Vilhelmina
8 °C
25 °C
Index - In English In English Eng

Ritka bepillantást kaptunk a kiberbűnözői biznisz mindennapjaiba

GettyImages-1191303745
2020.08.04. 14:01

Július végén kibertámadás érte a CWT nevű, vállalati utazásokat szervező nagy amerikai utazási irodát. A hekkerek ellopták, illetve a cég hálózatára juttatott zsarolóvírussal elérhetetlenné tették az ott talált fájlokat, és a hozzáférés visszaállításáért váltságdíjat követeltek. A CWT végül fizetett is 4,5 millió dollárnak (1,33 milliárd forintnak) megfelelő bitcoint, és azt állítják, valóban visszakapták az adataikat – számolt be a történtekről a Reuters.

Az esetet azonban nem a fizetés ténye teszi érdekessé, hanem az, hogy szokatlan módon megmaradtak és nyilvánosságra kerültek azok a csetüzenetek, amelyeket az áldozat képviselője váltott a hekkerekkel.

 Az üzenetekben végigkövethető, hogyan alkudták ki a váltságdíj kedvezményes végső összegét, és hogyan zajlott az egész tárgyalási folyamat – úgy, mintha két legitim vállalat képviselői egyeztettek volna valamilyen unalmas üzleti ügyet.

Fizess, különben megfizetsz

A zsarolóvírusok olyan kártékony programok, amelyek egy számítógépre jutva titkosítják a fájlokat vagy akár az egész lemezt, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. Az utóbbi években egyre gyakoribbak az ilyen támadások, bénított már meg egész városokat zsarolóvírus, néhány éve pedig a WannaCry és a NotPetya a fél világon végigsöpört.

A zsarolóvírusos támadások kedvelt célpontjai a különféle cégek mellett a kórházak is, mert a kórházi rendszerek gyakran sérülékenyek, jellemzően a dolgozók kiberbiztonsági tudatosságának fejlesztésére se helyeznek hangsúlyt, és más ágazatokhoz képest jóval nagyobb a fizetési hajlandóság, hiszen minél hosszabb ideig tart egy leállás, annál több emberélet kerülhet veszélybe. Korábban magyar kórházakat is ért ilyen támadás, de a koronavírus-járvány idején sem álltak le a hekkerek.

A CWT hálózatát egy Ragnar Locker nevű zsarolóvírus fertőzte meg, amely a hekkerek állítása szerint 30 ezer gépet tett használhatatlanná (bár a Reuters egy nyomozásra rálátó forrása azt mondta, ennél valójában jóval kevesebb gépet érintett az incidens). A gépeken hagyott üzenet szerint a támadók két terabájtnyi adatot loptak el, köztük pénzügyi jelentéseket, biztonsági dokumentumokat és dolgozók személyes adatait.

A tavalyi évben 1,5 milliárd dolláros bevételt termelő CWT elismerte a támadás tényét, de részleteket nem közölt: "Megerősítjük, hogy miután elővigyázatosságból leállítottuk a rendszereinket, azok már újra elérhetők, és az incidens mostanra véget ért. Bár a nyomozás korai szakaszban jár, nincs arra utaló jel, hogy személyazonosításra alkalmas információ, illetve ügyfél- és utasinformáció kompromittálódott volna" – írták közleményükben, hozzátéve, hogy azonnal értesítették az incidensről az amerikai és az európai adatvédelmi hatóságot is.

A zsarolóvírus mint üzleti vállalkozás

A zsarolóvírusok üzemeltetőitől máskor is láttunk már olyan magatartást, amelyet nem feltétlenül várnánk el kiberbűnözőktől. Előfordult már például, hogy egy ilyen kártevő fejlesztői lelőtték a programjukat, ingyen közzétették a titkosított fájlok dekódolásához szükséges kulcsokat, és minden áldozatuktól bocsánatot kértek.

Első hallásra ugyanilyen szokatlannak tűnhet az is, hogy a hekkerek üzletszerűen működtetik az illegális bizniszüket. Pedig valójában nagyon is logikus – és egyáltalán nem új jelenség –, hogy a legális tevékenységet végző cégekhez hasonló módon működnek. Ennek az az oka, hogy a kiberbűnözők is egyre profibbak, és a nyereséges működéshez ugyanúgy rászorulnak a szervezett működési modellre, mint bármelyik legitim vállalkozás.

Egész iparág épült rá a zsarolóvírusokra, a profi hekkerek szoftvert fejlesztenek és az üzleti modellt dolgozzák ki, a kisebb játékosok pedig építik a hálózatot és gyakorlatilag franchise-szerű rendszerben terjesztik százalékos részesedésért a kártevőt – magyarázta az Indexnek egy korábbi interjúban Martin Lee, a Talos biztonsági cég egyik európai vezetője.

Ügyfélszolgálat, vállalati kedvezmény, elégedett ügyfél

A hekkerek eleinte 10 millió dolláros váltságdíjat követeltek – természetesen a nehezen visszakövethető bitcoinban –, hogy visszaállítsák a titkosított fájlokat, illetve töröljék a saját szervereikről az ellopott fájlokat.

