:

Szerző: Dömös Zsuzsanna

2022. május 2. 08:30

Hogyan zajlik egy ransomware túsztárgyalás?

Az utóbbi években drámaian megnőtt a zsarolócsoportok által elkövetett támadások száma, amik a nagyhalak mellett jelentős károkat tudnak okozni a középvállalkozásoknak is. Ha már megtörtént a baj, alkudozás útján még sikerülhet kedvezményt kérni a váltságdíjból, ám erre csak akkor jók az esélyek, ha hozzáértő szakértők képviselik az áldozatot. Ransomware túsztárgyalásokról meséltek nekünk a T-Systems szakértői.

HIRDETÉS

Az utóbbi évek során a koronavírus-járvánnyal elterjedtebbé vált távmunka miatt még jobban megugrott a ransomware támadások száma, ami a váltságdíjak növekedését is magával hozta. A Coveware szerint 2021 első negyedévében a zsarolók még mohóbbak voltak, az átlagos követelés 220 ezer dollárra ugrott, ami 43 százalékkal több a megelőző negyedévhez képest.

Egy ransomware támadás célpontjává váló szervezet és az elkövető kiberbűnözők közt zajló túsztárgyalásokat kritikus mozzanatok előzik meg. Addigra a "túszejtők" már hozzáfértek az áldozat rendszeréhez, akár érzékeny adataihoz, céges dokumentumaihoz és más kulcsfontosságú információhoz – és minél több rendszert állítottak meg, annál nagyobb előnyük van. Kiberbiztonsági szakértők szerint egy ilyen helyzetbe kerülve javítja a váltságdíj csökkentése (vagy más cél elérése) érdekében tett alkudozás esélyeit, ha sikerül felmérni a szervezetnél, hogy a hackerek konkrétan mennyi adathoz férhettek hozzá és milyen taktikákat használhattak korábbi tárgyalások során. Bár ez egy hétköznapi, kiberbiztonság terén gyengébb lábakon álló vállalat számára nem kézenfekvő és gyakorlata szinte senkinek nincs benne.

A túszejtőnek hatalmas előnye van a rutinja lévén, mivel a legtöbb szervezet egy számára ismeretlen és új szituációval találja szemben magát. Így ha önerőből próbálja kitárgyalni a dolgot, eleve hátrányból indul. A külföldi és hazai bűnüldöző szervek sem ajánlják ezt, mivel általában nem hoz eredményt. Tapasztalataink szerint sok áldozat sajnos inkább fizet, elhallgatja az incidens tényét és nem kér segítséget. A tipikus áldozat emellett a rendszereit sem szeparálta el megfelelően korábban, sem a rendszerét, sem a folyamatait nem készítette fel hasonló helyzetekre, így tudja, hogy nagyot kockáztat azzal, ha nem fizeti ki a váltságdíjat”

– mondta el a HWSW-nek a téma kapcsán Keleti Arthur, a T-Systems Magyarország IT-biztonsági stratégája, aki szerint Magyarországon a támadók most már a „kishalakra”, azaz a pármillió forintos vállalkozásokra is rámennek kisebb követelésekkel. Nemzetközi szinten inkább a pár milliárd dolláros bevételű cégek érdekesek, tízmillió dolláros bevételek fölött már van értelme foglalkozni a kiberbűnözőknek adott ügyféllel, mert minél nagyobb a bevétele, annál esélyesebb, hogy fizetni fog.

API-meetup: Háborúk és kiberhadviselés az API-k korában (x)

Ha érdekelnek a leggyakoribb támadások és a védekezés módja, gyere el június 9-i online meetupunkra!

API-meetup: Háborúk és kiberhadviselés az API-k korában (x) Ha érdekelnek a leggyakoribb támadások és a védekezés módja, gyere el június 9-i online meetupunkra!

Túsztárgyalás megkezdése előtt érdemes megvizsgálni, hogy az adott kiberbűnözői szervezetnek milyen háttere van, milyen infrastruktúra áll mögötte - emeli ki Keleti. Példaként említi, hogy korábban egy támadó a bankszektor egyik szereplőjét fenyegette meg egy masszívabb DDoS-támadással, amit „kóstolóként” egy kisebb túlterheléses támadás előzött meg. A fenyegetés ez esetben egy konkrét akció volt. A T-Systems szakértői - a kiberbűnözői mintázatok és a „kórtörténetük” alapján - ebben az esetben azt ajánlották a hozzájuk segítségért forduló ügyfelüknek, hogy készítse fel inkább a védelmét fizetés helyett, majd bebizonyosodott, hogy ez elegendő volt a további károkozások megelőzésére.

