A 400 ezer dolláros váltságdíj
Vajon ennyi pénzt simán kifizetnek a ransomware terjesztő bűnözőknek? Korábban már láttunk hasonló, sőt jelentősebb összegű kísérleteket, ahol egészségügyi intézményeket, illetve bankokat támadva elképesztő összeget követeltek a támadók. Például 2016-ban a Hollywood Presbyterian Medical Center gépeinek titkosítást feloldó kulcsáért 3.6 millió dollárnak megfelelő 9,000 Bitcoint kértek – ez akkori árfolyamon valamivel több, mint 1 milliárd forint volt.
Mostani történetükben valamivel több, mint 110 millió forint értékű zsarolóvírus miatti váltságdíj volt a tét, helyszín pedig az Amerikai Egyesült Államok, az Észak-Karolina államban található Orange megye, és az ottani kormányzati informatikai rendszer, digitális szolgáltatások, kulcsfontosságú állami hivatalok működőképességének helyreállítása.
A március 1-i támadás miatt a helyi lakosok korábban megszokott elektronikus ügyintézése az egész megyei számítógépes hálózatban – adóügyekben történő eljárás, mindenfajta ingatlan-nyilvántartással és házasságkötéssel kapcsolatos ügyek, utalványok kifizetése, regisztrációk elvégzése, hivatalos e-mail üzenet forgalom – támadás eredményeként mind mind leállt, szünetelt.
A rendőrségi 911-es rendszer a kritikus időszakban is rendelkezésre állt, és a korábbi zsarolóvírusos esetekhez hasonlóan itt is a telefon, fax, papír és ceruza ökoszisztémára való visszaállással lehetett kibekkelni a zűrzavart, a számítógépes leállást. Az elektronikus ügyintézés még olyan területeket is a kézzel írt kérvények, formanyomtatványok világára tért vissza, mint a védőügyvédek hivatalos látogatásainak engedélyezése a helyi börtönökben.
A vezetés végül úgy döntött, kifizetik a 400 ezer USD-nek megfelelő váltságdíj követelést, hogy mihamarabb visszaállhassanak a megszokott működésre. Arról nincs konkrét hír, hogy a fizetés hatására kaptak-e egyáltalán helyreállító kulcsokat, illetve az adatok hány százalékában sikerült ezzel az adatok visszanyerése.
Az a rész sem teljesen világos, hogy egy ilyen kritikus államigazgatási területen miképpen védekeztek a rendszeresnek mondható kibertámadások ellen, illetve hogy miért nem állt rendelkezésre naprakész mentési állomány, amiből ugyan jelentős munka árán, de bűnözőknek való fizetés nélkül tudtak volna tiszta rendszereket visszaállítani?
Az is érdekes, hogy mivel a beszámolók szerint az elmúlt hat évben hasonló zsarolóvírusos támadás ezen a helyen már több alkalommal is bekövetkezett, erősen elgondolkodtató, mennyire lehetnek hiányosak az időközben hadrendbe állított védelmi eszközök, intézkedések. Vajon miért nem tanulunk még mindig, hiszen a CryptoLocker 2013-as felbukkanása óta majd 6 esztendő telt már el, keserves adatvesztési incicidensekkel a címlapokon.
Nem lehet elégszer hangsúlyozni, hogy a hatékony védekezés komplex hozzáállást követel, amelyben nem csak a bűnözőknek nem fizetünk elvnek lenne jó érvényesülni, hanem a számítógépes infrastruktúra megfelelő védelme, beleértve a korszerű vírusvédelmet, az operációs rendszer és az alkalmazói programok automatikus hibajavító patch menedzsmentjét, a rendszer és a szoftverkörnyezet biztonságos konfigurálását, biztonságos policy alkalmazását jelenti. Például elmondhatjuk, hogy ransomware fertőzések jó része még mindig a nyitott távoli asztalkapcsolat RDP felől érkezik.
És végül, de semmiképp nem utolsó sorban nem hiányozhatnak a rendszeres, kipróbált mentések, enélkül üzemelni felér egy orosz rulettel.
Forrás: https://antivirus.blog.hu