A zsarolóprogramok továbbra is egyre nagyobb fenyegetést jelentenek, mivel minden héten új típusú csoportok bukkannak fel. Ezért összeállítok egy sorozatot, amely a zsarolóprogramok elleni támadás szakaszaira összpontosít, hogy minden lehetséges szinten betekintést nyújtsak. Ebben az első cikkben arról fogok beszélni, hogy miként találnak meg minket ezek a zsarolóprogramok és milyen módszereket vetnek be a sikeres fertőzés végett.

A rosszindulatú programok írói és a támadók számos kifinomult technikát alkalmaznak a rosszindulatú programok terjesztésére. Három általánosan használt módszer, amelyeket vizsgálok ebben a cikkben:

• rosszindulatú e-mail: csatolmányok és hivatkozások, linkek
• hirdetésen keresztüli vagy direktfertőzések
• távoli asztali protokoll támadások

Remélem tudok segíteni ezzel a cikkel, hogy a kiberbűnözők által leginkább veszélyeztetett területeken az írásban alkalmazottak segítségével csökkentsük a fertőzés kockázatát.

Leggyakoribb zsarolóvírus fertőzési módszerek

E-mail fertőzés: Ez a leggyakoribb, régi motoros módszer.

Ez a támadási forma ketté bontható, mégpedig:

• Rosszindulatú csatolmányok
• Fertőzött linkek

Mindkét opció cselekvést igényel a személytől, így itt még könnyedén megelőzhető a probléma.

A rosszindulatú csatolmányok: A támadó létrehoz egy e-mail címet, amely hasonlít egy nagyobb vállalkozáshoz vagy hivatalhoz, tehát például: futárcégtől (DPD, MPL, DHL, stb.). Ezen e-mailek többségében az áll, hogy egy csomagunk érkezett és fontos dokumentumokat kell kitöltenünk, majd visszaküldenünk az átvételhez. Különben megy vissza a feladónak és bukjuk a pénzünket, amit meglehetősen ki is emelnek. Az e-mailhez általában egy tömörített fájlt csatolnak, amely egy Word dokumentumnak néz ki, de mellette tartalmaz még Windows parancsfájl futtatási scripteket is. A fájl megnyitása követően megnyílik a Word dokumentum, amelyben valamilyen adat szerepelni fog, de javarészt nem az emailben írtakkal kapcsolatos szöveg. Ezzel párhuzamosan pedig a dokumentumban a makrók engedélyezve vannak, így a zsarolóprogram adatai automatikusan letöltésre, majd futtatásra kerülnek, ezzel megindítva a rendszer és fájljaink korlátozását.

A napokban a „bacsklima.hu” weboldal email címét sikerült feltörniük illetékteleneknek és különböző címekre kiküldeni egy számlát/díjbekérőt.

Természetesen a csatolt állomány zsarolóprogramot tartalmaz. Bács klíma értesítette ügyfeleit, hogy:

„Kedves Ügyfeleink! Kedves Látogató! A tegnapi napon sajnos cégünk adataival visszaélve többen kaptak levelet számla melléklettel. Ezeket a leveleket nem társaságunk küldte. Sajnos a melléklet vírust tartalmaz, ezért kérjük Önöket ne nyissák meg. Megértésüket előre is köszönjük. A küldött vírusos levélben lévő elérhetőségek nem valósak, kérem a telefonszámokat ne hívják”.

Konklúzió: mivel itt konkrét email címről sikerült a vírust tartalmazó fájlokat több tízezer email címre kiküldeni, így gyanítható, hogy egy gyenge jelszóval ellátott fiók volt, egylépcsős hitelesítéssel.

Hogyan előzzük meg?

