Nem, nem tudsz mindent a zsarolóvírusokról

Nem, nem tudsz mindent a zsarolóvírusokról
Manapság már édeskevés csak a gyanús email-mellékleteket figyelni, ha valaki el akarja kerülni a zsarolóvírusokat. Az új generációs kártevők egész hálózatokat tesznek tönkre.

Bár csupán az esetek töredéke kerül nyilvánosságra, a legtöbb hazaicégvezető számára nagyon is ismerősen cseng a „ransomware”, azaz magyarul „zsaroló vírus” kifejezés. Azt viszont kevesen tudják, hogy a hatékony védelem érdekében ma már közel sem elég a gyanús e-mail mellékletekre figyelni – a zsaroló vírusok új generációja, mint például a Locky vagy a CryptXXX nem csak a helyi számítógépeket tudják megtámadni, hanem elsősorban a hálózatokat célozzák meg. Ezért a vállalati hálózati forgalom folyamatos megfigyelése a Trend Micro Incorporated szakértői szerint kulcsszerepet játszik az ilyen típusú támadások hatékony megelőzésében, illetve hosszú távon a zsaroló vírusok globális visszaszorításában. Az IT biztonsági cég csupán az elmúlt időszakban2 99 millió ransomware fenyegetést előzött meg világszerte.

A bizalmas adaokat is célozzák
A ransomware támadások során a követelt „váltságdíj” összege a legtöbb esetben 20 és 600 dollár között mozog a Trend Micro megfigyelései szerint. Ez hazai viszonylatban nem kis összeg, ám a zsaroló vírusok ennél sokkal súlyosabb károkat is okozhatnak egy vállalatnak: a bizalmas adatállománnyal való visszaélés, de akár csak néhány órányi leállás is kritikus lehet például a pénzügyi vagy a gyártó szektor számára. Emellett a zsaroló vírusok legújabb változatai már arra is képesek, hogy feltérképezzék a hálózati megosztásokat, és akár a megosztásokon lévő fájlokat is titkosítani tudják, vagyis a fertőzés és ezzel együtt a váltságdíj mértéke rövidesen a többszöröse is lehet az eddigieknek.

Folyamatos figyelem
A zsaroló vírusok képesek észrevétlenül beszivárogni a hálózatunk biztonsági résein keresztül, miközben látszólag minden normálisan működik. Ahhoz, hogy az ilyen típusú támadásokkal szemben ne legyen „vakfolt” a hálózatunkon, a forgalom folyamatos megfigyelésére van szükség egy olyan analizáló szoftverrel, amely a gyanús tevékenységeket a peremhálózatnál és az infrastruktúrán belül egyaránt képes észlelni.

A hálózati forgalom folyamatos felügyeletének főbb előnyei:

  • Érzékelhetjük a támadási kísérleteket, melyek során megbízható harmadik fél illetve eszköz hitelesítésével próbálnak beférkőzni a hálózatba. Így ellenőrizni tudjuk például, hogy valóban az egyik beszállító partnerünk kísérel-e meg hozzáférni egy alkalmazásunkhoz hajnali három órakor.

  • Azonosíthatjuk a nem menedzselt rendszereket, alkalmazásokat, illetve eszközöket, melyek egy zsarolóvírus beszivárgására utalhatnak. Például jelzi, ha egy alkalmazottunk „nevében” olyan IP címről kísérelnek meg belépni a hálózatunkba, amelyet korábban kiberbűnözéssel összefüggésben azonosítottak.

  • Minden lehetséges szempontból tudjuk elemezni a hálózatot érintő támadási kísérleteket már azok első mozzanatától kezdve, a támadás teljes „életciklusa” alatt. Például megtudhatjuk, hogy a böngészéseink, illetve levelezésünk során felmerülő, behatolásra utaló jelek (Indicators of Compromise - IoC) megjelentek-e bárhol a hálózaton belül is, illetve érintettek-e más protokollokat és hálózati elemeket.

A hálózat még magasabb szintű védelmére érdemes olyan megoldást választani, amely a fájlokat a vállalati infrastruktúrától elkülönített, sandbox környezetben elemzi, ezáltal anélkül képes azonosítani az ismeretlen ransomware szoftvereket, hogy veszélybe kerülnének a vállalat rendszerei és adatai. Ilyen például a Trend Micro Deep Discovery többszintű védelmi szolgáltatása, amely a hazai vállalatok számára is elérhető.

„A vállalatok komoly összegeket fordítanak hálózatuk felépítésére és üzemeltetésére, így nem kérdés, hogy megéri-e befektetniük azok megfelelő védelmébe. A zsaroló vírusok okozta károkhoz képest elenyésző a megelőző lépésekre fordított költség – különösen, ha figyelembe vesszük, hogy ha egy céget egyszer már megtámadtak, és engedett a zsarolók követeléseinek, nagyobb valószínűséggel válik ismét célponttá. Az egyre kifinomultabb módszerekkel szemben érdemes egy többrétegű biztonsági megoldás mellett dönteni, amely nem csak a jelenlegi fenyegetésekkel szemben nyúlt védelmet, hanem a vállalat hosszú távú biztonsági stratégiáját is támogatja” – foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.

Ritka esetnek lehettünk tanúi a napokban, amikor egy hírhedt zsarolóvírus, a TeslaCrypt létrehozói nyilvánosságra hozták a titkosított adatok visszafejtéséhez elengedhetetlen mesterkulcsot. A Trend Micro szakértői korábban már elkészítettek egy ingyenes és egyszerűen használható dekódoló eszközt, amellyel a zsaroló vírus által titkosított fájlok visszafejthetők a dekódoló kulcs ismeretében. Ez az eszköz a TeslaCrypt kártevő által titkosított fájlok visszafejtéséhez is használható, ezen kívül alkalmazható többek között a CryptXXX által fertőzött gépek esetében is. Az eszköz erről az oldalról ingyenesen letölthető.