Rengeteg cég talált zsarolóvírust a karácsonyfa alatt
Az előrejelzésünknek megfelelően karácsonykor bekövetkezett az, ami számos cég életét tette pokollá 2019 első napjaiban: A kiberbűnözők az átlagosnál jóval több zsarolóvírus-támadást időzítettek december 24. estéjére, szentestére.
Az már eddig is megszokott volt, hogy a kiberbűnözők a zsarolóvírus-támadásokat konkrét időintervallumra időzítik – jellemzően hétvégén, hajnali 2-3 órára, amikor már minden rendszergazda alszik és a naplóelemző (SIEM) által küldött riasztásokat sem figyeli – így nem csoda, hogy az ünnepek is megkapták a támadók kiemelt figyelmét.
Viszont úgy tűnik, hogy a legtöbb cég még mindig nem alkalmaz megfelelő (hardveres tűzfal és központilag menedzselt antivírus) védelmet az ilyen típusú támadások ellen, ugyanis az ünnepek alatt, valamint január első napjaiban tömegesen érkeztek be hozzánk a segítségkérő megkeresések a GandCrab (ez terjedt a leggyorsabban), a Dharma/Cezar, a Cerber, a Locky és az ACCDFISA támadásokat követően.
Ami a könyvelőknek segítség, az a támadóknak is…
Persze számos tényező együttese szükséges egy sikeres zsarolóvírus- és hackertámadáshoz, a minket megkereső cégek 100 százaléka azért esett áldozatul, mert a cégnek külsősként bedolgozó könyvelő számára olyan (gyengén védett) RDP távoli asztal, webes kezelőfelület, fájlmegosztó szolgáltatásokat tettek publikusan elérhetővé, amiken keresztül a támadók is bejuthattak a rendszerbe és kikapcsolhatták az antivírus védelmet – már ha egyáltalán futott ilyen típusú védelem.
Biztonsági mentés nincs, vagy azt is titkosította…
Az is figyelemre méltó, hogy a minket megkereső szervezetek körülbelül fele rendelkezett naprakész biztonsági mentéssel az adatairól, viszont ezeket általában egy folyamatosan csatolt, meghajtó szinten módosítható helyen tárolták, ami a támadás során szintén titkosításra került.
A szervezetek ugyanis beleestek abba a hibába, hogy a biztonsági mentések „rendelkezésre állás biztosítása” feladatát a meghibásodások mellett a kibertámadásokra is értelmezték.
Ezeket a hiányosságokat kell mindenképpen pótolni:
- Biztonságtudatossági oktatás hiánya: A legfejlettebb védelmi rendszer sem képes megvédeni egy céget, ha a munkavállalók nem rendelkeznek a munkakörüknek megfelelő, szerepkörökre kialakított biztonságtudatossági ismeretekkel. [Részletek]
- Megfelelően menedzselt antivírus hiánya: A zsarolóvírusok és egyéb kártevők általában olyan munkaállomásokról és kiszolgálókról indulnak, amik nem rendelkeztek megfelelő kártékony kód elleni védelemmel. [Részletek]
- Szervezetméretnek megfelelő hálózati tűzfal hiánya: Egy céges hálózatnál elengedhetetlen egy dedikált (2FA VPN szolgáltatással ellátott) tűzfal a külső és a belső támadások elhárítására. [Részletek]
- Sérülékenységvizsgálatok hiánya: Manapság egyre elterjedtebbek az olyan kártevők, amik szoftversérülékenység kihasználásával jutnak be egy-egy rendszerbe. [Részletek]
- Ütemezett frissítések és biztonsági javítások hiánya: Két sérülékenységvizsgálat között is garantálni kell egy információs rendszer biztonságát.
- Hardening rendszer- és szoftverbeállítások hiánya: A gyengén konfigurált hálózati eszközök és rendszerek szinte várják, hogy valaki vagy valami betörjön rájuk.
A cégek többsége sajnos csak akkor kezd a védelem kialakításával foglalkozni, amikor valamilyen támadás áldozatául esett. Ezek a szervezetek egészen addig abban a hitben élnek, hogy ha eddig nem támadták meg őket, akkor később sem fogják. Ez viszont a lehető legrosszabb szemlélet, ugyanis a megelőző védekezés több nagyságrenddel kevesebb pénzbe és időbe kerül, mint egy súlyos incidens elhárítása és a károk helyreállítása – ha utóbbi egyáltalán lehetséges.
Kapcsolódó szolgáltatások és termékek
Fortinet FortiGate tűzfalak Antivírus, vírusirtó szoftverek, hálózati tűzfalak Hogyan működnek a zsarolóvírusok, ransomware-ek? Mit tegyünk zsarolóvírus-támadás esetén?A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!
További cikkek