:

Szerző: Hlács Ferenc

2015. november 6. 12:16

Frissítik a fegyvertárat az online zsarolók

Nem csak a fájlok titkosításával, de bizalmas adatok online közzétételével is fenyeget egy frissen felbukkant, vállalatokat célzó zsarolószoftver. A legtöbb cég vész esetén fizet, de ez sem biztos megoldás: a ProtonMail például hatezer dollár kicsengetése után is támadás alatt maradt.

Egyre komolyabb biztonsági kockázatot jelentenek a zsarolószoftverek. A különösen utóbbi években elterjedt, ransomware néven is ismert kártevők, titkosítják az áldozatul esett gépen tárolt tartalmakat, hogy aztán azokat csak váltságdíj ellenében engedjék vissza a tulajdonosnak. A malware-ekkel szemben sok esetben a biztonsági szoftverek is tehetetlenek - sőt, nemrég az FBI egyik ügynöke is úgy nyilatkozott, sok esetben a nyomozóiroda is a váltságdíj megfizetését javasolja az áldozatoknak.

A helyzeten most a terület egyik újonca, a Chimera névre hallgató malware ront tovább: a szoftver amellett, hogy a szokott módon elzárja a fertőzött gépen tárolt adatokat, azzal is fenyeget, hogy online közzéteszi a zsákmányolt tartalmakat. A kártevő ráadásul elsősorban cégeket céloz meg, amelyeket különösen érzékenyen érinthet a belső adatok nyilvánosságra kerülése - ebben az esetben a helyzetet a vállalat biztonsági mentései sem oldják meg.

Több százmilliós üzlet

De nem csak a frissen érkezők újítanak: a "veterán" CryptoWall legújabb, 4-es verziója például a titkosított fájlok nevét is véletlenszerű karaktersorokra változtatja, a még teljesebb hatás kedvéért. A malware emellett a fertőzést követően megjelenő értesítésében szinte tréfás hangnemben üdvözli a felhasználót a "CryptoWall népes közösségében", majd meglepően pontos, szabatos és nyelvtanilag is helyes szövegben el is magyarázza, pontosan hogyan működik az alkalmazott titkosítás. A kártevő egyébként gyakorlatilag feltörhetetlen, 2048 bites RSA kulcsokat használ.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Bár az esetek jelentős részében nem látszik más megoldás, mint megfogadni a támadók, (illetve az FBI) tanácsát és kifizetni a váltságdíjat, még ez sem jelenti biztosan, hogy a felhasználó visszakapja a hozzáférést titkosított adataihoz - arról nem is beszélve, hogy a befizetett összeggel a kártevő mögött álló bűnözőket támogatja. A CryptoWall előző verziójával a támadók mintegy 325 millió dollár kárt okoztak, ráadásul, ahogy arra az Ars Technica is rámutat, az ebből származó bevétel "adómentes".

Erősen változó, hogy egy-egy támadó hasonló esetben milyen mélyen próbál belenyúlni a felhasználó pénztárcájába. A fentebb említett Chimera például 638 dollárnak megfelelő bitcoint követelt, míg egy a titkosított email szolgáltatást működtető ProtonMailt célba vevő bűnözőcsapat nem kevesebb mint 6000 dollár értékű bitcoint várt a vállalattól, hogy beszüntesse ellene folytatott DDoS támadásait. Meglepő módon a ProtonMail fizetett is, ennek ellenére a támadások nem áltak le azonnal, a rendszer még hosszú ideig elérhetetlen maradt. Utóbbi eset jól mutatja, hogy még a tekintélyes összeg kifizetése sem minden esetben eredményes.

Állami támogatást élvező támadók?

Az eset azért is különösen érdekes, mert a ProtonMail blogposztja szerint a támadásért jó eséllyel nem egy, hanem két csoport volt felelős. A fenyegetés megérkezését követő első két hullámok közvetlenül a céget célozták, "szabványos" DDoS támadások formájában - ezt követően azonban egy jóval kifinomultabb és nem utolsó sorban kiterjedtebb offenzíva kezdődött, amely magát a cég által használt adatközpontot, illetve internetszolgáltató infrastruktúráját vette célba, ezzel nem csak a ProtonMailnek, de több száz más vállalatnak is problémát okozva.

A különösen erőteljes második szakaszért az eredeti zsarolók nem vállalták a felelősséget, amelyet egy a támadást követő emailben igyekeztek a cég tudtára adni - ezt megerősíteni látszik az akció kifinomultsága, amely a vállalat szerint erősen utal egy állami támogatással megvalósított támadásra. A ProtonMail titkosított szolgáltatását előszeretettel ajánlja újságírók és aktivisták számára, a feltételezés korántsem légből kapott - különösen a hatását máig éreztető Snowden-botrány árnyékában.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról