Az utóbbi időszakban a sajtó a WannaCry vírustól volt hangos, ami szokatlanul gyorsan és nagy területen terjedt el. A kibertámadás május 12-én indult, első célpontja a brit állami egészségügyi szolgálat, az NHS volt, amely informatikai rendszerét 46 angliai és skóciai körzetben állította le a kártevő. A vírus csak az első három órában 11 országban csapott le, és rövid idő alatt több mint 200 ezer áldozatot szedett, 150 országot érintve. A legtöbb támadás Spanyolországot, Oroszországot és Nagy-Britanniát érte, de magyar cégek hálózatára is eljutott, például a Telenoréra.
Támadásoknak kitéve
Ez a mostani eset is jól mutatja, hogy sokkal többen vagyunk kitéve ilyen támadásoknak, mint gondolnánk – mutatnak rá az Ace Telecom szakértői. Elég, ha egy munkatársunk megnéz egy cuki videót vagy megnyit egy fertőzött Powerpoint-prezentációt, ráadásul a kártevő sokszor hetekig, hónapokig rejtőzködik hálózatunkban, mielőtt működésbe lép, és zárolja a számítógépen, hálózaton tárolt adatainkat. A WannaCry első körben 300 dollár váltságdíjat követel áldozataitól. De mit tehetünk annak érdekében, hogy egy, a WannaCry-hoz hasonló zsarolóvírus ne szerezhesse meg a családi fotóinkat, a kedvenc videógyűjteményünket vagy a vállalatunk teljes pénzügyi elszámolását és banki adatait?
Két adatvédelmi megoldás is a rendelkezésünkre áll. Az első az adatmentés (backup), amely teljes védelmet garantál a zsarolóvírusokkal szemben. Vannak olyan egymástól független mentési rendszerek, amelyek a legszigorúbb előírásoknak is megfelelnek. Csak azt kell eldönteni, milyen gyakorisággal mentsük adatainkat: naponta vagy esetleg óránként? Az adatmentés funkcióval fertőzés esetén a fájlok maradéktalanul visszaállíthatók a legutolsó mentett verzióra, hiszen a zsarolóvírus a felhőben tárolt backup adatainkhoz nem tud hozzáférni. A másik, vállalati megoldás a telephelyi védelem, amely 70-90 százalékos védelmet biztosít. Ebben az esetben egy megfelelő tűzfal minden, a rendszeren áthaladó fájlt megvizsgál, és ha veszélyesnek találja, nem engedi a letöltését. Amennyiben a szerverünk ilyen védelemmel van ellátva, biztonságban érezhetjük az adatainkat, hiszen a nagy szolgáltatók sokszor már nulladik napi védelmet is garantálnak – állítják az Ace Telecom szakemberei.
Szükséges a gyakori hibajavítás
A WannaCry esete többek között arra is felhívta a figyelmet, hogy a vállalatoknak nagyobb figyelmet kell fordítaniuk a hibajavítások telepítésére, hiszen a legtöbben elkerülhették volna a helyzetet, ha naprakész megoldásokat használnak. A patchek folyamatos kezelése idő- és erőforrás-igényes feladat, amely azonban a Novell szerint a megfelelő eszköz használatával lényegesen leegyszerűsíthető. A ransomware egyébként a Windows operációs rendszer EternalBlue kódnéven ismert sebezhetőséget használta ki, amelyre a Microsoft már 2017 márciusában kiadta a hibajavítást. A vírus ennek ellenére azért szedhetett rengeteg áldozatot, mert sok vállalatnál nem telepítették a frissítést.
A mindennapi munkához egy-egy szervezetnél számtalan különféle rendszert és szoftvert használnak, amelyekhez napi szinten érkeznek hibajavítások. Ezeket az informatikai szakemberek először tesztelik, hogy a frissítés után is valóban megfelelően működnek-e a megoldások. Majd telepíteniük kell a javítást minden egyes rendszeren és végponton, ahol az adott szoftvert használják. Mindez időigényes feladat, ráadásul a működésben is kiesést okoz. Ezért számít bevett gyakorlatnak, hogy a szervezeteknél nem gondoskodnak azonnal a patchek kiosztásáról. Ezzel viszont a biztonságot áldozzák fel az időtakarékosság és az üzletfolytonosság oltárán. Léteznek azonban olyan automatizált javításkezelési megoldások, amelyek megkönnyítik a hibajavítások kezelését. Egy patchmanagement szoftver segítségével a vállalatok automatizáltan telepíthetik a hibajavításokat, a program ráadásul a munkaállomások állapotáról is képes átfogó jelentést készíteni, s a biztonsági kockázatok elemzésére is alkalmas.
