Egyre pontosabban céloznak a zsarolóvírusok

​A zsarolóprogramok a tömeges terjedés és pusztítás helyett egyre inkább célzott támadásokban jutnak szerephez. Ez pedig különösen a vállalatok, intézmények számára rossz hír.
 

Évek óta komoly problémát jelentenek a fájlokat titkosító, és a felhasználóktól váltságdíjat követelő zsaroló programok. A folyamatos fejlesztésük napjainkban is töretlenül zajlik, miközben új irányok bontakoznak ki. A Symantec biztonsági kutatói arra voltak kíváncsiak, hogy napjainkban milyen trendek uralkodnak a zsaroló programok készítőinek, terjesztőinek körében. 

A biztonsági cég védelmi technológiái által gyűjtött telemetriai adatok azt támasztják alá, hogy míg kezdetben a zsaroló programok terjesztői elsősorban a tömeges, minél szélesebb körű károkozásokra koncentráltak, addig manapság mind inkább előtérbe kerülnek a célzott támadások, amik leginkább intézményeket, vállalatokat sújtanak. A Symantec 2017 januárjában összesen két olyan célzott támadást regisztrált, amelyek során ransomware programok is szerephez jutottak. Idén májusban pedig már több mint ötvenet. 

Tömeges vagy célzott?

Biztonsági kutatók számos különbözőséget véltek felfedezni a tömegesen és a célzottan elkövetett, zsarolóvírusos támadások között. Ezek közül a legfontosabb, hogy az utóbbiak esetében a követelt váltságdíj általában jóval magasabb. Emellett ezek a támadások sokkal alaposabban, precízebben megtervezettek, és komolyabb szaktudást feltételeznek a komplexitásuk miatt. A biztonsági cég úgy látja, hogy napjainkban a szóban forgó incidensek a következő hét fázisban valósulnak meg:

• kezdeti fázis (például PowerShell segítségével történő műveletvégrehajtás)
• további felderítés és sebezhetőségek kihasználása (Mimikatz, Putty stb.)
• rejtőzködés (védelmi alkalmazások leállítása, érvényes digitális aláírás alkalmazása a kártékony kódokon)
• a zsaroló program terjesztése szervezeten belül (például PsExec)
• titkosítás elvégzése
• váltságdíj követelése.

A fentieket több esetben egy alapos felderítés előzi meg, aminek során a csalók megpróbálják kipuhatolni a gyenge láncszemeket, és azt is felmérik, hogy egy zsarolás esetén milyen összegű váltságdíjra van esélyük. Legutóbb például 130 ezer dollárt követeltek Indiana egyik megyéjétől, előtte pedig 400 ezer dollárt Georgiában. Ezeket az összegeket ráadásul meg is kapták. 

Toplista

A Symantec szerint a célzott, zsarolásos támadások esetében egészen tavaly év végéig a SamSam uralta a terepet, de a károkozó feltételezett terjesztőit sikerült kézre keríteni. Azóta némileg csökkent a SamSam befolyása. Ellenben újabb trónkövetelők jelentek meg. Ezek közé tartozik a fenti esetekben is problémát okozó Ryuk, és nem utolsó sorban a GoGalocker (LockerGoga), a MegaCortex és a Robbinhood. A GoGalocker érdekessége, hogy főként skandináv országokban tarol, egyebek mellet a Norsk Hydro alumíniumgyártónál okozott nagyon súlyos pusztításért is ez volt felelős. 

Az egyre csak fejlődő zsaroló programok ellen leginkább mélységi védelem kiépítésével lehet felvenni a kesztyűt. A zsarolók követeléseinek teljesítése pedig nem javasolt.