Mik azok a zsarolóvírusok?
Többet is megtudhat a zsarolóvírusokról és a működésükről, valamint arról, hogyan védheti meg magát és a vállalkozását a kibertámadásoknak ettől a típusától.
A zsarolóvírus definíciója
A zsarolóvírusok olyan kártevők, amelyek azzal fenyegetik az áldozatot, hogy megsemmisítik a kritikus fontosságú adatokat vagy rendszereket, illetve letiltják az ezekhez való hozzáférést, amíg a felhasználó ki nem fizeti a kért váltságdíjat. A legtöbb zsarolóvírus régebben egyéneket vett célba, ám a közelmúltban a szervezeteket támadó, ember által üzemeltetett zsarolóvírusok váltak a jelentősebb, nehezebben megelőzhető és elhárítható veszélyforrásokká. Az ember által üzemeltetett zsarolóvírusokkal a támadók egy csoportja közös intelligencia használatával szerez hozzáférést egy szervezet nagyvállalati hálózatához. Egyes ilyen típusú támadások annyira kifinomultak, hogy a támadók az általuk feltárt belső pénzügyi dokumentumokat használják a váltságdíj összegének meghatározásához.
Zsarolóvírus-támadások a hírekben
A zsarolóvírusos fenyegetések mára sajnos gyakori szereplőivé váltak a híreknek. A közelmúltban nagy nyilvánosságot kapott zsarolóvírus-támadások leginkább a kritikus infrastruktúrákat, az egészségügyet és az IT-szolgáltatókat érintették. Ahogy ezek a támadások egyre vakmerőbbé váltak, úgy váltak kiszámíthatatlanabbá a hatásaik is. Az alábbiakban röviden ismertetünk néhány zsarolóvírus-támadást és azt, hogy azok milyen hatással voltak az érintett szervezetekre:
- 2022 márciusában Görögország postai rendszere vált zsarolóvírus áldozatává. A támadás átmenetileg megzavarta a levélkézbesítést, és hatással volt a pénzügyi tranzakciók feldolgozására.
- India egyik legnagyobb légitársaságát 2022 májusában érte zsarolóvírus-támadás. Az incidens késésekhez és járattörlésekhez vezetett, és több száz utasnak kellett vesztegelnie a reptereken.
- 2021 decemberében zsarolóvírus-támadás ért egy nagy HR-céget . A támadás a cég felhőszolgáltatását használó ügyfeleknél a bérszámfejtési és a szabadságolási rendszert is érintette.
- 2021 májusában egy amerikai egyesült államokbeli, csővezetékes üzemanyag-szállítással foglalkozó cég a további biztonsági incidensek megelőzése érdekében leállította a szolgáltatásait, miután egy zsarolóvírus-támadás során több ezer alkalmazott személyes adatait törték fel. Ennek hatására a keleti parton az egekbe szöktek a gázárak.
- Egy vegyi anyagokat forgalmazó német céget 2021 áprilisában ért zsarolóvírus-támadás. A támadás során több mint hatezer személy születési idejét, társadalombiztosítási számát és vezetőiengedély-számát lopták el bizonyos egészségügyi adatokkal együtt.
- A világ legnagyobb hússzállítója 2021 májusában zsarolóvírus-támadás célpontjává vált. Miután a cég ideiglenesen offline állapotba helyezte a webhelyét, és leállította a termelést, végül 11 millió USD értékű váltságdíjat fizetett ki Bitcoinban.
Hogyan működnek a zsarolóvírusok?
Az elkövetők azzal fenyegetve követelnek pénzt, hogy a zsarolóvírus-támadások átveszik az irányítást az adott személy vagy szervezet adatai vagy eszközei felett. Az elmúlt években a legtöbb támadás a pszichológiai manipulációra épült, de a bűnözők a közelmúltban elkezdtek áttérni az ember által üzemeltetett zsarolóvírusokra, mert ezek hatalmas haszonnal kecsegtetnek.
Pszichológiai manipulációra épülő zsarolóvírusok
Ezek a támadások adathalászattal (olyan megtévesztési forma, amelyben a támadó legitim cégként vagy webhelyként jelenik meg) veszik rá az áldozatot arra, hogy rákattintson egy olyan hivatkozásra, illetve nyisson meg egy olyan e-mail-mellékletet, amely zsarolóvírust telepít az áldozat eszközére. A támadások gyakran olyan vészjósló üzeneteket is megjelenítenek, amelyek félelemből való cselekvésre késztetik az áldozatot. Egy kiberbűnöző például egy jól ismert bank nevében fellépve e-mailben értesíthet valakit arról, hogy gyanús tevékenység miatt zárolták a számláját, és arra sürgetheti az illetőt, hogy a probléma megoldásához kattintson egy, az e-mailben található hivatkozásra. A hivatkozásra kattintva települ a zsarolóvírus.
