Ritka bepillantást kaptunk a kiberbűnözői biznisz mindennapjaiba
További Tech-Tudomány cikkek
- Űrből érkező rádiójelek nyomába eredtek a tudósok, meglepő helyre jutottak
- Egy rák elleni antitest lehet a Parkinson-kór ellenszere
- Olyan bolygóegyüttállás lesz kedd este, amilyen pár évtizedenként csak egyszer történik meg
- Jön a biometrikus fizetés, hamarosan arcfelismerővel és tenyérrel is egyenlíthetjük a számlát
- Több kínai céget, köztük a TikTokot és a Temut is megszorongathatják az Európai Unióban
Július végén kibertámadás érte a CWT nevű, vállalati utazásokat szervező nagy amerikai utazási irodát. A hekkerek ellopták, illetve a cég hálózatára juttatott zsarolóvírussal elérhetetlenné tették az ott talált fájlokat, és a hozzáférés visszaállításáért váltságdíjat követeltek. A CWT végül fizetett is 4,5 millió dollárnak (1,33 milliárd forintnak) megfelelő bitcoint, és azt állítják, valóban visszakapták az adataikat – számolt be a történtekről a Reuters.
Az esetet azonban nem a fizetés ténye teszi érdekessé, hanem az, hogy szokatlan módon megmaradtak és nyilvánosságra kerültek azok a csetüzenetek, amelyeket az áldozat képviselője váltott a hekkerekkel.
Az üzenetekben végigkövethető, hogyan alkudták ki a váltságdíj kedvezményes végső összegét, és hogyan zajlott az egész tárgyalási folyamat – úgy, mintha két legitim vállalat képviselői egyeztettek volna valamilyen unalmas üzleti ügyet.
Fizess, különben megfizetsz
A zsarolóvírusok olyan kártékony programok, amelyek egy számítógépre jutva titkosítják a fájlokat vagy akár az egész lemezt, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. Az utóbbi években egyre gyakoribbak az ilyen támadások, bénított már meg egész városokat zsarolóvírus, néhány éve pedig a WannaCry és a NotPetya a fél világon végigsöpört.
A zsarolóvírusos támadások kedvelt célpontjai a különféle cégek mellett a kórházak is, mert a kórházi rendszerek gyakran sérülékenyek, jellemzően a dolgozók kiberbiztonsági tudatosságának fejlesztésére se helyeznek hangsúlyt, és más ágazatokhoz képest jóval nagyobb a fizetési hajlandóság, hiszen minél hosszabb ideig tart egy leállás, annál több emberélet kerülhet veszélybe. Korábban magyar kórházakat is ért ilyen támadás, de a koronavírus-járvány idején sem álltak le a hekkerek.
A kiberbűnözők még most sem kímélik a kórházakat
A hekkerek koronavírusos átverésekkel nyomulnak, kihasználva a járvány miatt felfokozott információéhséget. Minden cég célpont, a home office különösen nagy veszélyt jelent.
A CWT hálózatát egy Ragnar Locker nevű zsarolóvírus fertőzte meg, amely a hekkerek állítása szerint 30 ezer gépet tett használhatatlanná (bár a Reuters egy nyomozásra rálátó forrása azt mondta, ennél valójában jóval kevesebb gépet érintett az incidens). A gépeken hagyott üzenet szerint a támadók két terabájtnyi adatot loptak el, köztük pénzügyi jelentéseket, biztonsági dokumentumokat és dolgozók személyes adatait.
A tavalyi évben 1,5 milliárd dolláros bevételt termelő CWT elismerte a támadás tényét, de részleteket nem közölt: "Megerősítjük, hogy miután elővigyázatosságból leállítottuk a rendszereinket, azok már újra elérhetők, és az incidens mostanra véget ért. Bár a nyomozás korai szakaszban jár, nincs arra utaló jel, hogy személyazonosításra alkalmas információ, illetve ügyfél- és utasinformáció kompromittálódott volna" – írták közleményükben, hozzátéve, hogy azonnal értesítették az incidensről az amerikai és az európai adatvédelmi hatóságot is.
A zsarolóvírus mint üzleti vállalkozás
A zsarolóvírusok üzemeltetőitől máskor is láttunk már olyan magatartást, amelyet nem feltétlenül várnánk el kiberbűnözőktől. Előfordult már például, hogy egy ilyen kártevő fejlesztői lelőtték a programjukat, ingyen közzétették a titkosított fájlok dekódolásához szükséges kulcsokat, és minden áldozatuktól bocsánatot kértek.
Első hallásra ugyanilyen szokatlannak tűnhet az is, hogy a hekkerek üzletszerűen működtetik az illegális bizniszüket. Pedig valójában nagyon is logikus – és egyáltalán nem új jelenség –, hogy a legális tevékenységet végző cégekhez hasonló módon működnek. Ennek az az oka, hogy a kiberbűnözők is egyre profibbak, és a nyereséges működéshez ugyanúgy rászorulnak a szervezett működési modellre, mint bármelyik legitim vállalkozás.
