret, de mégis történtek fertőzések: hogyan lehet ez? A válasz egyszerűnek tűnik: valóban nem a ransomware jutott át a védelmeken, hanem a gépek nem voltak megfelelő védelemmel ellátva.

Az elmúlt időszak néhány nagy károkat okozó támadásaiban ismert exploitok is részt vettek, amelyekhez már volt kint amúgy javítás. A nagyvállalatok a hálózataik túlterhelésének elkerülése végett késleltethetik ezeket a frissítéseket, előbb a saját teszteléseiket akarják elvégezni vagy mert olyan rendszereket futtatnak, amelyeket már nem lehet frissíteni.

Mi várható, mi következik?

Egy magánembert érintő ransomware támadás akár néhány száz dollárba is kerülhet, hogy a fertőzést megszűntessék. A váltságdíj összege jelentősen emelkedik, ha vállalatot ér ilyen támadás. A Ponemon jelentése szerint egy átlagos vállalat 2,500 dollárt fizet támadásonként. Ezen felül a ransomware támadást elszenvedő vállalatok 7%-a 10,000 dollárnál is többet fizet.

Amikor egy felhőszolgáltatót ér támadás, főleg ha sok nagyvállalati ügyféllel rendelkezik, akkor a fizetendő összeg is sokkal magasabb lehet. A Nayanat érő támadás csak a kezdet lehet. Az IDC nemrégiben elvégzett közvéleménykutatása szerint a ransomware áldozatok 80%-a mondja, hogy legalább egy általuk látott ransomware támadás felhő infrastruktúrával kapcsolatos volt.

A nap végén nincs az a védelem, amely elegendő lenne, mivel a rosszfiúk mindig fejleszteni fognak – és elég, ha csak egyszer sikeresek. A bűnüldöző szerveknek is fel kell lépniük és a kiberbűnözőket rács mögé kell zárniuk. Ehhez persze idő kell, azonban rengeteg nemzetközi ügynökség működik együtt, mivel a támadók már mindenhol ott vannak a világban és a leggyengébb szervekkel rendelkező területeken hosztolnak kulcs infrastruktúrákat.

A pénz mozgásával is kezdeni kell valamit. Egyértelmű, hogy itt a különféle kriptovalutákról van szó, amelyeket sokkal jobban kell szabályozni a jelenlegi állapotnál.

További információ angol nyelven

Ha nem szeretne ransomware áldozata lenni, olvassa el a Ransomware Kisokosunkat!

0 Comments

Leave a Comment

A honlap böngészésével elfogadja, hogy cookie-kat helyezzünk el az Ön számítógépén, hogy elemezni tudjuk, hogyan használja honlapunkat.