Ember által üzemeltetett zsarolóvírusok
Az ember által üzemeltetett zsarolóvírusok eredete sok esetben ellopott fiókhitelesítő adatokhoz vezethető vissza. Miután a támadók ezzel a módszerrel hozzáfértek egy szervezet hálózatához, az ellopott fiók használatával meghatározzák a szélesebb körű hozzáféréssel rendelkező fiókok hitelesítő adatait, valamint olyan adatokat és üzletileg kritikus rendszereket keresnek, amelyek vélhetően nagy pénzügyi hasznot hoznak. Ezután zsarolóvírust telepítenek ezekre a bizalmas adatokra vagy az üzlet szempontjából alapvető fontosságú rendszerekre (például a bizalmas fájlok titkosításával), hogy a szervezet mindaddig ne férhessen hozzájuk, amíg nem fizeti ki a váltságdíjat. A kiberbűnözők az anonimitás fenntartása miatt általában kriptovalutában követelik az összeget.
Ezek a támadók olyan nagy szervezeteket céloznak meg, amelyek az átlagos felhasználóhoz képest nagyobb váltságdíjat tudnak fizetni, és néha több millió dollárt is kérnek. Az ilyen mérvű visszaéléssel járó hatalmas tét miatt számos szervezet dönt úgy, hogy inkább kifizeti a váltságdíjat, mintsem hogy kiszivárogtassák a bizalmas adatait, vagy további támadásokat kockáztasson. A váltságdíj kifizetése ugyanakkor egyik végkifejlet elkerülését sem garantálja.
Az ember által működtetett zsarolóvírust használó támadások fejlődésével a támadások mögött álló bűnözők is egyre szervezettebbé váltak. Valójában számos zsarolóvírusos eljárás ma már szolgáltatott zsarolóvíruson alapuló modellt használ, ami azt jelenti, hogy magát a zsarolóvírust egy bűnözőkből álló fejlesztőcsoport készíti el, amely ezután más kiberbűnözőket bérel fel arra, hogy feltörje egy szervezet hálózatát és telepítse a zsarolóvírust. A végén pedig a két csoport közösen meghatározott arányban osztozik a nyereségen.
Különböző típusú zsarolóvírus-támadások
A zsarolóvírusoknak két fő típusa van: a titkosító zsarolóvírusok és a zároló zsarolóvírusok.
Titkosító zsarolóvírusok
Amikor egy személy vagy szervezet titkosító zsarolóvírus-támadás áldozatává válik, a támadó titkosítja az áldozat bizalmas adatait vagy fájljait, így az illető csak akkor férhet hozzájuk, ha kifizeti a kért váltságdíjat. Miután fizetett az áldozat, elvileg kap egy titkosítási kulcsot, hogy hozzáférhessen a fájlokhoz vagy az adatokhoz. Azonban még ha ki is fizeti az áldozat a váltságdíjat, nem garantálható, hogy a kiberbűnöző elküldi a titkosítási kulcsot, vagy hogy lemond az átvett irányításról. A Doxware olyan titkosító zsarolóvírus, amely nemcsak titkosít, hanem azzal is fenyeget, hogy nyilvánosságra hozza az áldozat személyes adatait, általában azzal a céllal, hogy a váltságdíj kifizetése érdekében megalázza vagy megszégyenítse az illetőt.
Zároló zsarolóvírusok
Zároló zsarolóvírus használata esetén a támadó kizárja az áldozatot a saját eszközéről, és az illető nem tud bejelentkezni rá. Az áldozat eszközének képernyőjén megjelenik egy váltságdíjfizetési felszólítás, amely elmagyarázza, hogy ki lett zárva az áldozat, és utasításokat tartalmaz arra vonatkozóan, hogyan fizesse ki a váltságdíjat a hozzáférés visszaszerzéséhez. A zsarolóvírusok ezen formája rendszerint nem alkalmaz titkosítást, így ha az áldozat visszanyeri a hozzáférést az eszközéhez, megmaradnak a bizalmas fájljai és adatai.
