LinkedIn Signal Telegram Discord

Zsarolóvírusok: Sok cégen az antivírus és a biztonsági mentés sem segít

Az elmúlt időszakban a Makay Kiberbiztonsági Kft. csapata rengeteg megkeresést és felkérést kapott olyan cégektől, amik zsarolóvírusok áldozatává váltak. A felkérések az ilyenkor szokásosnak tekinthető adat-helyreállítást, incidensvizsgálatot és új védelmi technológiák beszerzését foglalták magukban. Csakhogy sok esetben a zsarolóvírus áldozatául esett cégek nem kívántak antivírus terméket vásárolni… ugyanis már rendelkeztek ilyen védelmi megoldásokkal.

A kérdés tehát az, hogy mégis hogyan következtek be ezek az incidensek, ha a vállalkozások közismert gyártók kifejezetten nekik (tehát nem otthoni felhasználásra) szánt antivírus termékeit használták? Ez azt jelenti, hogy az antivírusok sem védenek a zsarolóvírusok támadása ellen és az áldozatok kénytelenek kifizetni a több millió forintos váltságdíjakat? (Amikért aztán vagy visszakapják az adataikat, vagy nem.)

Az antivírus sem véd, ha nem fut

Az említett vállalkozások informatikai infrastruktúrájának vizsgálatakor kiderült, hogy az üzemeltetők megfelelő antivírusokat alkalmaztak a munkaállomásokon és a szervereken a kártékony kódok ellen, valamint ezeket rendszeren frissítették, csakhogy kiderült, hogy a védelmi megoldások a támadások ideje alatt nem futottak.

Nem az üzemeltetők állították le, majd felejtették el újból elindítani és nem is valamilyen váratlan meghibásodás eredménye a leállás. Maguk a támadók léptek be manuálisan a rendszerekbe és állították le az antivírusok valós idejű védelmét, vagy az egész szoftvert – jellemzően a helyi idő szerinti hajnali órákban.

Az érintett szervezetek ugyanis olyan, jellemzően belsős használatra szánt hálózati szolgáltatásokat (távoli asztal, fájlszerver) nyitottak ki az internet felé, amik alapjáraton nem védettek a kibertámadásokkal szemben, így megfelelő tűzfalas védelem hiányában tulajdonképpen csak az nem próbálkozhatott a betöréssel, aki nem akart.

Ráadásul ezeket a szolgáltatásokat jellemzően olyan partnereknek nyitották ki, akik nem szívesen vacakolnak erős jelszavakkal, így a gyenge jelszavak használata, valamint a kétfaktoros beléptetés és a brute-force próbálgatásos támadások elleni védelem hiánya azt eredményezte, hogy a távoli támadók úgy jártak ki-be a rendszerekben, mintha ők is rendszergazdák lennének, akiknek joguk van a védelem deaktiválására.

A biztonsági mentések is titkosításra kerültek

A másik tipikus probléma, hogy a biztonsági mentéseket nem a backup szerver végzi, hanem a mentendő kiszolgáló. Ez a gyakorlatban azt jelenti, hogy a legtöbb helyen nem a backup szerver jelentkezik be (meghatározott időközönként) a mentendő kiszolgálóra és húzza le az anyagokat, hanem a mentendő kiszolgáló végzi el a másolást ütemezetten egy folyamatosan csatolt hálózati tárhelyre.

WannaCry

Ez a hibás eljárás viszont csak a kiszolgáló meghibásodása esetén bekövetkező adatvesztés ellen véd, egy zsarolóvírus-támadás esetén a folyamatosan csatolt hálózati tárhelyet a kártevő ugyanolyan tárhelynek látja, mint a rendszer összes, szintén titkosításra kerülő meghajtóját. Magyarán a biztonsági mentések is áldozatul esnek.

Hogyan védekezzünk a zsarolóvírusok, ransomware-ek ellen?

Bizalmatlanság: Attól, hogy egy ismerősünktől kaptunk e-mailt vagy üzenetet, még nem jelenti azt, hogy ő is küldte. Vigyázzunk a váratlan tartalmakkal, különösen, ha azt javasolja, hogy kattintsunk rá a linkre (legyen az bármilyen megbízható is), vagy nyissunk meg egy (ZIP, EXE, JS, HTA, DOC, DOCX, stb.) csatolmányt, ugyanis jó eséllyel kártevőt rejtenek.


