Top Categories

Spotlight

todaydecember 18, 2021

Global news Szilvia Horti

A White Hat IT Security a Microsoft Intelligent Security Association (MISA) tagja lett, és a Microsoft által ajánlott partner a folyamatos kiberbiztonság területén a közép-európai régióban

A White Hat IT Security, amely közép- és nagyvállalati partnereinek szolgáltat klasszikus és folyamatos (menedzselt) kiberbiztonsági szolgáltatásokat, első magyar vállalatként és a régióban is egyik elsőként csatlakozhatott a Microsoft magas presztízsű, biztonsági cégeket tömörítő kezdeményezéséhez, a MISA programhoz. A szenior IT biztonsági szakemberekből és “etikus hekkerekből” álló vállalat saját White [...]

Top Voted
Sorry, there is nothing for the moment.


Kibertámadás érte vállalatát?


A White Hat gyors reagálást és teljeskörű incidenskezelést egyaránt végez, így a zsarolóvírus-támadások és bármely fenyegetettség elhárításában gyors és hatékony segítséget nyújt – biztosítva hálózata biztonságát és hosszú távú védettségét.

check Zsarolóvírus- és incidens-reagálás

check Digitális nyomrögzítés, forensics és okfeltárás

check Hosszútávú védettség biztosítása

Adatvédelmi incidens esetén az észleléstől számított 72 órán belül jelenteni kell az esetet a hatóságoknak! Segítségre van szüksége? Hívjon minket!


Kérjen segítséget


Zsarolóvírus

Tudjon meg többet a zsarolóvírusokról

Információbiztonsági szakértőink kibertámadásokról szerzett tapasztalata és a biztonsági standardokról és legjobb gyakorlatokról meglévő tudása biztosítja, hogy kulcsfontosságú rendszerei hatékonyan álljanak ellen bármilyen ismert és új támadási technikának. A zsarolóvírus-típusú incidensek kezelése és elhárítása terén szerzett gyakorlatunk során célunk a gyors és biztonságos helyreállítás, és partnereink hosszútávú védelmének biztosítása.


Mi a zsarolóvírus?

A zsarolóvírus olyan rosszindulatú kód, amelyet kiberbűnözők használnak arra, hogy pénzt zsaroljanak ki személyektől, cégektől vagy szervezetektől. Manapság a zsarolóvírus kifejezést szitne kizárólag olyan programokra használják, amely titkosítja az áldozat gépein lévő hozzáférhető adatokat, és pénzt kér tőlük az adatok visszaállításához (dekriptálásához) szükséges feloldókulcs átadásáért.

Ha ez nem lenne elég, a zsarolóvírus-csoportok nem csak hozzáférhetetlenné teszik az adatokat, hanem az érzékenyebbnek tartott adatállományokról másolatot is készítenek, és áldozataikat ezen adatok nyilvánossá tételével zsarolják, hogy még több pénzt szerezzenek tőlük.

Hogyan történnek ezek a támadások?

KEZDETI HOZZÁFÉRÉS. A támadások első lépése a hozzáférés megszerzése. Ez általában csendben, feltűnés nélkül zajlik; a legtöbb támadás sikerességéhez szükséges első bejutás a hálózatba általában visszavezethető egy adathalász támadásra, egy nyilvánosan elérhető eszközön használt gyenge azonosítóra vagy egy korábban kikerült felhasználói fiókra. Ezek az események nem ritkán a tényleges zsarolóvírus elindítása előtt hónapokkal történnek, míg a szervezet teljes kompromittálása már akár órák alatt végbemegy.