Reagálás zsarolóvírus-támadásra
Ha zsarolóvírus-támadás érte, lehetősége van segítséget kérni, és eltávolítani a vírust.
Legyen óvatos a váltságdíj kifizetésével kapcsolatban
Noha csábító lehet kifizetni a váltságdíjat abban a reményben, hogy megoldódik a probléma, semmi sem garantálja, hogy a kiberbűnözők állják a szavukat, és hozzáférést biztosítanak az adatokhoz. A biztonsági szakértők és a bűnüldöző szervek azt javasolják, hogy a zsarolóvírus-támadások áldozatai ne fizessék ki a kért váltságdíjat, mert ezzel későbbi fenyegetéseknek tennék ki magukat, és aktívan támogatnák a bűnözőket. Ha már fizetett, azonnal vegye fel a kapcsolatot a bankjával. Amennyiben hitelkártyával fizetett, elképzelhető, hogy le tudja állítani a kifizetést.
A fertőzött adatok elkülönítése
Amint van rá lehetősége, különítse el a feltört adatokat, hogy megakadályozza, hogy a zsarolóvírus továbbterjedjen a hálózat más részeire.
Kártevőirtó program futtatása
Számos zsarolóvírus-támadás kezelhető egy, a zsarolóvírusok eltávolításra képes kártevőirtó program telepítésével. Miután kiválasztott egy megbízható kártevőirtó megoldást (például a Microsoft Defendert), feltétlenül tartsa naprakészen, és soha ne állítsa le, így folyamatos védelmet biztosíthat a legújabb támadások ellen.
A támadás bejelentése
A támadás bejelentéséhez vegye fel a kapcsolatot a helyi vagy az országos illetékességű bűnüldöző szervekkel. Az Egyesült Államokban A helyi FBI-iroda kapcsolattartási adataiaz FBI helyi irodájához, az IC3-hoz vagy a titkosszolgálathoz lehet fordulni. Habár ez a lépés valószínűleg nem oldja meg a közvetlen problémákat, azért fontos, mert ezek a hatóságok aktívan nyomon követik és figyelik a különböző támadásokat. A kiberbűnözők és a kiberbűnözői csoportok felkutatásának és felelősségre vonásának tágabban értelmezett kérdésében hasznos segítség lehet, ha átadja a hatóságoknak a tapasztalataival összefüggő részleteket.
Zsarolóvírusok elleni védelem
Mivel a zsarolóvírus-támadások száma minden eddiginél nagyobb, és az emberek a személyes adataik nagy részét mára már digitális formában tárolják, a támadásokból fakadó esetleges járulékos hatások ijesztőek. Szerencsére sokféleképpen megőrizhető a digitális élet privát jellege. Az alábbiakból megtudhatja, hogyan tehet szert lelki nyugalomra a zsarolóvírusok elleni proaktív védelemmel.
Telepítsen egy kártevőirtó programot
A védelem legjobb formája a megelőzés. Megbízható kártevővédelmi szolgáltatással (köztük a Végponthoz készült Microsoft Defenderrel, a Microsoft Defender XDR-rel vagy a Felhőhöz készült Microsoft Defenderrel) számos zsarolóvírus-támadás észlelhető és blokkolható. Ha kártevőirtó programot használ, az eszköze először megvizsgálja a megnyitni kívánt fájlokat vagy hivatkozásokat, hogy biztonságosak-e. Amennyiben kártékony fájlt vagy webhelyet észlel a kártevőirtó program, figyelmeztetést jelenít meg, és a megnyitás mellőzését javasolja. Ezek a programok a már fertőzött eszközökről is el tudják távolítani a zsarolóvírusokat.
Tartson rendszeres képzéseket
Rendszeres képzéseket tartva tájékoztassa az alkalmazottakat arról, hogyan szúrhatják ki az adathalászat és más zsarolóvírus-támadások jeleit. Ha így tesz, nemcsak a biztonságosabb munkavégzéshez szükséges módszereket taníthatja meg nekik, de azt is, hogyan járhatnak el biztonságosabban a személyes eszközeik használatakor.
Költözzön a felhőbe
Ha átviszi az adatait egy felhőalapú szolgáltatásba (például az Azure Cloud Backup Service vagy az Azure Block Blob Storage Backup szolgáltatásba), könnyedén biztonsági másolatot készíthet az adatokról a biztonságosabb tárolás érdekében. Amennyiben zsarolóvírus-támadás érné az adatait, ezekkel a szolgáltatásokkal azonnali és átfogó helyreállítást végezhet.