Minimum elve: Az eszközeinket felhasználói jogosultságokkal használjuk és rajtuk kizárólag olyan szoftverek fussanak és azok a portok legyenek nyitva, amik feltétlenül szükségesek a mindennapi tevékenységünkhöz. Számos kártevő ugyanis olyan csatornákon (SSH, Telnet, Távsegítség, Java, Adobe Flash, böngészőbővítmények, stb.) próbál bejutni a rendszerünkbe, amiket nem, vagy csak alig használunk. Távolítsuk el, vagy tiltsuk le ezeket a potenciális veszélyforrásokat!

Biztonsági frissítések: A 2017 májusában indított WannaCry zsarolóvírus több mint 150 ország több százezer számítógépét fertőzte meg, mindössze 48 óra alatt. A sikeressége viszont nem a fejlettségében rejlett, hanem abban, hogy egy olyan Windows-sebezhetőséget használt ki a terjedéshez, amire ugyan a Microsoft már hónapokkal korábban kiadta a javítást, a felhasználók/üzemeltetők mégsem telepítették.


Védelmi szoftverek: Bár a biztonságtudatosság is szükséges, az igazi védelem megalapozásánál nem feledkezhetünk meg egy hatékony védelmi szoftver kiválasztásáról és alkalmazásáról sem, amik folyamatosan figyelik az eszközön végzett tevékenységet és futó folyamatokat, hogy a szükséges pillanatban közbeavatkozzanak, ezzel megakadályozva a kártevők és az illetéktelenek munkáját.


Védelmi hardverek, tűzfalak: Az alkalmazott antivírusok nem sokat érnek, ha a támadók képesek manuálisan bejelentkezni a hálózatunkba, és rendszergazdaként kikapcsolni azokat a hálózatra csatlakozó eszközökön. Ezért javasolt hardveres tűzfal építése az internet és a belső hálózatunk közé, hogy a támadók ne próbálkozhassanak a betöréssel.


Kétlépcsős azonosítás: Amennyiben egy adott online szolgáltatás (Facebook, Google, bank, stb.) lehetőséget biztosít a kétlépcsős (kétfaktoros) azonosítás bekapcsolására, éljünk vele! Az SMS-es azonosítás ugyanis számos esetben képes megakadályozni a kiberbűnözőket belépési adataink sikeres felhasználásában a különböző bejelentkező felületeken.


Titkosított archívum: Mivel a zsarolóvírusok jelentős része kizárólag közismert és népszerű fájlformátumokat (DOC, DOCX, XLS, XLSX, JPG, PDF, stb.) céloz, sokat segíthet a kártevők elleni védekezésben, ha egy egyedi kiterjesztéssel ellátott, titkosított archívumot használunk. Erre a VeraCrypt az egyik legmegfelelőbb eszköz, amivel nagyon erős titkosítású, meghajtóként csatolható archívumokat hozhatunk létre, nem-létező fájlkiterjesztésekkel (pl.: CsaladiFotok.horvat)


Biztonsági mentések: A zsarolóvírusok sikeres fertőzés esetén záros határidőn belül elkezdik tevékenységüket, pusztításuk pedig azonnal felfedezhető az általuk feldobott figyelmeztetésnek és a titkosított (olvashatatlan) fájloknak köszönhetően. Ugyanakkor tudnunk kell, hogy kizárólag azokat a fájlokat titkosítják, amikhez a fertőzési folyamat során hozzáférnek. Készítsünk rendszeresen biztonsági mentéseket adatainkról manuálisan, csak a mentés idejére csatlakoztatott tárhelyre vagy kliensszoftver nélkül a felhőalapú (DropBox, Google Drive, Google Photos, Microsoft OneDrive, Amazon Drive) megoldásokra!


Kiberbiztonsági oktatás: A kártevők többsége felhasználói közreműködés eredményeként jut a rendszerbe, így a megfelelő kibervédelmi oktatás elengedhetetlen a biztonság maximalizálása érdekében.


Linux operációs rendszer: Természetesen itt nem a Linux-alapú Androidra kell gondolnunk, hanem olyan desktop rendszerekre, mint az Ubuntu, a Linux Mint, vagy a régebbi/gyengébb számítógépekre szánt Lubuntu, amikre jelenleg még meglehetősen kis számban készülnek vírusok. Ez persze nem jelenti azt, hogy egy manuálisan indított, linuxos zsarolóvírus ne lenne képes a felhasználói fájlok titkosítására, hiszen technikailag minden jogosultsága meg lesz rá.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek
Megosztás