Sok cégnél már most ott rejtőzködik a karácsonyi zsarolóvírus

Az elmúlt években a karácsonyt követő egy-két hét a Makay Kiberbiztonsági Kft.‑nél egyet jelentett a zsarolóvírus-támadásokkal kapcsolatos megkeresések fogadásával és kezelésével. Persze nincs olyan nap, hogy ne keresne meg minket több cég is ebben a témában, de ez az időszak ilyen téren kiemelkedik az év többi napja közül.

Nagyon sok zsarolóvírus ugyanis kifejezetten karácsonyra időzíti a támadás végrehajtását és az áldozatok fájljainak zárolását.

Ennek pedig nagyon egyszerű oka van: karácsonykor a rendszergazdák többsége a családjával van és senki sem figyel a szerverekre, valamint a hálózati NAS adattárolókra – ebből kifolyólag senki nincs, aki esetleg megakadályozza a titkosítás elvégzését. Magát a támadást pedig már csak az említett napokban fedezik fel az érintettek.

Ez viszont azt is jelenti, hogy azok a rosszindulatú kártevők, amik karácsonykor cégek ezreinek működését lehetetlenítik el, jó eséllyel már most is ott vannak az informatikai infrastruktúrákban és csak arra várnak, hogy karácsonykor aktivizálódhassanak.

Ami a könyvelőknek segítség, az a támadóknak is…

Persze számos tényező együttese szükséges egy sikeres zsarolóvírus- és hackertámadáshoz, a minket megkereső cégek nagy többsége azért esett áldozatul, mert a cégnek külsősként bedolgozó könyvelő, rendszergazda stb. számára olyan (gyengén védett) RDP távoli asztal, webes kezelőfelület és fájlmegosztó szolgáltatásokat tettek publikusan elérhetővé – sokszor a cégvezetés tudta nélkül – amiken keresztül a támadók is bejuthattak a rendszerbe és kikapcsolhatták az antivírus védelmet – már ha egyáltalán futott ilyen típusú védelem.

Biztonsági mentés nincs, vagy azt is titkosította…

Az is figyelemre méltó, hogy a minket megkereső cégek körülbelül fele rendelkezett naprakész biztonsági mentéssel az adatairól, viszont ezeket általában egy folyamatosan csatolt, meghajtó szinten módosítható helyen tárolták, ami a támadás során szintén titkosításra került.

A cégek ugyanis beleestek abba a hibába, hogy a biztonsági mentések „rendelkezésre állás biztosítása” feladatát a meghibásodások mellett a kibertámadásokra is értelmezték.

Ezeket a hiányosságokat kell mindenképpen pótolni:

• Biztonságtudatossági oktatás hiánya: A legfejlettebb védelmi rendszer sem képes megvédeni egy céget, ha a munkavállalók nem rendelkeznek a munkakörüknek megfelelő, szerepkörökre kialakított biztonságtudatossági ismeretekkel. [Részletek]
• Megfelelően menedzselt antivírus hiánya: A zsarolóvírusok és egyéb kártevők általában olyan munkaállomásokról és kiszolgálókról indulnak, amik nem rendelkeztek megfelelő kártékony kód elleni védelemmel. [Részletek]
• Cégméretnek megfelelő hálózati tűzfal hiánya: Egy céges hálózatnál elengedhetetlen egy dedikált (2FA VPN szolgáltatással ellátott) tűzfal a külső és a belső támadások elhárítására. [Részletek]
• Sérülékenységvizsgálatok hiánya: Manapság egyre elterjedtebbek az olyan kártevők, amik szoftversérülékenység kihasználásával jutnak be egy-egy rendszerbe. [Részletek]
• A távolról dolgozó kollégák és szolgáltatók felügyeletének hiánya: Semmit sem ér egy informatikai infrastruktúra védelme, ha egy távolról dolgozó kolléga vagy szolgáltató fertőzött eszközökkel férhet hozzá a cég által kezelt adatokhoz. [Részletek]
• Ütemezett frissítések és biztonsági javítások hiánya: Két sérülékenységvizsgálat között is garantálni kell egy információs rendszer biztonságát.
• Hardening rendszer- és szoftverbeállítások hiánya: A gyengén konfigurált hálózati eszközök és rendszerek szinte várják, hogy valaki vagy valami betörjön rájuk.

A cégek többsége sajnos csak akkor kezd a védelem kialakításával foglalkozni, amikor valamilyen támadás áldozatául esett. Ezek a cégek egészen addig abban a hitben élnek, hogy ha eddig nem támadták meg őket, akkor később sem fogják. Ez viszont a lehető legrosszabb szemlélet, ugyanis a megelőző védekezés több nagyságrenddel kevesebb pénzbe és időbe kerül, mint egy súlyos incidens elhárítása és a károk helyreállítása – ha utóbbi egyáltalán lehetséges.

Éppen ezért nagyon fontos, hogy a cégek még időben azonnal, késlekedés nélkül elkezdjék a támadásokra való felkészülést, ugyanis nem az a kérdés, hogy célpontnak számítanak-e (a legkisebb cég is az), hanem hogy képesek-e kivédeni egy kibertámadást.