Egész iparág épült rá a zsarolóvírusokra, a profi hekkerek szoftvert fejlesztenek és az üzleti modellt dolgozzák ki, a kisebb játékosok pedig építik a hálózatot és gyakorlatilag franchise-szerű rendszerben terjesztik százalékos részesedésért a kártevőt – magyarázta az Indexnek egy korábbi interjúban Martin Lee, a Talos biztonsági cég egyik európai vezetője.
Ügyfélszolgálat, vállalati kedvezmény, elégedett ügyfél
A hekkerek eleinte 10 millió dolláros váltságdíjat követeltek – természetesen a nehezen visszakövethető bitcoinban –, hogy visszaállítsák a titkosított fájlokat, illetve töröljék a saját szervereikről az ellopott fájlokat.
A csetüzenetekről néhány fotót a Reuters hivatalosan is kiadott, a többiről a képernyőképeket Jack Stubbs, a Reuters kiberbiztonsági szakújságírója, a CWT elleni támadásról beszámoló cikk szerzője tette közzé Twitteren. A képeken végigkövethető a két fél közti kommunikáció. A hekkerek egy Support nevű fiókon keresztül érhetők el, mintha csak egy felhasználó fordulna egy legitim szolgáltatás ügyfélszolgálatához valamilyen kérdéssel. Az angol nyelvű válaszok szövegéből jól látszik, hogy a hekkerek minden bizonnyal nem angol anyanyelvűek. Nézzük, hogy zajlott az egyezkedés!
A CWT képviselőjének jelentkezésére az ügyfélszolgálatos hekker leírja, hogy mi is maga a "szolgáltatás", azaz mit tartalmaz a 10 millió dolláros ár: egyrészt a fájlok titkosításának feloldásához szükséges programot, másrészt az általuk "letöltött", azaz ellopott adatok törlését. Mintegy bónuszként a biztonsági tanácsadást is hozzácsapták a csomaghoz, hogy technikai tippekkel segítsék a céget a hasonló támadások jövőbeni elkerülésében. Jó üzleti érzékkel egy kis ízelítőt is ígértek a fizetős szolgáltatásból: két fájlt ingyen feloldanak, hogy bizonyítsák a dekódoló program működését. (Ez egyébként bevett szokásuk a zsarolóvírusok működtetőinek.)
Az "ügyfél" erre reklamálni kezd, hogy a gépeken hagyott üzenetben a "szolgáltató" különleges árszabást ígért, ha két napon belül jelentkeznek. Az ügyfélszolgálatos előbb jó érzékkel megjegyzi, hogy az alapár szerinte már így is elég jutányos, hiszen az adatvesztés- és szivárgás esetén borítékolható perek költségénél és a pénzben nehezen mérhető presztízsveszteségnél sokkal méltányosabb; majd közli, hogy a cég valóban jogosult még ennél is kedvezőbb árra.
Az ügyfél közli, hogy 24 órán belül fizetnének is, ha sikerül megegyezni a megfelelő árban, de kéri a hekkereket, hogy vegyék figyelembe, hogy a koronavírus-járvány jelentősen megtépázta a cég bevételeit, hiszen senki nem utazik mostanában. Az ügyfélszolgálatos-üzletkötő megértőnek mutatkozik, és értékeli a gyorsaságot, mint írja, "mi is üzletemberek vagyunk, akárcsak önök". Ezért 24 órán belüli fizetés esetére 20 százalék kedvezményt ajánl fel.
Az ügyfél ezzel még nem elégedett, ezért a nehéz gazdasági helyzet további ecsetelése mellett 3,7 millió dolláros árat javasol, de óvatosan megjegyzi, hogy "nem szeretném lekicsinyelni az ön és csapata munkáját, csak próbálom elkerülni a további leépítéseket a cégünknél". A hekker udvariasan megköszöni az ajánlatot, de ő is megértést kér a tárgyalópartnerétől: már így is a piaci viszonyokhoz mérten kedvező árat ajánlottak. Végül mégis javasol egy alternatív fizetési konstrukciót. Eszerint további 5 százalékot elengednének, és a részletfizetést is lehetővé tennék, például úgy, hogy 4 millióért visszaállítják a fájlokat, és később, a fennmaradó árrészlet megfizetése után törlik azokat a saját szervereikről.
Itt néhány üzenet kimarad, a következő közzétett képen az ügyfélszolgálatos hekker már azt írja, a főnök beleegyezett, hogy ha 24 órán belül az egész tranzakciót sikerül lezárni, akkor mehet a 4,5 milliós ár. A CWT képviselője elégedettnek tűnik, mint írja, biztos benne, hogy ezt már jóvá fogja tudni hagyatni a pénzügyi igazgatóval. Annyi megerősítést kér még, hogy a hekkerek nem fogják megosztani harmadik féllel a hozzájuk került adatokat.
