A kiberfenyegetések közül az adathalászat mellett a zsarolóvírus támadásoktól tartanak leginkább a régiós vállalkozások – derül ki egy friss kutatásból. De milyen is ténylegesen a zsarolóprogramok ökoszisztémája?

A zsarolóvírus szó rendszeresen előkerül, ha az üzleti élet 2021-ben várható kiberfenyegetéseiről beszélünk. A támadók egyre merészebbek, és már közel sem csak magából a támadások közvetlen anyagi hasznából élnek.
Ez már nem a keresztapák világa
Hogyan is néz ki valójában a zsarolóprogram-ökoszisztéma? A Kaspersky kiberbiztonsági cég kutatói mélyen beleástak a darknetes fórumokba, alaposan megvizsgálták a legismertebb hackercsoportokat, legutóbbi jelentésükben néhány mítoszt is igyekeznek eloszlatni a zsarolóvírusokkal kapcsolatban.
A közhiedelemmel ellentétben a zsarolóvírussal támadó bandák valójában nem a Keresztapa filmben látott hierarchikus rendszerben működő gengsztercsoportok, sokkal inkább hasonlíthatók Guy Ritchie „Úriemberek” című filmjének a világához, ahol rengeteg a szakértő szereplő: fejlesztők, botmesterek, hozzáférés-értékesítők, és a zsarolóprogramokat működtetők. Ők részt vesznek a legtöbb támadásban, és a dark webes piacokon nyújtanak egymásnak szolgáltatásokat.
Ezek a szereplők kifejezetten az erre specializálódott darknetes fórumokon találkoznak, ahol szolgáltatásokat és partnertársulásokat kínáló, rendszeresen frissített hirdetések találhatók. Az egyedül dolgozó nagyágyúk nem nagyon látogatják ezeket az oldalakat, ugyanakkor egyes jól ismert csoportok, mint az előző időszakban egyre több szervezetet megtámadó REvil rendszeresen tesznek közzé ajánlatokat partnerprogramokon keresztül.
A partneré a nagyobb haszon
A társulásban a zsarolóvírussal támadó csoport működtetője és partnere csak a profit reményében áll össze, ahol az előbbi 20–40%-kal részesedik a haszonból, míg partnernél marad a maradék 60–80%.
Az efféle partnerek kiválasztása során a zsarolóprogramot működtetők már az elején lefektetik az alapszabályokat, a földrajzi korlátozásokat, sőt még a politikai nézeteket is. Az áldozatokat viszont opportunista módon választják ki – áll a jelentésben.
A megfertőzött cégek az esetek túlnyomó többségében könnyű prédák, akiknek a rendszereihez a támadók könnyen meg tudták szerezni a hozzáférést, amit később mind a partnerprogramban dolgozó szereplők, mind a független működtetők értékesíthetnek, vagy aukción, vagy fix áras formában, akár már 50 dollártól is.
A támadók a legtöbbször botnet tulajdonosok, akik nagy tételben árulják az áldozatok gépeihez való hozzáférést, olyan eladókat elérve, akik az internetre néző szoftverek – VPN berendezések vagy e-mail átjárók – sérülékenységeire vadásznak, hogy ezeken keresztül behatolhassanak a cégek, intézmények gépeibe.
Zsarolóprogram, mint szolgáltatás, fejlesztői támogatással
Vannak olyan zsarolóprogram-működtetők is, akik malware-mintákat és zsarolóvírus-építő alkalmazásokat kínálnak 300-4000 dollár közötti összegért. Megint mások szolgáltatásként ajánlanak zsarolóprogramokat, fejlesztői támogatást is nyújtva melléjük. Az ilyen szolgáltatás csomagára havi 120 és évi 1900 dollár között mozog.
„A zsarolóprogram-ökoszisztéma egy komplex rendszer, amelyben sok érdek forog kockán. Folyton változó piacról van szó, amelyben egyesek meglehetősen opportunisták, mások pedig rendkívül profik, akik fejlett módszereket alkalmaznak. Nem konkrét célpontokat választanak ki, hanem bármilyen szervezet megfelel nekik, legyen az nagyvállalat vagy kisvállalkozás. Jó hír, hogy a támadók már egyszerű biztonsági intézkedésekkel is elűzhetők a céges rendszerek közeléből. Sok egyéb mellett már az olyan szabvány eljárások, mint a rendszeres szoftverfrissítés és az izolált biztonsági mentés is segíthetnek” – emeli ki Dmitrij Galov, a Kaspersky globális kutató és elemző csapatának biztonsági kutatója.
Az otthoni munkavégzés extra kockázatai
A biztonsági kockázatokat megnövelte a járvány nyomán gyökeresen megváltozott munkavégzés. Ennek nyomán a közép-kelet-európai régióban a vállalkozások több mint kétharmada szembesült az elmúlt egy évben valamilyen biztonsági kihívással – közülük is mindenekelőtt az adathalászat és a zsarolóvírusok voltak a leggyakoribbak. Ez derül ki a Microsoft megbízásából tavaly ősszel elvégzett felmérésből, amibe 1500 cseh, görög, lengyel, magyar, orosz és román vállalkozást vontak be.

