Virágkorukat élik a számítógépeket lebénító és a fontos dokumentumokat titkosító zsarolóprogramok, amelyek az eredeti állapot visszaállításáért váltságdíjat kérnek a pórul járt otthoni és vállalati felhasználóktól. Régóta léteznek kifejezetten rombolási célra kifejlesztett vírusok. Élénken él az emlékezetemben például a jó öreg OneHalf, amely egy, a szerkesztőségbe eljuttatott hajlékonylemezzel fertőzte meg a PC-met. Fokozatosan titkosította a merevlemez szektorait, először csupán egyes dokumentumokat téve elérhetetlenné, majd amikor már a szövegszerkesztőt sem lehetett elindítani, szakértőt kellett hívni az eltávolításához. Akkoriban ez a vírusírók számára csak jó móka volt, manapság azonban már minden a pénzről szól.
2015-ben kezdtek tömegesen terjedni a zsarolóprogramok, főként annak eredményeképpen, hogy az alvilági fórumokon széles körben elérhetővé váltak a pénzszerzési céllal indított kibertámadások végrehajtásához szükséges ransomware-eszközkészletek. Az Enterprise Strategy Group (ESG) tanulmánya szerint a zsarolóprogramokkal elkövetett hackertámadások egyre fejlettebb taktikákat, módszereket és eljárásokat használnak a védelmi rendszerek megkerülésére. Bár kritikus mivoltuk miatt az egészségügyi intézmények ellen elkövetett zsarolóvírus-támadások kapják a legnagyobb publicitást, a hackerek célkeresztjében éppúgy megtalálhatók az oktatási intézmények, valamint a köz- és magánszféra legkülönfélébb vállalatai. A váltságdíj legfeljebb néhány tízezer dollárig terjed, de inkább ennél alacsonyabb, vagyis a kiberbűnözők a gyorsan behajtható, viszonylag kisebb összegeket részesítik előnyben.
Ugyanolyan módszerekkel terjesztik őket, mint a többi programkártevőt. A támadás emberi vagy szoftversebezhetőség pszichológiai módszerekkel, illetve speciális kóddal való kihasználásával kezdődik, ezt követi a rosszindulatú program számítógépre juttatása, telepítése és futtatása, majd a kapcsolatfelvétel a vezérlőszerverrel. A fejlett zsarolóprogramok oldalirányú mozgásokat is végeznek a megfertőzött hálózatban, melynek során törlik a biztonsági másolatokat, valamint hozzáférést szereznek a kritikus fontosságú vállalati adatokhoz és szolgáltatásokhoz.
Korunk legveszélyesebb kiberfenyegetéseinek egyike, a zsarolóvírusok elleni hatékony védelem a szokásos, általános jellegű óvintézkedéseken - automatikus biztonságimásolat-készítés, a biztonsági másolatok offline tárolása, rendszeres szoftverfrissítés, szigorú hozzáférés-felügyelet és az alkalmazottak biztonságtudatos szemléletének kialakítása - kívül további biztonsági erőfeszítéseket igényel. Az alábbiakban az ESG tanulmányának alapján áttekintjük azokat a speciális védelmi intézkedéseket, amelyek segítenek megóvni a vállalatokat a zsarolóvírus-támadásoktól.
Email- és webfelügyelet
A vállalatok védelmi rendszerének leggyengébb láncszemei a könnyelmű, nemtörődöm, tájékozatlan alkalmazottak, akiknek különféle pszichológiai módszerekkel való átverésével jutnak be a védett rendszerekbe a kiberbűnözők. A külvilághoz levelezőprogramokon, az interneten és a felhőben futó irodai alkalmazásokon keresztül kapcsolódó munkavállalók hatalmas, könnyedén elérhető támadási felületet kínálnak. Ezért mindenképpen meg kell akadályozni, hogy a hackerek az alkalmazottak által napi szinten használt alkalmazásokon keresztül juttassák be a zsarolóvírusokat a céges hálózatba.
Ennek érdekében mindenekelőtt azonosítani és blokkolni kell a célzott adathalász leveleket, továbbá megbízható fejlesztőtől származó, hatékony antivírusszoftverrel át kell vizsgálni az e-maileket a beágyazott vagy mellékletekben elhelyezett rosszindulatú programok, köztük a zsarolóvírusok után kutatva. A vizsgálódásnak ki kell terjednie az egyre nagyobb számban használt felhős alkalmazásokra is, különös tekintettel az Office 365-re. Az ESG felmérése szerint ugyanis a vállalatok 40 százaléka a Microsoft irodai programcsomagját használja, a többi cég 64 százaléka pedig az erre való áttérést tervezi másfél-két éven belül.
