Fogorvosokra támadtak a zsarolóvírusok

​Több száz amerikai fogorvosi rendelő járt pórul egy zsarolóvírus miatt. Az eset amellett, hogy sok tanulsággal szolgál, világszerte veszélyes precedenst teremthet.
 

A zsarolóvírusok egyre inkább célzott támadásokban jutnak szerephez. Vagyis a korábbi tömeges terjedésük helyett inkább az figyelhető meg, hogy egy-egy cég, szervezet vagy vállalkozások egy csoportja kerül célkeresztbe. Ez történt a napokban is az Egyesült Államokban, ahol fogászati rendelők kerültek igencsak kellemetlen helyzetbe.
 
A támadás augusztus 26-án kezdődött, amikor a Digital Dental Record (DDS) által biztosított, DDS Safe nevű felhős adatmentő szolgáltatás üzemeltetői baljós jelekre lettek figyelmesek. Egyre több adat vált elérhetetlenné, és minden jel arra utalt, hogy a rendellenességek forrásának a fogászatok számára online szolgáltatásokat biztosító PercSoft rendszerei számítanak. Mire azonban sikerült izolálni a támadást, addigra legalább 400 rendelő adatát titkosította le a manapság elég gyakran felbukkanó Sodinokibi zsarolóvírus.
 
Az incidens részleteiről egyelőre a két cég nem kívánt beszámolni, így nem lehet tudni, hogy a károkozó miként tudott bejutni a felhős infrastruktúrába. A Sodinokibi arról ismert, hogy nem kizárólag a felhasználók megtévesztésére hagyatkozik a terjedése során, hanem képes különféle sebezhetőségek kihasználására is.
 
A problémák felfedezését követően a DDS és a PercSoft egy közös közleményt adott ki, amelyben jelezték, hogy legkésőbb 4 órán belül minden adat újra elérhetővé fog válni. Ez azonban túlzott optimizmusnak bizonyult, mivel hamar kiderült, hogy az adathelyreállítás és a dekódolás nehézségekbe ütközik. Még a következő napon is csak 80-100 rendelő adatait sikerült visszanyerni.
 
Az esetről Brian Krebs biztonsági szakértő is beszámolt, aki szerint először azt lehetett sejteni, hogy a szolgáltatóknál azért rendelkezésre áll több példány a mentésekből, és azokból végzik el a helyreállítást. Azonban az interneten megjelent információk arról árulkodnak, hogy a két informatikai cég teljesítette a zsarolók követelését, és kifizették a váltságdíjat. Ezáltal jutottak hozzá a dekódoláshoz szükséges kulcsokhoz. Hivatalos információk nincsenek a váltságdíj mértékéről, de Krebs értesülése szerint akár 5 ezer dollár is lehetett ügyfelenként (rendelőnként) az összeg.  
Ez így csak hergeli a támadókat
 
A fogorvosi rendelőket ért támadás után meghozott döntések Krebs szerint veszélyes precedenst teremthetnek. A biztonsági cégek ugyanis nem véletlenül hangsúlyozzák, hogy nem célszerű kifizetni a váltságdíjat. Ennek nemcsak az az oka, semmi garancia nincs arra, hogy a dekódoló kulcsok megérkeznek, hanem az is, hogy a követelések teljesítésével csak felbátorodnak az elkövetők. A mostani esetben is megtörtént a zsarolók kívánságainak teljesítése, aminek pedig elsősorban az az oka, hogy a két szolgáltató kiberbiztosítása kiterjedt a zsarolóvírusok okozta károkra is. Vagyis számukra mindez nem jelent komoly pénzügyi veszteséget, hiszen a biztosító fogja állni a váltságdíj nagy részét.
 
Nyilván ennek megvannak a maga előnyei is, de az utóbbi időszak azt mutatja, hogy a zsarolóvírusok terjesztői egyre inkább elkezdtek azon amerikai cégek felé elmozdulni, amelyek rendelkeznek ilyen jellegű biztosításokkal. Nyilván tudják, hogy ott nagyobb eséllyel juthatnak a követeléseikhez, hiszen az áldozataik majd úgyis behajtják a pénzt a biztosítójukon, és nem fognak hosszadalmas adathelyreállítási folyamatokba kezdeni.