A megegyezés után néhány órával az ügyfélszolgálat valóban el is küldi a tárgyalás elején ígért biztonsági tanácsokat, amelyekkel a cég nagyobb eséllyel tudja elkerülni a hasonló incidenseket. Ezek egyébként korrekt, bár nem kifejezetten szofisztikált tippek.
Végül az ügyfél megköszöni, hogy ilyen gyorsan sikerült mindent lezavarni. "Szívesen, mindig öröm profikkal együtt dolgozni. Ha bármilyen kérdés felmerül, kérem nyugodtan keressen" – írja a hekker, majd még megkéri az ügyfelet, hogy erősítse meg, hogy minden fontos információt feljegyzett, hogy törölhesse az üzenetváltás előzményeit. (Ez minden bizonnyal meg is történt, hiszen a képeken CWT képviselője van "Te" névvel jelölve, azaz az üzenetek feltehetően a cégtől kerültek ki.)
A Reuters ellenőrizte a hekkerek által megadott bitcoin tárca nyilvánosan elérhető forgalmi adatait, amelyekből látszott, hogy a tárcába július 28-án megérkezett 414 bitcoin (ami valójában több is, mint 4,5 millió dollár, inkább bő 4,6 millió).
Jobb nem fizetni
Bár a fenti eset az áldozat fizetésével zárult, a szakértők általános tanácsa, hogy nem érdemes fizetni, mert ez sose jelent garanciát arra, hogy valóban vissza is állítják a fájljait a hekkerek. Volt már rá példa, hogy állták a szavukat, de arra is, hogy az áldozat bankszámláján kívül semmi nem változott.
Ráadásul ha fizet is az illető, majd visszaállnak a fájlok, de semmilyen más lépést nem tesz, később akár a fertőzés is visszatérhet. Magának a zsarolóvírusnak az eltávolítása ugyanis nem feltétlenül szüntetni meg a veszélyt, mert a hekkerek ritkán szokták elengedni azt a gépet vagy hálózatot, amit egyszer már sikerült megfertőzni – mondta az Indexnek még 2016-ban, a magyarországi kórházi zsarolóvírus-támadások kapcsán Durmics Tamás biztonsági szakember. De még ha konkrét utófertőzés nem is történik, az ott maradó kártékony kóddal a gép becsatolható például egy zombihálózatba, amelyet aztán – akár zsarolóvírust terjesztő – levélszemét szétküldésére vagy túlterheléses támadásokhoz lehet használni.
Plusz végső soron a fizetéssel is bűnözőket finanszíroz a kötélnek álló áldozat, amivel visszaigazolja, hogy működik az üzleti modell. A gyakorlati szempontok mellett az is felmerül, hogy mennyire etikus, ha egy áldozatul esett cég úgy kezd tárgyalni és alkudozni a bűnözőkkel, mintha azok legitim üzleti partnerek volnának.
Mindennek ellenére rendszeresen elcsábulnak a meghekkelt szervezetek, mert gyakran többet ér a zavartalan működés mielőbbi helyreállásának lehetősége, mint hogy hosszú távú etikai megfontolásból jó döntést hoznak-e. Minden vállalatnak vagy intézménynek magának kell az adott helyzetben mérlegelnie, hogy ha már megfelelő óvintézkedések híján nem sikerült elkerülni a fertőzést, mi a leginkább felelősségteljes következő lépés.
A legjobb védekezés a megelőzés
Mint a kiberbiztonsági veszélyek esetén oly gyakran, a zsarolóvírusokkal kapcsolatban is elmondható, hogy érdemes a kármentés – pláne a váltságdíjfizetés – helyett a megelőzésre összpontosítani. Általánosságban elmondható, hogy megelőzhető a zsarolóvírus-katasztrófa, ha:
- Rendszeresen készít biztonsági mentést a fájljairól, akár a teljes rendszeréről, hogy ha beüt egy fertőzés, egyszerűen vissza lehessen állítani. Fontos, hogy a biztonsági mentést magától a rendszertől elkülönítve tárolja, különben azt is elérheti a kártevő, és akkor mehet az egész a kukába.
- Ne nyisson meg ismeretlen vagy ismerősnek tűnő, mégis gyanús emaileket, pontosabban a bennük érkező emailcsatolmányokat és linkeket. Ugyanígy a gyanús weboldalakat is kerülje el, bár ebben manapság egész sokat segítenek a böngészők is.
- Mindig frissítse az operációs rendszerét és a programjait. A 2017. májusi WannaCry-fertőzést például egy olyan sebezhetőség tette lehetővé, amelyre a Microsoft már az év márciusában kiadta a javítást – hiába, ha a felhasználó vagy a rendszergazda nem telepíti.