A szálak Észak-Koreába vezetnek
De honnét is indult ki a támadás? A világ két elismert kiberbiztonsági cége, az orosz Kaspersky és az amerikai Symantec bizonyítékokat talált arra, hogy a WannaCry nevű kártevő a Lazarus csoport néven ismert észak-koreai kiberbűnözői bandához köthető. Vizsgálódásaik során mindketten arra a következtetésre jutottak, hogy a WannaCry-kód korábbi verziójának technikai részletei hasonlóságot mutatnak azzal a kóddal, amelyet 2015-ben a phenjani kormány által támogatott észak-koreai hackerek használtak úgynevezett hátsó kapus támadásra.
A kelet-ázsiai diktatúra már eddig is egy sor profi kibertámadás értelmi szerzőjének és kivitelezőjének bizonyult. 2014-ben például a hollywoodi Sony Pictures filmstúdiót kényszerítették térdre, nagy valószínűséggel Az interjú című politikai vígjáték miatt, amelyben a főhősök merényletet kísérelnek meg Kim Dzsong Un észak-koreai vezető ellen. A hackerek betörtek a stúdió számítógépes rendszerébe, ellopták a forgatókönyvet, a teljes filmet, a belső feljegyzéseket, valamint a filmszínészekről és a Sony alkalmazottairól szóló személyes információkat. Aztán letöröltek mindent. A nyomok a Lazarus csoporthoz vezettek, s az FBI kijelentette, Észak-Korea áll az incidens mögött. 2015 elején a Fehér Ház új gazdasági szankciókat jelentett be Phenjan megbüntetésére, az intézkedések magas rangú észak-koreai tisztviselőket érintettek. A kommunista ország persze tagadta, hogy részt vett volna a betörésben.
Egy ugyancsak Észak-Koreához köthető csoportot tartanak felelősnek egy 2016 februárjában bankok ellen elkövetett támadásért is. Ekkor az elkövetők 101 millió dollárt loptak el a bangladesi jegybank New York-i Federal Reserve-nél vezetett számlájáról, és utaltak Srí Lanka-i és Fülöp-szigeteki bankokhoz. A pénz nagy része sosem került elő. Kiberbiztonsági szakértők később észrevették, hogy hasonló taktikát alkalmaztak ecuadori, Fülöp-szigeteki és vietnami pénzintézetek elleni támadásban is. Áprilisban pedig a Kaspersky rájött, hogy a Lazarus csoport tűz alá vett Costa Rica-i, etiópiai, gaboni, indiai, indonéziai, iraki, kenyai, malajziai, lengyel, tajvani, thaiföldi és uruguayi bankokat is. A célpontokhoz a kiberbűnözők tekervényes utat választottak: támadó kódot Franciaországban, Dél-Koreában és Tajvanon felállított szervereiken küldték el. Egy apró hibát azonban elkövettek: az elemzők észleltek egy rövid ideig fennálló észak-koreai kapcsolatot is.
Parkolók bénultak meg
A G Data kiberbiztonsági cég információi szerint Németországban fizetős teremgarázsokat bénított meg a WannaCry zsarolóvírus, miután bejutott fizetési rendszerükbe. A sorompók sokáig nyitva voltak, a forgalom ellenőrizetlenül zajlott. A teremgarázsok irányításának megbénulása azért is jelent problémát, mert az autósok így a szabad parkolóhely nélküli garázsokba is behajtanak, és forgalmi dugók alakulhatnak ki. Ugyanakkor még mindig nem egyértelmű, hogy a WannaCry hogyan terjedt el ilyen gyorsan. Az bizonyosan közrejátszott, hogy a Windows fájlmegosztási protokolljában lévő sérülékenységet az internetszolgáltatók jellemzően nem szűrik ki. Ez megkönnyítette a zsarolóvírus átterjedését azokra az internetre kötött gépekre, amelyeken engedélyezve van a szolgáltatás.