JOGOSULTSÁG-EMELÉS. Miután a zsarolóvírus operátorok bejutottak egy gépre az áldozat rendszerében, elkezdenek keresni egy minél magasabb jogosultságú, kiemelt felhasználót, például egy domain adminisztrátorit. Jellemzően nyilvánosan elérhető támadó (red teaming) eszközöket vagy kereskedelmileg elérhető programok kalózverzióját használják ezen kiemelt fiókok hitelesítő adatainak begyűjtéséhez. Ha ezeket megszerezték, a következő taktikák következnek:

  • oldalirányú (laterális) terjeszkedés a hálózatban, hogy megtalálják az érzékeny adatokat, adattárakat, biztonsági mentéseket, kritikus rendszerelemeket és egyéb céges hozzáféréseket;
  • a lehető legnagyobb mennyiségű érzékeny adat kiszedése a hálózatból, hogy minél magasabb lehessen a váltságdíj;
  • minél több géphez és eszközhöz hozzáférés szerzése, hogy végül minél nagyobb felületen tudják egyszerre indítani a zsarolóvírust, így a lehető legkártékonyabbá tegyék a támadást.

Mire számítson, aki zsarolóvírus-támadás áldozata lett?

ÉSZLELÉS. Mire egy rendszerben észlelhető a zsarolóvírus-támadás, addigra jó eséllyel az üzletmenet jelentős része leállt. A termelés – a hátterét biztosító szerverek és adatbázisok megtámadása miatt – leáll, és senki nem fér hozzá a céges levelezéshez. A munkaállomások nem működnek, a közös meghajtókon és tárhelyeken csak titkosított fájlok láthatóak, és a különböző gépekre a bejelentkezés sikertelen, mert a domain szolgáltatások leálltak és nem indulnak újra. Ha a támadók megtalálták a biztonsági mentéseket, akkor már azok sem érhetőek el.

ADATLOPÁSRA KELL SZÁMÍTANI. Azt kell feltételezni, hogy a támadók nem csak titkosítottak minden adatállományt, ennek összes negatív hatásával együtt; hanem el is lopták a céges adatokat, és később magasabb árat akarnak majd kizsarolni azért, hogy nem hozzák nyilvánosságra az érzékeny adatokat. Mivel a támadás előkészítésekor a lehető legmagasabb szintű hozzáférést szerezték meg, arra kell számítani, hogy nem fogják egykönnyen feladni ezeket a fiókokat és a szervezethez való hozzáférésüket. Az érintett eszközök jelentős része csak áldozat, de egyik-másik még mindig tárol és futtat rosszindulatú programokat, amelyeken keresztül a támadók kedvükre kapnak hozzáférést – és ezek megfelelő eltörlése és eltávolítása nélkül bármikor viszajönnek.

HOSSZAS HELYREÁLLÍTÁS. Meg lehet próbálni egyezkedni a támadókkal, de még ha fizet is az áldozat, akkor sincs garancia semmire. Amíg náluk vannak az adatok, bármikor kérhetnek értük váltságdíjat. Még ha adnak is feloldókulcsot a titkosításhoz, korántsem biztos, hogy megfelelően működik. Végső soron bármikor kiadhatják az ellopott adatállományt, függetlenül attól, ki lettek-e fizetve. A helyreállítási folyamat hosszú és nehézkes lesz, költséges döntésekkel tarkítva. A mi javaslatunk az, hogy ne fizessen a bűnözőknek!

UTÓHATÁSOK. Ha a legnehezebb részeken már túl van a szervezet, akkor is számítani kell olyan következményekre, amik könnyen újabb támadáshoz vezethetnek ugyanabban a hálózatban, vagy valamelyik partnere hálózatában. A sikeres támadás miatt a támadóknak rendelkezésére állnak mind a céges adatok (amelyek potenciálisan a partnerekről is tartalmaznak információt), mind a munkavállalók email címe, hozzáférési adatai és teljes levelezése is. Ezek nagy valószínűséggel kiváló alapot adnak adathalász támadásokhoz a kollégák és a partnerek ellen, az ellopott személyiségek és email formátumok felhasználásával.

Mit tehetnek az áldozatok?