Ugyancsak kiemelten fontos az alkalmazottak webes tevékenységének nyomon követése, az ismert rosszindulatú weboldalak blokkolása, valamint a végfelhasználók által kezdeményezett letöltések és meglátogatott weboldalak vizsgálata a programkártevők és a sérülékenységeket kihasználó kódok kiszűrésére. Az új és ismeretlen zsarolóvírusok azonosításához nulladik napi észlelési módszerek, sandboxing és viselkedéselemzés alkalmazása szükséges. Ezek a technikák dinamikus módon elemzik a végrehajtható állományokat, webcímeket és dokumentumokat, azt vizsgálva, mutatnak-e zsarolóvírusokra jellemző tulajdonságokat.
Minthogy a számítógépek zsarolóvírusokkal való megfertőzése főként e-maileken és weboldalakon keresztül történik, fontos megjegyezni, hogy a fentebb tárgyalt óvintézkedések foganatosítása feltétlenül szükséges a zsarolóprogramok elleni sikeres védekezéshez.
Alkalmazásfelügyelet és viselkedéselemzés
Mivel 100 százalékos szűrési hatékonyság nem létezik, előfordulhat, hogy egy szoftveres vagy emberi sebezhetőség kihasználásával mégis zsarolóvírussal fertőződik egy vállalati számítógép. Ekkor vehetjük jó hasznát a végpontvédelmi funkcióknak, amelyek megakadályozzák a támadás továbbterjedését. Ezek egyik fontos eleme az alkalmazásfelügyelet, amely az úgynevezett fehér- vagy feketelisták révén csak a hitelesített, ismert szoftvereket engedi futtatni a számítógépen, megakadályozva ezáltal, hogy egy, a rendszerbe bejutott zsarolóvírus elindulhasson, és megkezdje káros tevékenységét. Ugyancsak hatékonyan használható a sandboxos dinamikus elemzéssel együtt alkalmazott viselkedésmonitorozás, amely azonosítja a zsarolóprogramokra jellemző viselkedést, többek között a fájlok módosításának (tömörítésének és titkosításának) szándékát, valamint a hálózati meghajtók feltérképezését és elérését.
Aktivitásuk figyelése kiterjed a hálózati kapcsolatokon keresztüli oldalirányú mozgási kísérletekre is. Gyanús hálózati tevékenység észlelése esetén következik a kimenő és bejövő forgalom blokkolása. A népszerű végfelhasználói programok (például az Adobe Flash) nem javított nulladik napi sérülékenységeinek kihasználását akadályozza meg hatékonyan a virtuális foltozás funkció, amely viselkedésükről felismeri a kihasználó kódokat, és blokkolja őket.
Hálózatalapú és szerveroldali védelem
Bár a végpontokon alkalmazott behatolásfigyelés az első lépés a zsarolóprogramok oldalirányú mozgásainak észlelésére, a hálózatalapú védelem hivatott megakadályozni, hogy a támadás átterjedjen más végpontokra és a szerverekre. Ennek képesnek kell lennie a fizikai és virtuális hálózati szegmenseken folyó, a legkülönfélébb protokollokat használó kétirányú forgalom monitorozására.
Az ismert zsarolóprogramok minta-összehasonlítás, reputáción alapuló értékelés és szkriptemuláció kombinációjával azonosíthatók a rosszindulatú fájlok, kihasználó kódok és a vezérlőszerverrel való kommunikáció vizsgálata során. Az ismeretlen programkártevők és a nulladik napi sérülékenységeket kihasználó kódok esetében a sandboxos elemzés vezethet eredményre, amely a zsarolóprogramokra jellemző fájlmódosítási szándékot és más gyanús viselkedéseket igyekszik felkutatni. A tűzfalakkal, a webes és email-átjárókkal, valamint a végpontvédelemmel való integráció révén lehetővé válik a fenyegetésekkel kapcsolatos információk megosztása az egyes védelmi rétegek között, ami felgyorsítja az észlelést és hatékony reagálást.
A szerver-munkafolyamatok által kezelt adatok gyakran igen kritikus fontosságúak a vállalatok számára, ezért a megvédésükre ugyancsak figyelmet kell fordítani, mivel léteznek szerveroldali zsarolóvírusok is. Az ismert rosszindulatú programok kiszűrésére irányuló vírusszkennelés mellett szükség van a rendszeraktivitás folyamatos monitorozására is a normál működéstől eltérő, zsarolóprogram-tevékenységekre utaló anomáliák - ismeretlen folyamatok, fájlrendszer-módosítások - észlelése érdekében. A szerveroldali zsarolóprogramok ugyancsak megpróbálkoznak az oldalirányú hálózati mozgásokkal és a vezérlőszerverükkel való kapcsolatfelvétellel. Ezeknek a tevékenységeknek az észleléséhez monitorozni kell a bejövő és kimenő hálózati forgalmat a szokásostól eltérő kommunikáció nyomai után kutatva.
