Zsarolóvírus támadásokról szóló jelentést adott ki az ENISA

2022. augusztus 25., 15:38

Megjelent az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) zsarolóvírus támadásokról szóló jelentése. A zsarolóvírusok, mint a kibertámadások egyik legpusztítóbb típusa, az elmúlt évtizedben egyre nagyobb mértékben érinti a különböző méretű szervezeteket. Ez tény, ezzel a témával már mi is foglalkoztunk, többször is.

Az ENISA legújabb fenyegetettségi jelentése a 2021 május és 2022 június közötti időszakot öleli fel, úgy, hogy a szakértők összesen 623 zsarolóvírusos incidenst elemeztek ki  az EU-ban, az Egyesült Királyságban és az Egyesült Államokban. Az adatokat kormányok és biztonsági cégek jelentéseiből, a sajtóból, ellenőrzött blogokból és néhány esetben a dark webről származó kapcsolódó források felhasználásával gyűjtöttük.

Főbb megállapítások és az azokból levonható következtetések

  • 2021 májusa és 2022 júniusa között havonta körülbelül 10 terabájtnyi adatot loptak el a zsarolóvírus-kollektívák. Az ellopott adatok 58,2%-a a munkavállalók személyes adatait tartalmazta.
  • Legalább 47 egyedi zsarolóvírus fenyegetettségi szereplőt találtak.
  • Az incidensek 94,2%-a esetében nem tudható, hogy a vállalat kifizette-e a váltságdíjat vagy sem. Ha azonban a tárgyalás kudarcba fullad, a támadók általában felfedik és elérhetővé teszik az adatokat a weboldalaikon.
  • A kiberbűnözők az incidensek 37,88%-ánál nyilvánosságra hozzák a megszerzett adatokat.
  • Ebből arra következtethetünk, hogy a fennmaradó 62,12%-ban a vállalatok vagy megegyeztek a támadókkal, vagy más megoldást találtak.
  • A tanulmányból az is kiderül, hogy totál mindegy, hogy milyen méretű és milyen ágazati szereplőről van szó, hiszen gyakorlatilag mindenki érintett lehetett.

A zsarolóvírusok idővonala 2021 májusa és 2022 júniusa között 

A fenti számok azonban csak az összkép egy részét tudják bemutatni. A tanulmányból kiderül, hogy a zsarolóvírus-támadások teljes száma ennél sokkal nagyobb lehet, de jelenleg a teljes és releváns számot nem lehet tudni, mivel sok szervezet még mindig nem hozza nyilvánosságra az incidenseket, vagy nem jelenti azokat az illetékes hatóságoknak.

A nyilvánosságra hozott incidensekkel kapcsolatos információk is meglehetősen korlátozottak, mivel a legtöbb esetben az érintett szervezetek nem tudják, hogyan sikerült a hackereknek megszerezniük a a rendszerekhez való hozzáférést. Végül a szervezetek a negatív hírverés elkerülése és az üzletmenet folytonosságának biztosítása érdekében esetleg szervezeten belül is kezelhetik a problémát (pl. úgy döntenek, hogy kifizetik a váltságdíjat, és erről nem kommunikálnak). Az ENISA szerint ez a megközelítés azonban nem segít a zsarolóvírus bandák elleni fellépésnem – éppen ellenkezőleg, inkább ösztönzi a jelenséget, és ezzel a zsarolóvírusos üzleti modellt táplálja.

Az ENISA az ilyen kihívásokkal összefüggésben vizsgálja, hogyan lehetne javítani az incidensek jelentését. A felülvizsgált hálózat- és információbiztonsági irányelv (NIS 2) várhatóan megváltoztatja a kiberbiztonsági incidensek bejelentésének módját. Az új rendelkezések célja a vonatkozó incidensek jobb feltérképezésének és megértésének támogatása.

Mire képes a Ransomware: az életciklus és az üzleti modellek

A jelentés elemzése szerint a zsarolóvírus-támadások négyféle módon vehetik célba az eszközöket: a támadás vagy lezárja, titkosítja, törli vagy ellopja (LEDS) a célpont eszközeit. A célzott eszköz bármi lehet, például dokumentum, fáj, adatbázis, webes szolgáltatás, tartalomkezelő rendszer, képerny, master boot record (MBR), master file tábla (MFT) stb.

A zsarolóvírus támadás gyakorlatilag öt szakaszra bonthatjuk: kezdeti hozzáférés, végrehajtás, a célkitűzésekre irányuló fellépés, zsarolás és a váltságdíjról szóló tárgyalás. Ezek a szakaszok nem feltétlenül sorrendben, egymás után, alá-fölé rendeltségi viszonyban értelmezhetőek.

 

A zsarolóvírusok életciklusának öt szakasza

 A tanulmány 5 különböző zsarolóvírus üzleti modellre tér ki:

  • az egyéni támadókra összpontosító modell;
  • a hacker kollektívákra, akik csoportosan követik el a támadást;
  • a zsarolóprogramok szolgáltatásként történő felhasználásának modelljére;
  • az adatbróker modellre;
  • és egy olyan modellre, amely főként a hírnév megszerzésére irányul, ami kulcsfontosságú a sikeres zsarolóvírusüzletág szempontjából (a zsarolóvírus-kárt okozó szolgáltatóknak fenn kell tartaniuk egy bizonyos hírnevet, különben az áldozatok nem fizetik ki a váltságdíjat).

A legjelentősebb zsarolóvírus kollektívák és az általuk elkövetett incidensek száma

A jelentés ajánlásokat is megfogalmaz a szervezetek és cégek számára.

  • Erősítsék tovább az ellenálló képességüket a zsarolóvírusokkal szemben!
  • Legyenek megfelelő biztonsági megoldásaik, amelyek megfelelő hatékonysággal lépnek a támadásokkal szemben.
  • Futtassanak olyan biztonsági szoftvert, amely a legtöbb zsarolóvírust felismeri a végponti eszközökön.
  • Erősítsék a detektáló képességeiket.
  • Legyenek naprakész biztonsági mentéseik, a biztonsági másolatokat  a hálózattól elszigetelve őrizzék.
  • Alkalmazzák a biztonsági mentés 3-2-1 szabályát: 3 másolat, 2 különböző adathordozó, 1 másolat külső helyszínen.
  • Korlátozzák a rendszergazdai jogosultságokat vagy egyenes használják a zero trust elvét.

Mi a biztributornál számos csúcskategóriás és a piaci standardet jelentő termékkel tudjuk segíteni mind a KKV-at, mind pedig a nagyvállalatokat, hogy IT és kiberbiztonsági szintjük átlag feletti legyen.

Ha végpontvédelemről, XDR-ről, backupról, katonai titkosítással rendelkező adathordozókról, VPN-ről, kiberhírszerzésről, zsarolóvírus információkról és elemzésekről, sérülékenység-monitorozásról és információkról, szuper erős és biztonságos wi-fi-ről vagy éppen MSP-knek szóló szolgáltatásról van szó, akkor megtaláltátok a legjobb és legprofibb termékeket, szolgáltatásokat! Nézz körül nálunk és keress minket bizalommal!