- Használjon vírusirtót. Legalább azt, amelyik be van építve a rendszerébe, de még jobb, ha annál profibbat. Ezt is rendszeresen frissítse. (Vagyis ne legyen lusta újraindítani a gépét, ha egy frissítés ezt kéri.)
Így védekezzen a zsarolóvírusok ellen!
Összeszedtük a fő tudnivalókat Petyáékról, hogy ne legyen legközelebb ön is az áldozatok között. Fizetni nem érdemes, de előre gondolkodni ajánlott.
Cégek, intézmények esetén a rendszergazda ennél jóval többet tehet a biztonságért, de ehhez a szervezet méretéhez illeszkedő számú szakemberre is szükség van – ahogy erre a CWT-t megtámadó, majd ugyanannak a cégnek készségesen tanácsokat osztogató hekkerek is felhívták a figyelmet.
Borítókép: Getty Images Hungary Fotós: Thomas Trutschel
Ehhez a cikkhez ajánljuk
- Tech-Tudomány
Egy rák elleni antitest lehet a Parkinson-kór ellenszere
Megakadályozza a mérgező fehérje mozgását.
tegnap, 06:01
- Tech-Tudomány
Jön a biometrikus fizetés, hamarosan arcfelismerővel és tenyérrel is egyenlíthetjük a számlát
Amerikából érkezhet a trend.
január 21., 06:33
- Tech-Tudomány
Új típusú motor forradalmasíthatja a kereskedelmi gépeket
Mintegy két évig fejlesztette az új eszközt egy brit gépgyártó vállalat.
január 19., 06:43
- Mindeközben
Keresztes Ildikót megviselte Takács Nikolas ezüstérme az X-Faktorban: „40 kilósra fogytam, hogy nem ő nyert"
tegnap, 21:00
- Címlapon
Most egy teraszon ütött lyukat, de mekkora eséllyel találhat el minket egy meteor?
Jobb, ha tudjuk, gyakrabban végezhet velünk, mint egy ételmérgezés.
tegnap, 20:48
- Tech-Tudomány
Eltűnt a mérrőkód az Ügyfélkapu Pluszhoz ajánlott orosz kódgenerátorról
Van lehetőség e-maillel regisztrálnia annak, aki még nem tette meg.
január 18., 18:07
- Tech-Tudomány
Több kínai céget, köztük a TikTokot és a Temut is megszorongathatják az Európai Unióban
A feljelentő szerint a vállalatok kínai érdekelteknek továbbítanak adatokat az európai felhasználókról.
január 20., 17:13
- Tech-Tudomány
Olyan bolygóegyüttállás lesz kedd este, amilyen pár évtizedenként csak egyszer történik meg
Február végén pedig egy még ritkább eseményre lesz.
január 21., 21:55
- Tech-Tudomány
Magyarországra is begurul a Samsung okosgyűrűje
Méghozzá nem is olyan sokára.
január 16., 06:27
- Tech-Tudomány
Riadót fújtak a tudósok: rekordmagasságot ért el a fosszilis tüzelőanyagok szén-dioxid-kibocsátása
A felmelegedés mindenképpen folytatódik.
január 17., 17:08
- Tech-Tudomány
Az Instagram bejelentkezett a TikTok helyére, de a felhasználókat nem igazán érdekli a Meta törekvése
Hiába a fejlesztés, a felhasználók más opciókkal szimpatizálnak.
január 20., 10:22
- Tech-Tudomány
Megaföldrengés történhet Japánban a következő évtizedekben – figyelmeztettek a tudósok
Egyre nagyobb a valószínűsége, hogy bekövetkezik.
január 16., 18:04
- Címlapon
Tarjányi Péter: Európa zsarolható állapotban van Kína, Oroszország és Amerika részéről is
Vajon Donald Trump valóban elhozza a békét, vagy az orosz–ukrán konfliktus lezárásának ígérete kampányfogás marad?
tegnap, 19:09
- Tech-Tudomány
Űrből érkező rádiójelek nyomába eredtek a tudósok, meglepő helyre jutottak
Az eddig gondoltnál sokkal változatosabb helyről származhatnak a rejtélyes kozmikus jelenségek.
tegnap, 07:03
- Tech-Tudomány
Új ötlet vetődött fel a csillagközi utazásra
Bizonyos szempontból sokkal hatékonyabb, mint a lézervitorla.
január 16., 15:33
- Mindeközben
Fejes Tamás a Kincsvadászok eladójának: „Ország-világ előtt hülyét csináltál belőlünk”
tegnap, 17:52
- Címlapon
Donald Trump ultimátumot adott Vlagyimir Putyinnak
Van egy könnyebb és egy nehezebb út is.
tegnap, 19:51