Megjelent az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) zsarolóvírus támadásokról szóló jelentése. A zsarolóvírusok, mint a kibertámadások egyik legpusztítóbb típusa, az elmúlt évtizedben egyre nagyobb mértékben érinti a különböző méretű szervezeteket. Ez tény, ezzel a témával már mi is foglalkoztunk, többször is.
Az ENISA legújabb fenyegetettségi jelentése a 2021 május és 2022 június közötti időszakot öleli fel, úgy, hogy a szakértők összesen 623 zsarolóvírusos incidenst elemeztek ki az EU-ban, az Egyesült Királyságban és az Egyesült Államokban. Az adatokat kormányok és biztonsági cégek jelentéseiből, a sajtóból, ellenőrzött blogokból és néhány esetben a dark webről származó kapcsolódó források felhasználásával gyűjtöttük.
Főbb megállapítások és az azokból levonható következtetések
- 2021 májusa és 2022 júniusa között havonta körülbelül 10 terabájtnyi adatot loptak el a zsarolóvírus-kollektívák. Az ellopott adatok 58,2%-a a munkavállalók személyes adatait tartalmazta.
- Legalább 47 egyedi zsarolóvírus fenyegetettségi szereplőt találtak.
- Az incidensek 94,2%-a esetében nem tudható, hogy a vállalat kifizette-e a váltságdíjat vagy sem. Ha azonban a tárgyalás kudarcba fullad, a támadók általában felfedik és elérhetővé teszik az adatokat a weboldalaikon.
- A kiberbűnözők az incidensek 37,88%-ánál nyilvánosságra hozzák a megszerzett adatokat.
- Ebből arra következtethetünk, hogy a fennmaradó 62,12%-ban a vállalatok vagy megegyeztek a támadókkal, vagy más megoldást találtak.
- A tanulmányból az is kiderül, hogy totál mindegy, hogy milyen méretű és milyen ágazati szereplőről van szó, hiszen gyakorlatilag mindenki érintett lehetett.
A zsarolóvírusok idővonala 2021 májusa és 2022 júniusa között
A fenti számok azonban csak az összkép egy részét tudják bemutatni. A tanulmányból kiderül, hogy a zsarolóvírus-támadások teljes száma ennél sokkal nagyobb lehet, de jelenleg a teljes és releváns számot nem lehet tudni, mivel sok szervezet még mindig nem hozza nyilvánosságra az incidenseket, vagy nem jelenti azokat az illetékes hatóságoknak.
A nyilvánosságra hozott incidensekkel kapcsolatos információk is meglehetősen korlátozottak, mivel a legtöbb esetben az érintett szervezetek nem tudják, hogyan sikerült a hackereknek megszerezniük a a rendszerekhez való hozzáférést. Végül a szervezetek a negatív hírverés elkerülése és az üzletmenet folytonosságának biztosítása érdekében esetleg szervezeten belül is kezelhetik a problémát (pl. úgy döntenek, hogy kifizetik a váltságdíjat, és erről nem kommunikálnak). Az ENISA szerint ez a megközelítés azonban nem segít a zsarolóvírus bandák elleni fellépésnem – éppen ellenkezőleg, inkább ösztönzi a jelenséget, és ezzel a zsarolóvírusos üzleti modellt táplálja.
Az ENISA az ilyen kihívásokkal összefüggésben vizsgálja, hogyan lehetne javítani az incidensek jelentését. A felülvizsgált hálózat- és információbiztonsági irányelv (NIS 2) várhatóan megváltoztatja a kiberbiztonsági incidensek bejelentésének módját. Az új rendelkezések célja a vonatkozó incidensek jobb feltérképezésének és megértésének támogatása.
Mire képes a Ransomware: az életciklus és az üzleti modellek
A jelentés elemzése szerint a zsarolóvírus-támadások négyféle módon vehetik célba az eszközöket: a támadás vagy lezárja, titkosítja, törli vagy ellopja (LEDS) a célpont eszközeit. A célzott eszköz bármi lehet, például dokumentum, fáj, adatbázis, webes szolgáltatás, tartalomkezelő rendszer, képerny, master boot record (MBR), master file tábla (MFT) stb.
A zsarolóvírus támadás gyakorlatilag öt szakaszra bonthatjuk: kezdeti hozzáférés, végrehajtás, a célkitűzésekre irányuló fellépés, zsarolás és a váltságdíjról szóló tárgyalás. Ezek a szakaszok nem feltétlenül sorrendben, egymás után, alá-fölé rendeltségi viszonyban értelmezhetőek.
A zsarolóvírusok életciklusának öt szakasza
A tanulmány 5 különböző zsarolóvírus üzleti modellre tér ki:
- az egyéni támadókra összpontosító modell;
- a hacker kollektívákra, akik csoportosan követik el a támadást;
- a zsarolóprogramok szolgáltatásként történő felhasználásának modelljére;
- az adatbróker modellre;
- és egy olyan modellre, amely főként a hírnév megszerzésére irányul, ami kulcsfontosságú a sikeres zsarolóvírusüzletág szempontjából (a zsarolóvírus-kárt okozó szolgáltatóknak fenn kell tartaniuk egy bizonyos hírnevet, különben az áldozatok nem fizetik ki a váltságdíjat).
A legjelentősebb zsarolóvírus kollektívák és az általuk elkövetett incidensek száma
A jelentés ajánlásokat is megfogalmaz a szervezetek és cégek számára.
- Erősítsék tovább az ellenálló képességüket a zsarolóvírusokkal szemben!
- Legyenek megfelelő biztonsági megoldásaik, amelyek megfelelő hatékonysággal lépnek a támadásokkal szemben.
- Futtassanak olyan biztonsági szoftvert, amely a legtöbb zsarolóvírust felismeri a végponti eszközökön.
- Erősítsék a detektáló képességeiket.
- Legyenek naprakész biztonsági mentéseik, a biztonsági másolatokat a hálózattól elszigetelve őrizzék.
- Alkalmazzák a biztonsági mentés 3-2-1 szabályát: 3 másolat, 2 különböző adathordozó, 1 másolat külső helyszínen.
- Korlátozzák a rendszergazdai jogosultságokat vagy egyenes használják a zero trust elvét.
Mi a biztributornál számos csúcskategóriás és a piaci standardet jelentő termékkel tudjuk segíteni mind a KKV-at, mind pedig a nagyvállalatokat, hogy IT és kiberbiztonsági szintjük átlag feletti legyen.
Ha végpontvédelemről, XDR-ről, backupról, katonai titkosítással rendelkező adathordozókról, VPN-ről, kiberhírszerzésről, zsarolóvírus információkról és elemzésekről, sérülékenység-monitorozásról és információkról, szuper erős és biztonságos wi-fi-ről vagy éppen MSP-knek szóló szolgáltatásról van szó, akkor megtaláltátok a legjobb és legprofibb termékeket, szolgáltatásokat! Nézz körül nálunk és keress minket bizalommal!