Használjon Teljes felügyelet modellt
A Teljes felügyelet modell az összes eszközt és felhasználót kiértékeli kockázati szempontból, mielőtt engedélyezné számukra az alkalmazásokhoz, fájlokhoz, adatbázisokhoz és más eszközökhöz való hozzáférést, így csökkentve annak a valószínűségét, hogy egy rosszindulatú támadó vagy eszköz hozzáférhessen az erőforrásokhoz, és kártevőket telepíthessen. A Teljes felügyelet modell részét képező többtényezős hitelesítés bevezetése például az adatok szerint több mint 99%-kal csökkenti az identitásokat érintő támadások hatásosságát. A Microsoft teljes felügyeletre való érettségi felmérésével. kiértékelheti a szervezete teljes felügyeletre való érettségének szintjét.
Csatlakozzon egy információkat megosztó csoporthoz
A gyakran iparág vagy földrajzi hely szerint szerveződő, információkat megosztó csoportok arra ösztönzik a hasonlóan strukturált szervezeteket, hogy együtt dolgozzanak a kiberbiztonsági megoldások fejlesztésén. A csoportok különféle előnyöket is kínálnak a szervezeteknek: többek között incidenskezelést és digitális kriminalisztikai szolgáltatásokat tudnak nyújtani nekik, tájékoztatják őket a veszélyforrásokkal kapcsolatos legújabb hírekről, továbbá figyelni tudják a nyilvános IP-címtartományokat és a tartományokat.
Készítsen offline biztonsági másolatokat
Mivel egyes zsarolóvírusok célja az, hogy megpróbálják megkeresni és törölni az online biztonsági másolatokat, érdemes naprakész offline biztonsági másolatot fenntartani a bizalmas adatokról, és a rendszeres tesztelésükkel gondoskodni arról, hogy egy esetleges zsarolóvírus-támadás esetén visszaállíthatók legyenek. Titkosító zsarolóvírus-támadás esetén az offline biztonsági másolat megőrzése sajnos nem jelent megoldást a problémára, zároló zsarolóvírus-támadás esetén azonban hatékony eszköz lehet.
Tartsa naprakészen a szoftvereket
Azonkívül, hogy naprakészen tartja a használatban lévő kártevőirtó megoldásokat (például az automatikus frissítési funkcióval), mindenképpen töltse le és telepítse az összes többi rendszerfrissítést és szoftverjavítást is, amint elérhetővé válnak. Ez segít minimalizálni azoknak a biztonsági réseknek a számát, amelyeket a kiberbűnözők kihasználhatnak a hálózathoz vagy az eszközökhöz való hozzáférés érdekében.
Készítsen incidenselhárítási tervet
A lakástűz esetére kidolgozott, nagyobb biztonságot és felkészültséget biztosító menekülési tervekhez hasonlóan a zsarolóvírus-támadás esetén elvégzendő teendőket ismertető incidenselhárítási terv is gyakorlati útmutatást ad a különféle támadási helyzetekhez, hogy Ön a lehető leghamarabb visszatérhessen a normál és biztonságos működéshez.
A Microsoft Biztonság teljes körű védelmet kínál mindezekhez
Microsoft Sentinel
A natív felhős, biztonsági információk és események kezelésére szolgáló (SIEM) megoldással teljes körű áttekintéshez jut a cégéről.
Microsoft Defender XDR
A végpontok, identitások, e-mailek és alkalmazások védelme kiterjesztett észlelés és válasz (XDR) segítségével.
Felhőhöz készült Microsoft Defender
Többfelhős és hibrid környezeteit a fejlesztéstől a futtatókörnyezetig védheti.
Microsoft Defender Intelligens veszélyforrás-felderítés
Az internet teljes, folyamatosan frissített térképével megértheti a fenyegető szereplőket és az eszközeiket.
A zsarolóvírusos fenyegetések elleni küzdelem
A Microsoft Biztonság automatikus támadásmegszakítási és reagálási képességeivel megelőzheti a fenyegetéseket.
Microsoft Digitális védelmi jelentés
Megismerkedhet a jelenlegi fenyegetésekkel és a digitális védelem kiépítésének lehetőségével.
Zsarolóvírus-irtó program fejlesztése
Megtudhatja, hogyan hozta létre a Microsoft a zsarolóvírusoknak ellenálló állapotot a zsarolóvírusok kiküszöbölése érdekében.
