Az ipar a zsarolóvírusok célkeresztjében

A zsarolóvírusok (ransomware-ek) továbbra is az egyik legsúlyosabb kiberfenyegetést jelentik a vállalatok és szervezetek számára világszerte. Legyen szó az egészségügyről, vagy az agrár-élelmiszeriparon át az elektronikai gyártásig, bármely ipari- vagy szolgáltatási ágazatról, megfelelő védelmi intézkedések nélkül senki és semmi sincs biztonságban. A fertőzések pusztító hatásúak lehetnek, a helyreállítás pedig nehéz és hosszadalmas folyamat.

Ha egy zsarolóprogram bejut egy számítógépre vagy szerverre, titkosíthatja a tárolt adatokat vagy akár zárolhatja az operációs rendszert. Mindemellett fennáll az adatlopás kockázata is. Természetesen ez nem csak az irodai alkalmazottak számítógépeit érinti, a kiberbűnözők támadásukkal teljes szolgáltatásokat vagy gyártósorokat, vezérlőközpontokat tehetnek működésképtelenné.

Amint a zsarolóvírus „túszul ejti az adatokat”, váltságdíjat követel a hozzáférésért. A váltságdíj összege széles skálán mozog, és többnyire az áldozathoz igazodik, vagyis az adatok vélt értéke és a megtámadott cég pénzügyi helyzete alapján határozzák meg. A legutóbbi váltságdíj követelések elérték a 25 millió dollárt is. A hatóságok ugyanakkor nem bátorítják a károsultakat a váltságdíjak kifizetésére, hiszen a fizetés nem garantálja a fájlok visszaszerzését.

A helyzet súlyosságát jelzi, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA), a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI), valamint az Egyesült Államok Titkosszolgálata (USSS) összefogva, közös ajánlást tett közzé a létfontosságú iparágak számára, hogy segítsék a támadások megelőzését, valamint a károk enyhítését.

Míg 2021-ben összesen mintegy 400 vállalatot érintett világszerte a „Conti” kiberbűnözői csoporthoz köthető bejelentett ransomware támadások száma, addig 2022 év elejére ez a szám már elérte az 1000-es nagyságrendet, és folyamatosan növekszik. A legutóbbi áldozatok közül érdemes kiemelni a japán elektronikai gyártó óriást, a Panasonicot, amelyet idén februárban támadtak meg, illetve a Nordex európai szélturbina-gyártó óriáscéget, amit márciusban. De indítottak már támadásokat olajterminálok, gyógyszeripari vállalatok, élelmiszergyártók, IT-szolgáltatók és mások ellen is. Az áldozatok között olyanokat találhatunk, – a teljesség igénye nélkül, – mint Írország Nemzeti Egészségügyi Rendszere, vagy a SEA-invest, a világ egyik legnagyobb terminálüzemeltetője (25 kikötőben tevékenykedik két kontinensen), a CS Energy, Ausztrália legnagyobb áramszolgáltatója, vagy az iTCo új-zélandi illetőségű informatikai szolgálatatásokat nyújtó vállalat.

Ha el akarja kerülni, hogy zárolt laptopok, szerverek vagy titkosított fájlok tömkelege előtt találja magát, fontos, hogy felkészült legyen. Miután számítógépes rendszereit már megtámadták, túl késő a megfelelő védelem kialakításához.

Hogyan épül fel a Conti zsarolóvírus támadása?

A Conti-csoport tagjai többnyire személyre szabott, megtévesztő adathalász e-mail linkeken, vagy csatolmányokon keresztül jogosulatlan hozzáférést szereznek az áldozatok hálózataihoz, illetve lopott, vagy gyenge jelszóval védett távoli asztal hozzáférések (RDP - Remote Desktop Protocol) hitelesítő adatainak segítségével lépnek be a vállalati hálózat infrastruktúrájába.