A kiberbiztonság terén történő túsztárgyalásokban még egyelőre nincsenek olyan statisztikák, bevált gyakorlatok és kriminálpszichológiai tapasztalatok, mint a hagyományos bűnüldözésben, ezért nehéz előre megmondani, hogy milyen taktika hozhat jobb eredményt, kik fognak végül kedvezményt adni és tartják be a szavukat. A kiberbűnözői technikák és a kibertér környezete is folyamatosan változik. Gondoljunk csak arra, hogy az éppen zajló kiberháború felszínre hozta a kibervédelmi zsarolást ideológiai alapon, ahol a tárgyalás is más alapokról indul. Sok tárgyalásnál voltak már jelen a szakemberek tanácsadóként, így kijelenthető, hogy bizonyos pontig, közösen fel tudnak építeni profilokat az ismertebb kiberbűnözői csoportokról, de túl nagy találgatásokba felesleges bonyolódni velük kapcsolatban.

A cél, hogy minden simán menjen


Változó, hogy a túszejtővel milyen csatornán keresztül tárgyalhatnak a szervezet képviselői, a kiberbűnözőknek legtöbbször vannak erre a célra rendszeresített platformjaik - emeli ki Kovács Zoltán, a T-Systems kibertámadás esetén azonnal mozgósítható SWAT csoportjának operációs vezetője, aki szerint népszerűek még az anonim csetelésre lehetőséget adó szolgáltatások is. A túszejtőkkel való tárgyalás sok esetben meglehetősen gördülékeny, akár még kellemes élmény is tud lenni a maga bizarr módján a támadók „segítőkészsége”, illetve meglepően udvarias modora miatt.

Keleti szerint mivel a kiberbűnözők fő érdeke, hogy minden a terv szerint alakuljon, ezért az áldozat kezét is szívesen vezetik, akár olyan szintig, hogyan tud bitcoint szerezni, amivel fizethet. Szakmai körökben vitatott, hogy a követelés teljesítése után mekkora eséllyel kapják meg az ügyfelek a kért megoldást, ami sokszor nem is abban a formában érkezik, ahogy korábban megígérte a másik fél. Továbbá, ha küldenek egy feloldókulcsot vagy szoftvert, még nem jelenti azt, hogy a cégtől megszerzett adatokat nem fogják eladni vagy értékesíteni az internetes feketepiacokon.

crowdstrikeransomw

„Tapasztalatunk szerint az áldozatok leginkább a működésük visszaállítása érdekében tesznek eleget követeléseknek, és nem gondolkodnak el azon, hogy a megszerzett adataikkal mi lesz a továbbiakban. Sokszor történik meg, hogy ha nem hajlandóak fizetni, a zsarolók a második szintre lépnek, és az adatok eladásával fenyegetőznek. Arra is volt példa, hogy valaki sikeresen kivédett egy támadást – a vírussal nem sikerült megakasztani a mindennapi működésüket – de jelentős mennyiségű adatot loptakel tőlük. Utána a bűnözők előhúzták a kártyát, hogy az adatok attól még náluk vannak és ezért kértek váltságdíjat. Ezen a téren a kiberbűnözők kreativitása nem ismer határokat. Láttunk már elárverezett adatokat is, ahol a legmagasabb árat kínálók hozták el a cégek adatát és olyan is létezik, hogy a kiberbűnözők nemfizetés esetén részlegesen vagy teljesen nyilvánosságra hozzák az adatokat” – meséli Keleti.

Kovács kiemeli a jelenlegi trendek közül az utóbbi időben darkneten divattá vált „wall of shame” szégyenfalat, ahol a zsarolócsapatok közzéteszik azoknak az ügyfeleknek az információit, akik nem fizettek. Ezeket az adatokat aztán más rosszakarók saját céljaikra használhatják fel, további támadások előkészítéséhez. Ezért a szervezeteknek azt is mérlegelniük kell, hogy milyen esetleges károkat okozhatnak a kikerült céges szerződések, belsős dokumentumok.