A csetüzenetekről néhány fotót a Reuters hivatalosan is kiadott, a többiről a képernyőképeket Jack Stubbs, a Reuters kiberbiztonsági szakújságírója, a CWT elleni támadásról beszámoló cikk szerzője tette közzé Twitteren. A képeken végigkövethető a két fél közti kommunikáció. A hekkerek egy Support nevű fiókon keresztül érhetők el, mintha csak egy felhasználó fordulna egy legitim szolgáltatás ügyfélszolgálatához valamilyen kérdéssel. Az angol nyelvű válaszok szövegéből jól látszik, hogy a hekkerek minden bizonnyal nem angol anyanyelvűek. Nézzük, hogy zajlott az egyezkedés!

01
Fotó: Jack Stubbs/Twitter

A CWT képviselőjének jelentkezésére az ügyfélszolgálatos hekker leírja, hogy mi is maga a "szolgáltatás", azaz mit tartalmaz a 10 millió dolláros ár: egyrészt a fájlok titkosításának feloldásához szükséges programot, másrészt az általuk "letöltött", azaz ellopott adatok törlését. Mintegy bónuszként a biztonsági tanácsadást is hozzácsapták a csomaghoz, hogy technikai tippekkel segítsék a céget a hasonló támadások jövőbeni elkerülésében. Jó üzleti érzékkel egy kis ízelítőt is ígértek a fizetős szolgáltatásból: két fájlt ingyen feloldanak, hogy bizonyítsák a dekódoló program működését. (Ez egyébként bevett szokásuk a zsarolóvírusok működtetőinek.)

02
Fotó: Jack Stubbs/Twitter

Az "ügyfél" erre reklamálni kezd, hogy a gépeken hagyott üzenetben a "szolgáltató" különleges árszabást ígért, ha két napon belül jelentkeznek. Az ügyfélszolgálatos előbb jó érzékkel megjegyzi, hogy az alapár szerinte már így is elég jutányos, hiszen az adatvesztés- és szivárgás esetén borítékolható perek költségénél és a pénzben nehezen mérhető presztízsveszteségnél sokkal méltányosabb; majd közli, hogy a cég valóban jogosult még ennél is kedvezőbb árra.

Az ügyfél közli, hogy 24 órán belül fizetnének is, ha sikerül megegyezni a megfelelő árban, de kéri a hekkereket, hogy vegyék figyelembe, hogy a koronavírus-járvány jelentősen megtépázta a cég bevételeit, hiszen senki nem utazik mostanában. Az ügyfélszolgálatos-üzletkötő megértőnek mutatkozik, és értékeli a gyorsaságot, mint írja, "mi is üzletemberek vagyunk, akárcsak önök". Ezért 24 órán belüli fizetés esetére 20 százalék kedvezményt ajánl fel.

04
Fotó: Jack Stubbs/Twitter

Az ügyfél ezzel még nem elégedett, ezért a nehéz gazdasági helyzet további ecsetelése mellett 3,7 millió dolláros árat javasol, de óvatosan megjegyzi, hogy "nem szeretném lekicsinyelni az ön és csapata munkáját, csak próbálom elkerülni a további leépítéseket a cégünknél". A hekker udvariasan megköszöni az ajánlatot, de ő is megértést kér a tárgyalópartnerétől: már így is a piaci viszonyokhoz mérten kedvező árat ajánlottak. Végül mégis javasol egy alternatív fizetési konstrukciót. Eszerint további 5 százalékot elengednének, és a részletfizetést is lehetővé tennék, például úgy, hogy 4 millióért visszaállítják a fájlokat, és később, a fennmaradó árrészlet megfizetése után törlik azokat a saját szervereikről.

Itt néhány üzenet kimarad, a következő közzétett képen az ügyfélszolgálatos hekker már azt írja, a főnök beleegyezett, hogy ha 24 órán belül az egész tranzakciót sikerül lezárni, akkor mehet a 4,5 milliós ár. A CWT képviselője elégedettnek tűnik, mint írja, biztos benne, hogy ezt már jóvá fogja tudni hagyatni a pénzügyi igazgatóval. Annyi megerősítést kér még, hogy a hekkerek nem fogják megosztani harmadik féllel a hozzájuk került adatokat.

06
Fotó: Jack Stubbs/Twitter

A megegyezés után néhány órával az ügyfélszolgálat valóban el is küldi a tárgyalás elején ígért biztonsági tanácsokat, amelyekkel a cég nagyobb eséllyel tudja elkerülni a hasonló incidenseket. Ezek egyébként korrekt, bár nem kifejezetten szofisztikált tippek.

07
Fotó: Jack Stubbs/Twitter

Végül az ügyfél megköszöni, hogy ilyen gyorsan sikerült mindent lezavarni. "Szívesen, mindig öröm profikkal együtt dolgozni. Ha bármilyen kérdés felmerül, kérem nyugodtan keressen" – írja a hekker, majd még megkéri az ügyfelet, hogy erősítse meg, hogy minden fontos információt feljegyzett, hogy törölhesse az üzenetváltás előzményeit. (Ez minden bizonnyal meg is történt, hiszen a képeken CWT képviselője van "Te" névvel jelölve, azaz az üzenetek feltehetően a cégtől kerültek ki.)