A fentiek mellett a Conti fegyverként használja a Word dokumentumokba beágyazott PowerShell szkripteket, a támadás kezdeti szakaszában, a célzott támadások végrehajtására tervezett Cobalt Strike távoli hozzáférési eszközt Word dokumentumokon keresztül állítják be.

Az API kommunikáció terjedésével könnyen célponttá válhatnak ugyanakkor az API hívások is, melyek rakományába (payload) ágyazott XSS vagy Injection típusú támadások segítségével szintén el lehet érni rosszindulatú kódok futtatását a megtámadott rendszereken.

Ezt követően az Emotet moduláris malware-t is elhelyezik a hálózaton, amit elsősorban más malware-változatok, például a TrickBot és az IcedID letöltésére használnak, így szerezve további hozzáféréseket a zsarolóvírus telepítéséhez.

A behatolók átlagosan négy nap és három hét közötti időtartamban figyelhetők meg az áldozat hálózatán belül, a zsarolóprogram telepítése előtt. Ezalatt elsősorban dinamikus link könyvtárakat (DLL) használnak a vírus terjesztéshez.

Először a hálózaton már rendelkezésre álló eszközöket használják, majd szükség szerint olyan további eszközöket vonnak be, mint pl. a Windows Sysinternals és a Mimikatz, hogy növeljék a jogosultságokat, és oldalirányban mozogjanak a hálózaton, mielőtt kiszivárogtatják vagy titkosítják az adatokat. Miután a támadók telepítették a zsarolóvírust, továbbra is a hálózatban maradhatnak…

Hogyan védekezzünk?

A fent említett ajánlás alapján a következő megelőző intézkedéseket tartjuk fontosnak:

Multifaktoros hitelesítés (MFA) megkövetelése

• Alkalmazzunk multifaktoros hitelesítést a hálózati erőforrások távoli hozzáféréséhez.

A hálózat szegmentálásának megvalósítása és forgalmának szűrése

• Az egyes hálózatok és funkciók közötti mikroszegmentáció megvalósítása és biztosítása elengedhetetlen a zsarolóvírus terjedésének csökkentése érdekében. Ezek kialakításakor kiváló támpontot jelent az amerikai Nemzeti Szabványügyi és Technológiai Intézet (NIST) Zero Trust témájú publikációja (NIST SP 800-207). Hozzon létre egy demilitarizált zónát, amely megakadályozza a szabályozatlan kommunikációt a hálózatok között.
• Szűrje a hálózati forgalmat, ezzel is tiltva a be- és kilépő kommunikációt az ismert rosszindulatú IP-címek felé.
• Használjon erős spamszűrőket, ezzel megakadályozva az adathalász e-mailek eljutását a végfelhasználókhoz.
• Vezessen be egy felhasználói képzési programot, hogy a felhasználók felismerjék a rosszindulatú weboldalakat, illetve e-maileket és mellékleteiket.
• Szűrje a futtatható fájlokat tartalmazó e-maileket, hogy azok ne jussanak el a végfelhasználókhoz.
• Vezessen be URL-blokkoló és engedélyezési listákat annak megakadályozására, hogy a felhasználók elérjék a rosszindulatú weboldalakat.

Az operációs rendszerek és szoftverek naprakészen tartása

• Állítsa be az antivírus/antimalware programokat úgy, hogy rendszeresen vizsgálják át a hálózati eszközöket naprakész szignatúrák használatával.
• Frissítse rendszeres időközönként a hálózati eszközök operációs rendszereit, alkalmazásait és firmware-eit.
• Fontolja meg egy központi patch kezelő szoftver használatának bevezetését.

