Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Ransomwarek – már megint, még mindig

2017. október 30., hétfő 14:09

Még januárban az ISACA második szerdai előadásán Balázs Zoltán tartott előadást a ransomware-ek kevésbé ismert tulajdonságait kiemelve. Az eredeti prezentáció ezen a linken érhető el.

Ugyan a ransomware-ek világában sokmindent történt január óta, a lényeg semmit sem változott olyan szempontból, hogy az IT-üzemeltetők mintha nem is tanulnának a korábbi esetekből, az AV-gyártók pedig globálisan tekintve leszerepeltek.

Az előadásban elhangzott, hogy gyakorlatilag nincs olyan platform, ami valamilyen módon ne lett volna érintett eddig valamilyen ransomware-fertőzésben, tényleg semmi sincs biztonságban. Az elhíresült Locky malware-t például újraírták magyar nyelvűre, a zsarolóvírusok nem kímélték az androidos eszközöket sem, míg az iOS-re /*máig*/ csak olyan kódot találtak, ami az ijesztgetésen kívül mást nem csinál.

Az egyre elterjedtebb NAS-okat a SynoLocker küldte kómába, megint más kártékony kódok régről ismert módon CMS-sebezhetőségeket kihasználva fertőztek webhelyeket avagy a webhelyet meglátogató felhasználókat, de gyakran nem aktiválódtak azonnal.

Megint más kártékony kódok linuxot futtató szervereket vagy éppen MongoDB adatbázismotorokat támadtak meg, ezeket az eléggé baljós leakware és doxware nevekkel illették a kutatók.

Az első komolyabb zsarolóvírus-támadás 2013-ban történt, ugyan technikailag megjelenhetett volna korábban is, adja magát a kérdés, hogy miért éppen 2013-ban bukkantak fel. Az előadó szerint a magyarázat, hogy ekkorra vált eléggé elterjedtté a TOR és maga a bitcoin, még a tudatlanabb felhasználóknak sem jelent különösebb nehézséget bitcoinban váltságdíjat fizetni. Megint más esetben maguk a malware-ek loptak bitcoint.

A fejlett ransomware-ekkel kapcsolatban érdekesség a korábban ismert kártékony kódokhoz képest, hogy közülük több szelektív olyan értelemben, hogy nem csak azt ellenőrzi, hogy nem virtuális gépen fut-e, de még azt is, hogy melyik országban és csak olyan országokban kér váltságdíjat, amelyik esetében feltételezhető, hogy a felhasználó fizetőképes. Céges környezetben a főként szignatúra-alapú felismeréssel működő módszerek leszerepeltek. Míg korábban több napig is fertőzött maradhatott egy céges gép anélkül, hogy különösebb kár keletkezett volna, egy ramsomware-fertőzés esetén már 15 perc is túl sok. Sajátosság továbbá, hogy a ransomware-készítők figyelnek a saját reputációjukra olyan értelemben, hogy valóban biztosítják a felhasználóknak a feloldáshoz szükséges kulcsot a váltságdíj megfizetését követően az esetek többségében, mi több, a váltságdíjat követelő üzenetben még telefonos supportot is kínálnak arra az esetre, ha a felhasználó nem lenne technikailag eléggé felkészült a fizetésre.

Céges környezetben gyakorlatilag máig nincs jobb megoldás, mint a rendszeres biztonsági mentés készítése mégpedig olyan hordozóra, ami csak a biztonsági mentés idejére írható, egyébként air gapped.

Otthoni védekezésnél egy jobb antivírus termék mellett érdemes lehet a böngészőben valamilyen szkriptblokkolót is használni, amilyen az Adblock vagy éppen a NoScript, mivel a ransomware-ek akár olyan oldalak hirdetésein keresztül is fertőzhetnek, ami alapvetően megbízhatóak.

Trükkös megoldás, de hatékony a Hitman Pro alkalmazása, ami képes akár virtuális gépnek álcázza a valódi gépünket, így csökkentve egy bekerült malware aktiválódásának kockázatát. A valódi gép virtuális géppé való álcázásával kapcsolatban az EvilBit posztjában már évekkel korábban olvashattunk.

Érdemes megjegyezni, hogy a ransomware-ek több kutató szerint meglepően bénák, ahogy arra azóta többen is felhívták a figyelmet például ebben a posztban

A legnagyobb kárt okozó malware-ek is sok esetben néhány egyszerű hardening trükkel egyszerűen megfékezhetőek lennének, mint amilyen a PowerShell lelövése, az Office-makrók tiltása vagy az UAC kényszerítése, ezekhez már automatizált eszköz is készült

A cikk ugyan több, mint fél évvel ezelőtt íródott, de alapvetően nem veszette aktualitását, hirtelen két gondolattal egészíteném ki. A Kaspersky egy friss kutatásából kiderül, hogy ugyan valóban az iOS van kitéve legkevésbé bármilyen típusú malware támadásnak, mindössze 600 kártékony kódot azonosítottak, határozottan egy olyan tendencia látszik kirajzolódni, hogy az iOS és az OSX a célzott támadásoknak egyre inkább ki lesz téve, viszont továbbra sem várható, valamiféle iOS és OSX rendszereket érintő malware robbanás. 

A mai értelembe vett első ransomware-ek valóban 2013. óta léteznek, Csizmazia István egy nemrég tartott előadásában igazi kultúrtörténeti unikumot hozott szóba. Még 1989-ben egy feketekalapos több, mint húszezer floppyt postázott szét, ami a címzettek gépét lefertőzte és váltságdíjat kért. Alighanem minden idők egyik leginkább elbénázott víruskampánya volt, ugyanis a zsaroló olyan helyre kérte a válságdíjat, ami alapján a nyomozók már kényelmesen tudták azonosítani az elkövetőt.

Megjelent: 146 alkalommal
Értékelés:
(1 szavazat)
A hozzászóláshoz be kell jelentkezned

Adminisztráció

Regisztrációt kizárólag ISACA tagoktól fogadunk el, így a regisztrációs folyamat során felkérjük Önt, hogy ISACA tagsági számát küldje meg számunkra!
Köszönjük!