Baj, hogy a cégek több mint a fele nem rendelkezik megfelelő biztonsági stratégiával. Magyarországon is különösen a kis és középvállalkozások vannak kitéve a fenyegetettségnek, mert nincsenek tisztában a home office-ban rejlő kockázatokkal.
A régió vállalkozásainak ugyanakkor csak alig több mint a fele (56%) tart egy lehetséges kibertámadástól, miközben világszerte a vállalatok 82%-a készül erre a közeljövőben. Magyarországon a legsúlyosabb veszélyforrás a munkavállalók alacsony tájékozottsága: a cégvezetők 55 százaléka ezt jelölte meg az első helyen.
A 250-nél több embert foglalkoztató hazai nagyvállalatok körében viszont ez az arány közelebb áll a kétharmadhoz (62 százalék). Ennek ellenére céges kiberbiztonsági képzéseket Magyarországon csak a vállalkozások kevesebb, mint a harmada tervez indítani az idén. Nem sokkal magasabb(38%) ennél a régiós átlag.
A terjedő távmunka és a dolgozók tájékozatlansága miatt az IT-vezetők kétharmada (65%) a következő másfél évben az otthoni munkavégzés biztonságának megteremtését tekinti fő feladatának.
A biztonságos távoli hozzáférésben bíznak leginkább a vállalkozások
A következő években ennek kapcsán már a képzések is elengedhetetlenek, mert az adathalászok leggyakrabban magától a felhasználótól csalják ki az azonosító adataikat. Ha sikerrel járnak, nem is kell betörniük, hanem a kicsalt azonosítókkal és jelszavakkal beléphetnek az érzékeny adatokat tartalmazó rendszerekbe.
Meglehetősen sokan (38%) tapasztaltak zsarolóprogramos vagy rosszindulatú szoftveres támadásokat, és a következő 6-18 hónapban is főként erre készülnek.

A biztonsági megoldások közül a régió vállalkozásai a legnagyobb arányban a biztonságos távoli hozzáférésben (79%) bíznak, amely helyet is cserélt a korábbi listavezető végpontvédelemmel (69%). A cégek emellett még a biztonságos hozzáférés-kezeléssel védik eszközeiket az online munkavégzés körülményei között is.
Nálunk továbbra is a végpontvédelem vezet (76%), de már csak 1 százalékponttal előzi meg a biztonságos távoli hozzáférést (75%).
„A vállalatok utóbbi egy évben tapasztalt gyors digitális átalakulását nem kísérte a biztonsági rendszereik megerősítése. Ebben vélhetően szerepet játszik az is, hogy ezt a kérdést még mindig nem üzleti, hanem inkább műszaki problémaként kezelik a vállalkozások. Pedig a kibertámadások miatt kieső munka évente 3 ezermilliárd dolláros kárt okoz a cégeknek. Ez az összeg nem tartalmazza a pénzben nehezen kifejezhető egyéb károkat, mint az üzletfolytonosság, a hírnév sérülése, vagy az ügyfelek bizalmának megrendülése – húzza alá Tóth András Mihály kutatásvezető, a Microsoft Hungary marketing kommunikációs igazgatója.