• Minden esetben, ha kisebb gyanakvás is felmerül nézzük meg az e-mail feladóját. Általában az adott cég webes címével egyezőnek kell lennie a @ után. Tehát például: noreply@edigital.hu (Edigital), ugyfelszolgalat@ugyfelszolgalat.mkb.hu (MKB), support@dhl.com (DHL).
• Nézzük meg, hogy van-e megszólítás, akár keresztnevünkön.
• Ha nincs megszólítás és számlabefizetés értesítőről van szó, ellenőrizhetjük a számlázási azonosítót. Ezt minden szolgáltatónak el kell helyeznie a kiküldött e-mailben. Ha egyezik a korábbi, már befizetett azonosítóval, vélhetően nem fertőzött – kéretlen levéllel van dolgunk.
• Ha össze vannak esve a külalaki elemek és nem töltenek be a külalakhoz kapcsolódó képek, tehát pl: a cég logója, akkor valószínűleg rosszindulatú levélről van szó.

A rosszindulatú linkek: Hasonló a fentebb említett megoldáshoz, viszont itt nem konkrét dokumentum kitöltését kérik, hanem azok „ellenőrzését”. Ezek az e-mailek több esetben arról szólnak, hogy:

• Energiaiparral kapcsolatos cég, számlát állított ki (E-on, Égáz)
• Bankunk fiókjába illetéktelenek léphettek be, ellenőrizzük (OTP, Raiffaisen, PayPal, stb.)
• Nyertünk egy aukción és egy a kosárba rakott termékünket olcsóbban megvásárolhatjuk (Ebay, Aliexpress)
• Egy külföldi csomagszállítmány nem lett kézbesítve, nézd meg milyen okból kifolyólag (USPS, DHL, GLS)

Ennél a típusú linkes megoldásnál, fertőzött link megnyitását követően a weboldalról történik meg a fertőzött fájl számítógépünkre juttatása. Legyen akár Javascript vagy direkt letöltött anyag formájában (kép, szöveges fájl vagy dokumentum).

Ezek az érkező e-mailek nagy odafigyeléssel megkülönböztethetőek az eredeti vállalkozás által küldött hasonló e-mailektől. Sajnos a támadók egyre kifinomultabb módszereket alkalmaznak, így legtöbb esetben nagyon szemfülesnek kell lennünk, hogy kiszűrjük ezeket a csalókat. Például:

• Egyre pontosabb és jobban hasonlító e-mail formák (tehát az adott vállalkozásnak a sablon e-mail formájához: logók, körvonalak, formák és írásforma). Viszont nincs pontos megszólítás, nem tudják a nevedet. A hivatalos e-mailek javarésze mindig megszólítja az előfizetőt, azaz leírják a nevedet.
• További címzettek is szerepelnek a listán. Tehát nem csak neked ment ki a sablonszöveg. Itt már gondolhatnánk, hogy például egy egyedi címzésű számlát, miért küldenének további embereknek?

Hirdetésen keresztüli vagy direktfertőzések

Itt kifinomultabb módszerről van szó. Ritkább, de nem elhanyagolható a megemlítése. A támadók általában egy adott weboldal vagy hirdetőrendszer biztonsági réseit használják ki. Feltörés után a felhasználókat, akik a fertőzött weboldalt nyitják meg különböző rosszindulatú webhelyre kerülnek átirányításra. A fertőzött hirdetésekkel (malvertisement) kapcsolatban pedig hasonló a történet. Ott lehet az adott oldal, aki elhelyezte a hirdetést nem fertőzött, de maga a hirdetés igen, így az automatikusan át tudja irányítani a mit sem sejtő felhasználót egy rosszindulatú webhelyre. A New York Times, BCC is tudna miről mesélni.

Ez a megoldás nagyon bosszantó lehet a felhasználó számára, hiszen sokak azt sem tudták mikor és hogyan fertőződött meg a számítógépük, pedig nem jártak semmiféle kevésbé biztonságos weboldalon, illetve nem indítottak el maguktól ismeretlen forrásból származó fájlokat.