Zsarolóvírusok letiltása forgatókönyv használatával
Fogalmazza meg és tegye láthatóvá, hogy kinek mi a szerepe a zsarolóvírusok elleni védekezés folyamatában.
Gyakori kérdések
-
Sajnos szinte bárki, aki jelen van az interneten, zsarolóvírus-támadás áldozatává válhat. A személyes eszközök és a nagyvállalati hálózatok egyaránt gyakori célpontjai a kiberbűnözőknek.
Proaktív megoldásokba való befektetéssel, például veszélyforrások ellen védő szolgáltatások használatával ugyanakkor megelőzhető, hogy a zsarolóvírusok valaha megfertőzzék a hálózatát vagy az eszközeit. Ennélfogva azok a személyek és szervezetek, akik már a támadások bekövetkezte előtt használnak valamilyen kártevőirtó programot és más biztonsági protokollokat (például a Teljes felügyelet modellt), a legkevésbé valószínű, hogy zsarolóvírus-támadás áldozatává válnak.
-
Akkor beszélünk hagyományos zsarolóvírus-támadásról, ha egy személyt kártékony tartalom használatára (például egy fertőzött e-mail megnyitására vagy egy kártékony webhely felkeresésére) bírnak rá, és így zsarolóvírus települ az eszközére.
Ember által üzemeltetett zsarolóvírust használó támadás esetén a támadók egy csoportja egy szervezet bizalmas adatait veszi célba és töri fel, általában ellopott hitelesítő adatokon keresztül.
A pszichológiai manipulációra épülő zsarolóvírusokra és az ember által üzemeltetett zsarolóvírusokra rendszerint egyaránt jellemző, hogy az áldozat vagy a szervezet eszközének képernyőjén megjelenik egy váltságdíj fizetésére felszólító üzenet, amely részletesen ismerteti az ellopott adatokat és a visszaszerzésük árát. A váltságdíj kifizetése azonban nem garancia arra, hogy az adatok valóban visszakerülnek a tulajdonosukhoz, és később nem történnek majd ilyen biztonsági incidensek.
-
A zsarolóvírus-támadások következményei pusztítóak lehetnek. Az egyének és a szervezetek szintjén is úgy érezhetik az áldozatok, hogy igen jelentős összegű váltságdíjat kell fizetniük, és nincs garancia arra, hogy visszakapják az adataikat, illetve hogy később nem történnek további támadások. Ha egy kiberbűnöző kiszivárogtatja egy szervezet bizalmas adatait, csorbíthatja annak hírnevét, és megbízhatatlan színben tüntetheti fel. A kiszivárogtatott információk típusától és a szervezet méretétől függően több ezer személy lehet kitéve a személyazonosság-lopás vagy más kiberbűncselekmények kockázatának.
-
Azok a kiberbűnözők, akik zsarolóvírussal fertőzik meg az áldozatok eszközeit, pénzt akarnak. A legtöbb esetben kriptovalutákban kérik a váltságdíjat, mert anonimitást biztosítanak nekik, és lenyomozhatatlanok. Ha pszichológiai manipulációra épülő zsarolóvírussal támadnak meg valakit, több száz vagy több ezer dollár váltságdíjat is követelhetnek tőle. A szervezeteket célzó, ember által üzemeltetett zsarolóvírust használó támadásokban a több millió dollárt is elérheti a váltságdíj összege. Ezek a szervezetek elleni kifinomultabb támadások egyes esetekben azokat a bizalmas pénzügyi információkat használják fel, amelyekhez a hálózat feltörésekor jutottak hozzá a kiberbűnözők, és amelyek alapján akkora összegű váltságdíjat követelhetnek, amelyet ki tud fizetni a szervezet.
-
Az áldozatoknak a helyi vagy az országos illetékességű bűnüldöző szerveknél kell bejelenteniük a zsarolóvírus-támadásokat. Az Egyesült Államokban az FBI helyi irodájához, az IC3-hoz vagy a titkosszolgálathoz lehet fordulni. A biztonsági szakértők és a bűnüldöző szervek azt javasolják, hogy ne fizessenek az áldozatok váltságdíjat. Ha pedig már fizettek, haladéktalanul vegyék fel a kapcsolatot a bankjukkal és a helyi hatóságokkal. Amennyiben hitelkártyával történt a fizetés, a bank esetleg le tudja tiltani a kifizetést.
A Microsoft követése