Felesleges alkalmazások eltávolítása és rendszeres ellenőrzések végzése

• Távolítson el minden olyan alkalmazást, amelyet a napi működéshez nem tart szükségesnek. A Conti támadók legális alkalmazásokat, például távfelügyeleti szoftvereket és távoli asztal hozzáférést biztosító eszközöket használnak fel a bejutásra.
• Vizsgáljon meg minden engedély nélküli szoftvert, különösen a távoli asztal elérésre vagy távfelügyeletre használtakat.
• Vezessen be alkalmazásengedélyezési listákat, amelyek csak az ismert, és a szervezet biztonsági házirendjében szereplő programok futtatását engedélyezik a vállalat rendszerein. Vezessen be szoftverkorlátozási házirendeket (SRP-ket), vagy más felügyeleti eszközöket, amelyek megakadályozzák, hogy a programok olyan helyekről fussanak, amelyek gyakran a zsarolóvírusok futtatásának kiindulópontjai: például a népszerű internetböngészőket, vagy a kitömörítést végző programokat támogató ideiglenes mappák. Itt jegyeznénk meg, hogy a megfelelő házirendek kialakítása szintén részét képezi a manapság méltán népszerű (feljebb már említett) Zero Trust szemléletnek.
• Akadályozza meg a rosszindulatú kódok futtatását az e-mailen keresztül továbbított Microsoft Office fájlokban található makró szkriptek letiltásával. Fontolja meg az Office Viewer szoftver használatát az e-mailben továbbított Microsoft Office fájlok megnyitásakor a Microsoft Office csomag „teljes” alkalmazásai helyett.

Távoli hozzáférés korlátozása, különös tekintettel a távoli asztal hozzáférések (RDP) korlátozására

• A kockázatok felmérése és mérlegelése után, ha az RDP-t operatív szempontból szükségesnek ítélik, korlátozza a kiinduló forrásokat, és írjon elő többfaktoros hitelesítést.

Felhasználói fiókok biztonságossá tétele

• Rendszeresen ellenőrizze a privilegizált felhasználói fiókokat, és konfigurálja a hozzáférés-szabályozást a lehető legkisebb jogosultság (least privilege) és a feladatok szétválasztásának elve alapján.
• Rendszeresen ellenőrizze a naplófájlokat annak érdekében, hogy a létrejött új fiókok valós és legitim felhasználókhoz köthető hozzáférések legyenek.

Összefoglalás

A Conti vagy más zsarolóvírusok által okozott károk valódi fenyegetést jelentenek a teljes ipari és szolgáltatói szegmens számára. Előfordulhat, hogy a támadók, rosszindulatú szoftverek már bejutottak a hálózatunkba. Egy kiterjedt támadás elleni felkészülésnek sokrétűnek és következetesnek kell lennie, ma már nem elegendő csupán egy tűzfal a határvédelemre.

A fenti ajánlások alapján jól látható, hogy a védekezés a teljes informatikai infrastruktúrát érinti. Többfaktoros azonosítást kell alkalmaznunk legalább a kritikus hozzáférési pontokon. Górcső alá kell vennünk a felhasználók hozzáféréseinek kezelését, különös tekintettel a privilegizált (kiemelt jogosultságú) felhasználókra, melyben segítségünkre lehetnek az IAM (Identity and Access Management) és PAM (Privileged Access Management) megoldások.

A megfogalmazott védelmi ajánlások nagyobbik részén könnyen felismerhető, hogy azok részei egy tágabb értelemben vett szemléletnek, az ún. Zero Trust (ZT) koncepciónak. Éppen ezért folyamatosan dolgozni kell a ZT minél teljesebb körű megismerésén és bevezetésén, mely során fontos szerepet kap többek között a mikroszegmentáció (ezzel is akadályozva a támadók laterális mozgását), valamint a központi menedzsment és házirendkezelés is. Mindezek mellett a vírusvédelem, a tartalomszűrés, valamint a hálózati forgalom protokoll és applikációs szintű folyamatos szűrése és monitorozása sem szorulhat háttérbe.

Ha kérdése van a fentiekkel kapcsolatban, forduljon hozzánk bizalommal!

Photo by Clayton Cardinalli on Unsplash