Az üzlet az üzlet


A zsarolók elsődleges jellemző motivációja továbbra is a pénzügyi haszonszerzés. Bár az utóbbi időben például a Lapsus$ csoport kapcsán látni lehetett eddig szokatlan követeléseket, többek közt, amikor az nVidiától firmware-frissítés révén bizonyos GeForce videókártyákba épített bányászlimiter kiiktatását kérték, de az főleg a támadók fiatal életkorának számlájára írható Kovács szerint. Új módszerek viszont előtérbe kerülhetnek olyan téren, hogy a támadók milyen egyéb más módon próbálnak majd fájdalmat okozni áldozataiknak, ilyen a már említett darknetes szégyenfal is.

Keleti szerint az orosz-ukrán háború is sok olyan perspektívát hozott be, ami korábban nem volt annyira hangsúlyos. Korábban az ideák mentén történő támadásokat a hacktivizmus kategóriájába sorolták a szakértők, az elmúlt időszakban viszont láthatóbbá váltak a jellemzően aktivisták által használt, nyílt forráskódú protestware-ek, amelyekkel szintén valamilyen állásfoglalást próbál kifejezni a szoftver készítője. Például egy orosz környezetben futtatott kód másként viselkedik, mint amúgy, tartalmakat töröl, vagy egyáltalán nem működik. Egyre több kiberbűnöző él azzal a módszerrel is, hogy a nagy cégek alkalmazottait próbálja megkeresni egy ígérettel, hogy olyan adatokat és információkat kérjen, melyek felhasználásával be tud férkőzni adott szervezet rendszerébe.

A belsős segítségek kiaknázása korábban is jelen volt főleg anyagi okokból, most már az ideák mentén is megjelenik egy hacktivista-szerű gondolkodás. Például egy alkalmazottat úgy próbál meggyőzni a kiberbűnöző, hogy ha azonos értékeket vall (mondjuk a háború kapcsán), és elítél bizonyos dolgokat, akkor segítsen neki bizonyos hozzáférésekkel.

Persze nem ez lesz főleg jellemző, de úgy sejtem, hogy a háború folytatásával, illetve kiszélesedésével megnőhetnek a nem feltétlen pénzhez, hanem helyzethez fűződő támadások, ahol akár az is felmerülhet követelésként egy adott cég felé, hogy például vonuljon ki Oroszországból, hagyjon fel bizonyos tevékenységével vagy teljesítsen egy konkrét – nem feltétlen gazdasági gyökerű – követelést. Ezekre a helyzetekre a cégeknek, szervezeteknek kell rendelkeznie forgatókönyvekkel és szakértői háttértámogatással

– mondja a biztonsági stratéga.

Ki a jó áldozat?


Nem csak a szégyenfalak fontos adatbázisok a jól szervezett kiberbűnözői közösségekben. A hackerek az áldozatokat is értékelik, a csoportok egymás közt adnak-vesznek adatbázisokat, amik információkat tartalmaznak arról, hogy kiket könnyebb támadni és egyes feleknek milyen a hajlandóságuk a fizetésre (mert akár korábban már többször is megtették). A kiberbűnözők ugyanis szívesen járnak vissza azokhoz, akik korábban már kinyitották a tárcájukat – nem véletlenül nem ajánlja az FBI és a szakértők sem a váltságdíj kifizetését, mert a siker még további támadásokra bátoríthatja az elkövetőket, hiába feltételezi szívesen egy cég, hogy utána békén hagyják őket.

De más tényezőket is mérlegelnek: korábban mennyit fizetett adott áldozat, milyen nagyságrendben lehet tőle követelni, mennyire könnyű végrehajtani ellene támadást, hozzáférni bizonyos hozzáférési vagy felhasználói adataikhoz. Az áldozattá válás kiváló mérőszáma az is, hogy adott szervezetnek mennyi adata került ki már a netre. Ezekben az adatbázisokban az is szerepelhet, hogy a célpont milyen típusú módszerre érzékenyebb, legyen az doxxing, ransomware, vagy más típusú módszer. Kitettségi vizsgálattal egyébként felmérhető, hogy egy adott vállalatnál mit találnának a kiberbűnözők, ha élesben lendülnének akcióba – emeli ki Kovács.

Keleti szerint egyes információkat különösen egyszerű összeszedni, amikor valaki áldozat után kutat: ha egy adott szervezet közép-felső vezetőjének mondjuk kiszivárog az egyébként rendkívül gyenge LinkedIn-jelszava, és azt sikerül hozzákapcsolni a személyhez, akkor könnyen kideríthető, hogy hol dolgozik, sőt a jelszóképzési szokásait, viselkedési mintáit is látják már, így könnyű bejutási ponttá válhat adott szervezethez.

