Túlélni a zsarolóvírust – hogyan lehet a kiberreziliencia versenyelőny?

A zsarolóvírus-támadások nem csupán technikai fennakadásokat vagy átmeneti anyagi veszteségeket okoznak – hanem akár egy teljes vállalkozás bukását is jelenthetik.

A 2024-es Verizon Data Breach Investigations Report szerint az adatvédelmi incidensek harmadát zsarolóvírus vagy más zsarolási módszer okozza. A zsarolóvírusok ma már minden iparágban jelen vannak, de a kkv-knál sokkal nagyobb arányban okoznak károkat: a Verizon adatai azt mutatják, hogy míg a zsarolóvírusok a nagyvállalatoknál az adatszivárgások 39%-át okozzák, addig a kis- és középvállalkozások (kkv-k) esetében ez az arány 88%.

A kkv-k működése a nagyvállalatokhoz hasonlóan teljes mértékben függ az adataiktól és informatikai infrastruktúrájuktól. De míg a nagyvállalatok nagyobb valószínűséggel rendelkeznek az adatvédelmi kockázatok megelőzésére, felderítésére és hatástalanítására szolgáló eszközökkel és irányelvekkel, addig a kkv-k – sok esetben megfelelő védelem híján – jóval kitettebbek a támadásoknak. A végleges adatvesztés és a teljes üzleti leállás veszélye gyakran erőteljes motivációt jelent a váltságdíj kifizetésére, még akkor is, ha nincs garancia arra, hogy a vállalkozás valóban visszakapja adatait.

Az általában kevésbé jól védett kisvállalkozások ígéretes célpontok a támadók számára. Valójában azáltal, hogy több digitális eszközzel és pénzzel rendelkeznek, mint a magánfelhasználók, és alacsonyabb szintű kiberbiztonsági védelemmel, mint a nagyvállalkozások, a kkv-k már régóta célkeresztben vannak.

A károk mértéke pedig döbbenetes: az IBM legfrissebb jelentése alapján egyetlen ilyen támadás utáni helyreállítás átlagosan közel 5 millió dollárba kerül.  A helyzetet tovább súlyosbítja, hogy a zsarolóvírusok gyakran ellátási láncot érintő támadás formájában érkeznek. Példa erre a 2021-es Kaseya-incidens esete, ahol a vállalat IT-menedzsment platformjának sérülékenységét kihasználva a támadás világszerte rengeteg szervezethez jutott el. 2025. augusztus végén a Jaguar Land Rover-t érte súlyos kibertámadás, ahol a brit autógyár 6 hetes kényszerleállásra kényszerült, a becsült kár 1,9 milliárd font veszteség.

Mivel ma már potenciálisan kevesebb áldozat hajlandó fizetni, úgy tűnik, hogy a ransomware csoportok hajlamosak visszatérni azokhoz, akik egyszer már fizettek: egy tanulmány szerint az egyszer váltságdíjat kifizető szervezetek 55% -a ezt többször is megtette; 29% -uk pedig háromszor vagy még többször fizetett.

Közben a zsarolóvírus támadók is lépést tartanak a technológiai fejlődéssel: az ESET nemrégiben fedezte fel a világ első mesterséges intelligencia által vezérelt zsarolóvírusát, a "PromptLock"-ot, ami az OpenAI modelljét használja rosszindulatú szkriptek generálására.
Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint itthon is egyre többször céloznak a hackerek a vállalkozásokra, cégvezetésre. A szakértő zsarolóvírusos és deepfake támadásokról is beszélt már az ESET kiberbiztonsági podcastjében, a Hackfelmetszők – Veled is megtörténhet adásaiban és nemrég a legújabb NMHH-podcast témája is a deepfake technológia robbanásszerű fejlődése volt.

Megviselve, padlóra kerülve

„Amikor híre megy egy zsarolóvírus-támadásnak, a címlapokon jellemzően a meghökkentő váltságdíj-követelések és a fizetés körüli jogi, etikai dilemmák szerepelnek. Ami viszont gyakran kimarad a hírekből, az a támadás által okozott szervezeti és emberi trauma – főleg akkor, ha az incidenshez adatszivárgás is társul, és a támadók az adatok nyilvánosságra hozatalával fenyegetnek” – mondja Csizmazia-Darab István.

