Informatika

A zsarolóvírussal támadók nem hazudhatnak

Miután a médiában egyre zavarba ejtőbb (számomra befolyásolt tartalmúnak tűnő) cikkek jelentek meg a VBÜ Zrt. rendszereinek feltörése kapcsán, a mai nappal lekerült az INC Ransom listájáról a VBÜ Zrt., mint megtámadott szervezet és elérhetetlenné váltak az általuk(?) jogellenesen megszerzett és publikált dokumentumok is.

Utóbbi jelenség különösen izgalmas annak fényében, hogy néhányan azokat maszkolás nélkül elérhetővé tették az online tartalommegosztó felületeken, ezzel a minősített adatok tovább élő forrásává válva. De a rövid kis gondolatmenetem most nem erre irányul, hanem arra, hogy mennyire megszokott, hogy valaki fel- vagy lekerüljön egy ilyen „adatbázis” kapcsán.

Bármennyire meglepő, a zsarolóvírus támadások szervezői és a megtámadott, zsarolt fél közötti kommunikáció néhol megismerhető, így betekintést lehet nyerni a váltságdíj csökkentését célzó tárgyalások dinamikájába. A zsarolókkal megfelelő tárgyalási technikát alkalmazva – általában – az eredetileg kért felének a közelébe le lehet vinni a váltságdíjat.

De előfordul, hogy valakinek például van biztonsági mentése, viszont néhány napnyi adat így is elveszne. Ilyenkor az összeg (ami azért minden esetben minimum tízezer dolláros nagyságrendű) akár a tizedére is leeshet.  Már vannak olyan szereplői is a piacnak, akik kifejezetten az ilyen tárgyalások lebonyolítását vállalják.

Ahogy korábban említettem, a zsarolóvírus támadók egy védett kommunikációs csatornát hoznak létre a kriptovalutában követelt váltságdíj megfizetésének intézésére. A tárgyalások megkezdése előtt általában ellenőrzik, hogy a másik fél fel van-e jogosítva a cég képviseletére, majd közlik a váltságdíj mértékét.

A váltságdíjról szóló tárgyalások kezdeti szakaszában a támadó nem hozza nyilvánosságra a támadás tényét, mivel az eleve kellemetlenséget okozhatna a megtámadott vállalat tekintetében, akinek a fizetési hajlandósága még magasabb lehet annak reményében, hogy a támadásról a nyilvánosság eleve soha nem értesül.

Ezen logika alapvetően beleillik a kormányzati kommunikációba, hiszen a kormány azt jelezte, hogy nem tárgyalt a zsarolókkal, akik további nyomásgyakorlás céljából akár dönthettek úgy is, hogy néhány dokumentumot ezért közzétesznek az esetleges további nyomásgyakorlás érdekében.

Lényeges azonban, hogy a VBÜ Zrt. ügymenetét néhány nap alatt helyre tudták állítani, így ebben az esetben nem az adatok visszafejtése lehetett a fő cél a megtámadott szempontjából, hanem a támadás során megszerzett információk bizalmasságának visszaszerzése, már amennyire ez lehetséges. Az egyik felvetés szerint a támadás eleve nem is ransomware jellegű volt, és nem is az INC Ransom csoporttól érkezett, hanem más aktorok próbáltak meg a ransomware támadás álcája alatt védett információkat szerezni.

Ezt kizárni nem lehet, de szerintem fontos hangsúlyozni, hogy a támadást bizonyító dokumentumok mégis az INC Ransom darkwebes weboldalán kerültek közzétételre. Márpedig oda aligha hamisította be bárki is a támadás tényét a csoport szándéka ellenére. Egy hamis látszatkeltésben való közreműködés óriási hiba lenne a ransomware csoport részéről, ugyanis, ha betyárbecsülete nincs is, de jól felfogott érdeke van az ilyen kiberbűnözői csoportoknak az igazmondásra.

Ha ugyanis a zsaroláson alapuló piac bármely szereplője megkérdőjelezi egy ransomware csoport működését és elveszti a bizalmat abban, hogy a támadó általánosságban igazat mond és például a fizetést követően is betartja az ígéretét, senki, soha többé nem fog millió dollárokat fizetni a támadóknak. Ebbe a körbe nem férnek bele más által véghezvitt, képzelt, valótlan támadások, fiktív tárgyalások, mert azzal a hitelességük válik kérdésessé.

Éppen ezért meglepő módon a zsarolóvírussal támadóknak kifejezetten érdekében áll igazat mondani, bizonyítani és transzparenssé tenni, hogy a sikeres tárgyalások elérik a megtámadott által kívánt célt. A zsarolók egyébként általában egy szolgáltatáscsomagot ajánlanak a zsarolási összeg ellenében a megtámadottnak, ami tartalmazza a támadás metodikájának leírását, a titkosítás feloldásához szükséges lépéseket, a megszerzett fájlok törlését igazoló logokat.

Persze, előfordulhat, hogy a fizetés után esetleg nem pont olyan szolgáltatást kap a megtámadott, mint amiért fizetett. Előfordul, hogy a titkosítás néhány fájl esetében nem oldható fel, csak egy sablonszöveget adnak át a támadás metodikáját illetően, vagy épp nem adnak át törlési logokat, mert nem is készítettek. Sőt, néha még az is előfordul, hogy a később akadékoskodó céget azzal fenyegetik, hogy ha szükséges, akkor mégis megkísérelhetik visszaállítani a törölt adatokat…

Ilyen keretezés mellett, összességében meglepő lehet a VBÜ Zrt. adatainak lekerülése az INC Ransom oldaláról. Ha ugyanis a kormány mégis fizetett, akkor nyilván megkérte volna az INC Ransom csoportot, hogy ne vegye le őket listáról, továbbra is azt a látszatot keltve, hogy nem működtek együtt a csoporttal.

A másik oldalról persze az is lehet a háttérben, hogy mégis történt együttműködés, és a listáról azért „kellett” kivenni, mert ellenkező esetben a zsarolást a nyilvánosságra hozatalra (ami ebben a formában eleve egy feltételezés) be kellett volna váltani. Végezetül elképzelhető, hogy ez a zsarolási kísérlet valamilyen okból „szokatlan módon” zárult.

Összességében a lényeg talán nem is ez, hanem a tény, hogy a védett információk – így vagy úgy – illetéktelenek kezébe jutottak. A tanulság tehát az, hogy a szervezeteknek meg kell erősíteniük a védelmi rendszereiket, mert a sikeres ransomware támadás esélye csökkenthető.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

 

Ajánlott tartalom

Továbbiak:Informatika