KÉRJENEK SEGÍTSÉGET. A támadás észlelését követő első lépések kulcsfontosságúak: a mi javaslatunk az, hogy vonjanak be incidens-reagálásban jártas kollégát vagy külsős szakértőt. Szükséges, többek között, felállítani a „mentőcsapatokat”, akik részt vesznek az incidens kezelésében; meghatározni a parancsnoki láncot; kijelölni a kommunikációs csatornákat a krízis esetére; értesíteni a munkavállalókat az incidensről bármely módon, ahogy elérhetőek; egyértelmű utasításokat és feladatlistát adni nekik (pl. ne kommunikáljanak az esetről, mit használjanak / ne használjanak), és hozzáférést biztosítani nekik a szükséghelyzetben használandó kommunikációs csatornákhoz. Az ökölszabály az, hogy a hálózati hozzáféréseket le kell tiltani, és a kikapcsolt eszközöket nem szabad visszakapcsolni a további vizsgálatokig.

NE FIZESSENEK. Az, hogy belemennek-e a bűnözőkkel tárgyalásba, és kifizetik-e a váltságdíjat, végső soron az áldozat döntése. Mi egyértelműen és nyomatékosan javasoljuk azonban, hogy ne fizessenek, mivel abszolút nincs garancia arra, hogy a másik fél is tartja magát a megegyezéshez (pl. odaadják a feloldókulcsot, nem hoznak nyilvánosságra adatokat, nem fertőzik újra meg a hálózatot, nem adják tovább más bűnözői csoportoknak a megszerzett adatokat és azt, hogy hogyan jutottak be). Ráadásul a megfizetett váltságdíj csak tovább növeli az ilyen csoportok rendelkezésére álló dollármilliókat, amellyel a jövőben újabb és egyre kifinomultabb támadásokat finanszírozhatnak.

KÜLÖNÍTSENEK EL. Egy sikeres zsarolóvírus-támadás hatása nagyban függ attól, hogy a szervezet milyen mentéseket készített az adatállományáról vagy annak egy részéről, és hogy ezek a mentések megúszták-e a fertőzést. El kell különíteni azokat a tárhelyeket, amelyeken tiszta (fertőzésmentes) adatok és mentések vannak, mert a működés szempontjából kritikus folyamatok helyreállítása ezekkel lesz a leghatékonyabb.

KOMMUNIKÁLJANAK. Nyíltan és őszintén kommunikálni a kollégákkal, partnerekkel, ügyfelekkel és részvényesekkel mindig jó politika – főleg nehézségek idején. Folyamatosan tájékoztatni őket a vizsgálat és a helyreállítás minden lépéséről fárasztónak tűnhet, mi mégis ezt javasoljuk, mert hosszabb távon sokkal jobb eredményt ad. Emellett javasoljuk az adatvédelmi incidens és a bűncselekmény bejelentését a megfelelő hatóságoknak (Magyarországon az adatvédelemért felelős hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság, vagy NAIH).

RANGSOROLJANAK. Meg kell állapítani, melyek azok a működés szempontjából kiemelten fontos elemek, amelyeket előre kell venni a helyreállítás során. Jellemzően az üzletmenet (vagy gyártás) helyreállítása, az alapfolyamatok és az üzleti levelezés újraindítása a legfontosabb, de ezeket pontosan csak a szervezet maga tudja meghatározni. A helyreállítás lépéseit lent még részletezzük.

ELEMEZZENEK. Ha a rendszer ugyanolyan állapotba kerül helyreállításra, amiben a támadás előtt volt, az vagy azt jelenti, hogy a támadóknak még mindig megvan a hozzáférése, vagy legalább azt, hogy ugyanúgy ki tudják használni még egyszer azt a sérülékenységet, amin eredetileg bejutottak. Ezért fontos, hogy forensics szakértők, network forensics elemzők és malware elemzők tapasztalt csapata kövesse vissza a nyomokat addig, hogy megállapíthassák az eredeti fertőzéshez vezető okokat. A zsarolóvírus-támadások destruktív természete és a támadók ravaszsága miatt a bizonyítékok sokszor már nincsenek meg, vagy nem helyreállíthatóak, mégis megéri oknyomozásba fektetni. Az ilyen típusú vizsgálatok célja azonban ne a bűnbak-keresés legyen, hanem megtalálni és kijavítani azokat a sebezhetőségeket, amelyeket a támadók megtaláltak és kihasználtak.