Amikor a rendszerek leállnak, az üzletmenet nem csupán szünetel, hanem minden nappal pénzt veszít, új lehetőségekről marad le, sérül a hírneve, miközben a munkavállalók is megsínylik a helyzetet, hiszen egyik napról a másikra elveszthetik a munkájukat, ami óriási trauma. A teljes helyreállítás folyamatok akár hónapokba is telhetnek. 

3 út a vállalatok előtt, ám egyik sem működik igazán

A zsarolóvírus által sújtott szervezetek jellemzően három lehetséges kiutat látnak:

• Adatok visszaállítása mentésből: ám az elkövetők gyakran úgy szorítják sarokba áldozataikat, hogy a mentési rendszereket is célba veszik – megrongálják vagy titkosítják a biztonsági mentéseket. De ha esetleg van is megfelelő mentés, az adatlopással kombinált támadásoknál, ezek sem jelentenek megoldást.
• Dekódoló eszköz beszerzése biztonsági kutatóktól, például a No More Ransom kezdeményezésen keresztül - melynek az ESET kiberbiztonsági vállalat is tagja -, ám ezek a dekódoló eszközök csupán kisebb számú fertőzéshez kínálnak ingyenes helyreállító programot általában több héttel vagy hónappal a kártevő felbukkanása után, számos esetben pedig roppant lassan működnek.
• A váltságdíj kifizetése a dekódolóért cserébe: a jogi és szabályozási buktatókat nem is említve, fontos megjegyezni, hogy a fizetés nem jelent garanciát semmire – sőt, sok esetben csak tovább súlyosbítja a helyzetet. A Colonial Pipeline is így járt: 4,4 millió dollárt fizettek ki, de az így kapott dekódoló eszköz annyira lassú volt, hogy végül csak a mentésekből való helyreállítás bizonyult működőképesnek. (Megjegyzés: az amerikai Igazságügyi Minisztérium később a váltságdíj nagy részét visszaszerezte.)

De mit lehet tenni?

Az ESET kiberbiztonsági szakértői a vállalatok számára összeállított legfontosabb tanácsai a következők, melyeket még a támadás előtt kellene megtennie minden cégnek:

• Használjunk erős, egyedi jelszavakat és többfaktoros hitelesítést (MFA) minden belépési ponthoz.
• Telepítsünk modern végpontvédelmi (endpoint protection) megoldást – ezek képesek észlelni és blokkolni a zsarolóvírusokat még azok aktiválódása előtt.
• Készítsünk rendszeres, offline biztonsági mentéseket – a legjobb, ha ez fizikailag is el van választva a fő rendszertől, így egy támadás során nem fertőződik meg.
• Gyanús fájlaktivitás esetén az ESET Zsaroló program elleni védelmének Zsarolóprogram-eltávolítás (ESET Ransomware Remediation) funkciója azonnal blokkolja a kártevőt és titkosítástól védett mentést készít a kritikus állományokról, mielőtt a zsarolóvírus végigfutna a rendszeren. Mivel a zsarolóvírusok a mentéseket is célba veszik, ez a módszer segít elkerülni, hogy az áldozatnak egy kompromittált biztonsági mentésre kelljen támaszkodnia.
• Oktassuk a munkavállalókat – a zsarolóvírus gyakran adathalász e-maileken keresztül jut be a szervezetbe. Egy jól képzett munkavállaló az első védelmi vonal.
• Rendelkezzünk vészforgatókönyvvel, ami világosan rögzíti, ki mit tesz egy kibertámadás esetén: technikai, kommunikációs és jogi szempontból is.

Amint azt az ESET SMB Digital Security Sentiment 2022 megmutatta, sok kkv egyre inkább tisztában van a zsarolóvírusokkal és a vállalkozásával kapcsolatos egyéb kockázatokkal, de nem bízik a házon belüli kiberbiztonsági csapat szakértelmében. Pedig a zsarolóvírus nem válogat. A kérdés nem az, hogy megtörténik-e a támadás, hanem az, hogy felkészültünk-e rá.Azok a cégek, amelyek felkészülnek, hosszútávon nemcsak túlélnek, de versenyelőnybe is kerülhetnek azokkal szemben, akik a támadás után próbálnak a felszínen maradni.