Távoli asztali protokoll támadások

Az RDP, azaz távoli asztali protokoll támadások akkor sikeresek, amikor a beállított jelszó rendkívül gyenge, amit használnak a távoli asztal eléréshez, illetve a folyamatosan nyitva hagyott portok is bőven magas kockázatot jelentenek. Számos statisztika született arról, hogy az emberek többsége nagyon egyszerű jelszót használ, mint például 12345678, 000, admin, stb. Ezt mind felhasználónévnek és jelszónak is. Nem egyszer találkoztam olyan esettel, amikor egy router felhasználóneve és jelszava is ugyanazon volt, mégpedig „admin”. Ilyenkor egy kiberbűnözőnek nincs nehéz dolga. Ezért mindig mondom, hogy a kiszolgáló rendszergazda hozzon létre olyan házirendet, hogy a felhasználó ne tudjon egyszerű jelszavakat létrehozni. Érdemes legalább 8 karakternek lennie, kis és nagybetűt, számot, illetve egyéb karaktert tartalmaznia.

Visszatérve, miután hozzáfért a rendszerhez a támadó, megkeresi az összes helyi hálózaton lévő meghajtót és klienst. Ezekről bármilyen adatot el tud majd tulajdonítani, illetve megfertőzheti őket zsarolóprogramokkal. Bár valószínű, ha bejutott a támadó elvitte az adatokat, a váltságdíj kifizetése után sem fogja törölni, vagy éppen visszaadni a tulajdonosának azokat. Számos példát lehet hozni ezzel kapcsolatban: 655 000 egészségügyi dokumentáció került ki dark webre.

A legdurvább és ciki incidens talán a MongoDB apokalipszis lehetett. Itt közel 28.000 szervert fertőztek meg a támadók. Ezt úgy tudták véghez vinni, hogy azokat az adatbázisokat célozták meg, amelyek a publikus interneten is elérhetőek voltak, illetve a rendszergazdai fiókhoz nem tartozott jelszó. Természetesen itt nem csak az adateltulajdonítástól félhettek többen, hanem a botnet hálózat kialakításától is, hiszen ekkora szervermennyiségnél brutális számítókapacitás van, amellyel komoly károkat lehet okozni.

A zsarolóprogramok megelőzése folyamatos odafigyelést igényel

A legjobb megelőzés mindenképpen egy alapvédelem használata, gondolok én egy antivírus szoftverre. Nem feltétlen kell fizetnünk a termékért. Átalában ingyenesen is kapunk olyan védelmet, ami elég lehet számunkra. Vegyük példának a Microsoft Defendert, amely a Windows 10 rendszerbe van integrálva és elég hatékonynak bizonyult különböző teszteken, más nagyobb fejlesztőt maga mögé utasítva. Emellett persze egy hordozható víruskeresőt is bevethetünk, amellyel néha ellenőriztetjük a számítógépünket és a leveleinket (pl: Thunderbird). Képes kiszűrni a kéretlen leveleket. Ha Gmail-ünk van, akkor a Google már-már tűpontosan képes kiszűrni az ilyen kéretlen leveleket.

Támadások megelőzése józan ésszel

Gondolkozz, mielőtt kattintasz elvet érdemes alkalmazni. Fentebb írtam az e-mailes támadásoknál különböző pontokat, amit érdemes figyelembe venni ellenőrzéskor – főleg, ha hivatalos emailről van szó.

Távoli asztali protokoll támadások megakadályozása

Mindig használjunk összetett jelszavakat, különösen rendszergazdai (akár root) hozzáféréshez. Emellett megfontolandó, hogy letiltsuk a rendszergazdai fiókot, amíg nincs rá konkrét szünkségünk, egyszerűen böngészéshez, levelezéshez, médiafogyasztáshoz bőven elég a korlátozott fiók is. Érdemes nehezebb felhasználónevet is létrehozni, tehát ne csak „admin” vagy „user” legyen. Állítsuk be, hogy a rendszer néhány sikertelen bejelentkezési próbálkozás után egy időre zárolja a felhasználót. Mindig győződjünk meg arról, hogy a hálózati hitelesítés megfelelően van konfigurálva.

Következő lehetőségekkel pedig megelőzhetjük, hogy a rosszindulatú programok kárt tegyenek

• Rendszeresen készítsünk biztonsági mentést egy külső tárolóra vagy felhőbe fájljainkról
• Használjunk egy vírusírtó programot (Windows Defender bőven elég erre a célra, de más kergető is használható)