Továbbra is elengedhetetlen a felkészültség


Az NCC Group alá tartozó Fox-IT kiberbiztonsági cég kutatói több mint 700 tárgyalást vizsgáltak meg, hogy elemezzék a digitális zsarolások mögött álló ökoszisztémát. A tavaly közzétett jelentésük egyik fő megállapítása, hogy kifejezetten rosszat tesz a váltságdíj csökkentésére irányuló ajánlatoknak, ha a támadók tudomására jut, hogy az áldozatnak van kiberbiztosítása. Ebben az esetben kisebb eséllyel fognak kedvezményt adni, legalábbis nem mennek a biztosítás értéke alá. Sőt, ha az áldozat próbálja azt hazudni, hogy fizetésképtelen, a támadó visszavághat azzal, hogy a biztosítása fedezheti a költségeket. A szakértők ennek elkerülése érdekében azt ajánlják, hogy a szervezetek sose tároljanak biztosításhoz fűződő dokumentumokat hozzáférhető szervereiken. Tovább bonyolítja a helyzetet, hogy a biztosítás ténye még nem jelenti azt, hogy valakinek pontosan mire van fedezete, tehát előfordulhat, hogy a zsaroló úgy képzeli, hogy az áldozatnak fizet a biztosító, de valójában nem is létezik ilyen fedezet.

Bill Siegel, a zsarolóvírusos támadásokról információkat gyűjtő, áldozatok számára segítséget kínáló Coveware szakértője egy korábbi interjúban kihangsúlyozta, hogy az idő különösen fontos tényező, mivel egy órás leállás is milliós kieséseket jelenthet profitban, kórházaknál pedig konkrétan emberéletekben mérhető. Kurtis Minder, a GroupSense vezetője szerint a kiberbűnözőkkel nem érdemes úgy beszélni, mintha rosszfiúk lennének, üzleti partnerekként kell kezelni őket. A rutintalan, frusztrált vezetők meggondolatlanul fenyegetőzésbe kezdhetnek. A megbízott tanácsadók feladata, hogy elérjék a váltságdíj csökkentését, és rendezzék a fizetéseket. A profi és udvarias stílus esetenként akár a váltságdíj kétharmad részének elengedéséhez is hozzájárulhat.

Ma már nem ritka, hogy a támadók azzal próbálják meg gyors fizetésre kényszeríteni az áldozatokat, hogy valamilyen határidővel az adataik kiszivárogtatását ígérik, ám a szakértők szerint jellemzően hajlandóak tárgyalni a kiszabott határidő meghosszabbításáról, mivel végső soron az ő érdekük is a pénzszerzés. A szakértői segítség azért is ajánlott, mert a bitcoinvásárlás és küldés során is bakik történhetnek, ami még többe kerülhet a vállalatnak. Egy tárgyalás ritkán végződik azzal, hogy a túszejtők a teljes követelést elengedik, de a siker akár száz és ezer millió dolláros különbségekben mérhető egy nagyvállalat esetén. Nagy trend az is, hogy mivel a ransomware-as-serviceként azok is hozzájuthatnak szoftverekhez, akiknek egyébként nem annyira fejlett a technikai tudásuk, ezért könnyebben lépnek be olyan kiberbűnözők is a piacra, akik kevésbé kiszámíthatóan viselkednek, és nem minden esetben tartják a szavukat.

A Fox-IT szakértői szerint nagyon fontos az alkalmazottak felkészítése. Fel kell őket vértezni az adathalász-kampányok részét képező e-mailek kiszűrésére, a sokat ismételt erős jelszóhasználat és kétfaktoros azonosítás is bevált gyakorlat kell legyen. Fontos lépés továbbá a bejelentési kötelezettség és a feljelentés megtétele a hatóságok és egyéb szervezetek felé, illetve érdemes figyelmeztetni a szakmai közösségek tagjait. A rendszeres biztonsági mentések készítése, a használt szoftverek naprakészen tartása és folyamatos frissítése, illetve megelőzésként a kitettségi vizsgálatok elvégzése szintén ajánlottak.

Május végén ismét 3 alkalommal jelentkezünk, lesz CI/CD, Flutter, és one-man-show is, ahol alaposan bemutatkozik a Tekton, a K8s natív pipeline.

:
a címlapról