A Reuters ellenőrizte a hekkerek által megadott bitcoin tárca nyilvánosan elérhető forgalmi adatait, amelyekből látszott, hogy a tárcába július 28-án megérkezett 414 bitcoin (ami valójában több is, mint 4,5 millió dollár, inkább bő 4,6 millió).

Jobb nem fizetni

Bár a fenti eset az áldozat fizetésével zárult, a szakértők általános tanácsa, hogy nem érdemes fizetni, mert ez sose jelent garanciát arra, hogy valóban vissza is állítják a fájljait a hekkerek. Volt már rá példa, hogy állták a szavukat, de arra is, hogy az áldozat bankszámláján kívül semmi nem változott.

Ráadásul ha fizet is az illető, majd visszaállnak a fájlok, de semmilyen más lépést nem tesz, később akár a fertőzés is visszatérhet. Magának a zsarolóvírusnak az eltávolítása ugyanis nem feltétlenül szüntetni meg a veszélyt, mert a hekkerek ritkán szokták elengedni azt a gépet vagy hálózatot, amit egyszer már sikerült megfertőzni – mondta az Indexnek még 2016-ban, a magyarországi kórházi zsarolóvírus-támadások kapcsán Durmics Tamás biztonsági szakember. De még ha konkrét utófertőzés nem is történik, az ott maradó kártékony kóddal a gép becsatolható például egy zombihálózatba, amelyet aztán – akár zsarolóvírust terjesztő – levélszemét szétküldésére vagy túlterheléses támadásokhoz lehet használni.

Plusz végső soron a fizetéssel is bűnözőket finanszíroz a kötélnek álló áldozat, amivel visszaigazolja, hogy működik az üzleti modell. A gyakorlati szempontok mellett az is felmerül, hogy mennyire etikus, ha egy áldozatul esett cég úgy kezd tárgyalni és alkudozni a bűnözőkkel, mintha azok legitim üzleti partnerek volnának.

Mindennek ellenére rendszeresen elcsábulnak a meghekkelt szervezetek, mert gyakran többet ér a zavartalan működés mielőbbi helyreállásának lehetősége, mint hogy hosszú távú etikai megfontolásból jó döntést hoznak-e. Minden vállalatnak vagy intézménynek magának kell az adott helyzetben mérlegelnie, hogy ha már megfelelő óvintézkedések híján nem sikerült elkerülni a fertőzést, mi a leginkább felelősségteljes következő lépés.

A legjobb védekezés a megelőzés

Mint a kiberbiztonsági veszélyek esetén oly gyakran, a zsarolóvírusokkal kapcsolatban is elmondható, hogy érdemes a kármentés – pláne a váltságdíjfizetés – helyett a megelőzésre összpontosítani. Általánosságban elmondható, hogy megelőzhető a zsarolóvírus-katasztrófa, ha:

  • Rendszeresen készít biztonsági mentést a fájljairól, akár a teljes rendszeréről, hogy ha beüt egy fertőzés, egyszerűen vissza lehessen állítani. Fontos, hogy a biztonsági mentést magától a rendszertől elkülönítve tárolja, különben azt is elérheti a kártevő, és akkor mehet az egész a kukába.
  • Ne nyisson meg ismeretlen vagy ismerősnek tűnő, mégis gyanús emaileket, pontosabban a bennük érkező emailcsatolmányokat és linkeket. Ugyanígy a gyanús weboldalakat is kerülje el, bár ebben manapság egész sokat segítenek a böngészők is.
  • Mindig frissítse az operációs rendszerét és a programjait. A 2017. májusi WannaCry-fertőzést például egy olyan sebezhetőség tette lehetővé, amelyre a Microsoft már az év márciusában kiadta a javítást – hiába, ha a felhasználó vagy a rendszergazda nem telepíti.
  • Használjon vírusirtót. Legalább azt, amelyik be van építve a rendszerébe, de még jobb, ha annál profibbat. Ezt is rendszeresen frissítse. (Vagyis ne legyen lusta újraindítani a gépét, ha egy frissítés ezt kéri.)
Kapcsolódó

Így védekezzen a zsarolóvírusok ellen!

Összeszedtük a fő tudnivalókat Petyáékról, hogy ne legyen legközelebb ön is az áldozatok között. Fizetni nem érdemes, de előre gondolkodni ajánlott.

Cégek, intézmények esetén a rendszergazda ennél jóval többet tehet a biztonságért, de ehhez a szervezet méretéhez illeszkedő számú szakemberre is szükség van – ahogy erre a CWT-t megtámadó, majd ugyanannak a cégnek készségesen tanácsokat osztogató hekkerek is felhívták a figyelmet.

Borítókép: Getty Images Hungary Fotós: Thomas Trutschel