VÉDEKEZZENEK. Ha a helyreállítás befejeződött, és újra zavartalan az üzletmenet, akkor ideje arra koncentrálni, hogyan előzhető meg, hogy ilyesmi történjen a jövőben. Ha egy szervezet nem tudja bizonyítani, hogy legalább az alapvető biztonsági intézkedéseket megtették az érintettek náluk lévő adatai védelme érdekében, jó eséllyel bírságra számíthatnak az adatvédelmi hatóságtól, ráadásul még ha van is biztosításuk, az sem fogja fedezni a károkat. Azt sem szabad elfelejteni, hogy az új rendszer nyomás alatt, jellemzően sietősen lett felépítve és üzembe helyezve, ami megnöveli további támadási felületek esélyét. Ezért javasoljuk, hogy mindig ellenőrizzék duplán a konfigurációkat, a nyilvánosan elérhető eszközöket és szolgáltatásokat, és a hitelesítő adatok védelmét. A nagyvállalatok és  KKV-k védelme egyaránt kihívás, ha máshogy is; ráadásul mindenképpen nehéz és repetitív – de még így is szignifikánsan kevesebb anyagi ráfordítást igényel, mint egy zsarolóvírus-támadás vagy egyéb, hasonló mértékű biztonsági incidens.

A helyreállítás lépései

TISZTA TELEPÍTÉS. Javasoljuk a teljes újratelepítést, függetlenül attól, hogy maradtak-e vannak-e fertőzésmentes biztonsági mentések. A munkaállomásoknál ez ráadásul lehet, hogy kevesebb időt igényel, mint egyesével átvizsgálni és kitisztítani. A szerverek újratelepítése hosszadalmasabb lehet, de a legtöbb szolgáltatást, például a domain szolgáltatásokat és a lokális adatbázisokat úgyis kézzel kell helyreállítani. A virtuális gépek biztonsági image-ből történő visszaállításakor is előfridulhat, hogy ezek futó zsarolóprogramokat vagy más rosszindulatú kódot tartalmaznak – az archiválás időpontjától és a támadás egyes lépcsőinak idejétől függően.

ÁTGONDOLT DÖNTÉSEK. A zsrolóvírus áldozatául esett szervezetek gyakran döntenek úgy, hogy valamelyik felhőszolgáltatóra bízzák az eszközeik vagy adatvagyonuk egy részét a helyreállítás részeként. Az ilyen döntéseket viszont javasoljuk alaposan átgondolni és több szempontból kiértékelni, még akkor is, ha amíg az üzletmenet áll, minden perc drága. Egyes szolgáltatások könnyedén konvertálhatók felhőalapúvá, mint például az email szolgáltatás vagy a közös tárhely. Viszont a legövedelmezőbb vagy legkritikusabb rendszerelemek új platformra helyezése nem biztos, hogy ilyenkor optimális; mert ez megnövelheti a helyreállítást normál használathoz.

Miközben a végpontok és szolgáltatások szépen állnak helyre, továbbra is fontos folyamatosan monitorozni ezeket, és kiszűrni minden gyanúsnak tűnő tevékenységet.


Incidens-reagálás 6 lépésben

Az incidens-reagálás az a struktúrált és jól felépített folyamat, amellyel a szervezetek a kiberbiztonsági incidensek meghatározását és kezelését végzik. Ez a folyamat több szakaszra bontható, amelyek az alábbiak:

  1. Felkészülés az incidensekre
  2. Észlelés és elemzés
  3. Elkülönítés
  4. Eltörlés
  5. Teljes helyreállás
  6. Utókövető elemzés, konzekvenciák

Keressen minket
HÍRLEVÉL

Szeretne értesülni a legfrissebb kiberbiztonsági híreinkről vagy közelgő rendezvényeinkről? Iratkozzon fel hírlevelünkre!

Feliratkozom

Ha vállalatát zsarolóvírus támadás érte, hívja SOS vonalunkat!
icon_phone