A zsarolóprogramok, azaz Ransomware-k 2020-ban sem pihennek és állandó fenyegetést jelentenek. Ezen vírusok javarésze továbbra is adatokat szivárogtat a célszemély gépéről, illetve azokat csomagolja egy egyedi kóddal ellátott megnyithatatlan fájlba. Legtöbb esetben csak fenyegetődzés érkezik, pl: Avaddon, Conti, DarkSide, SunCrypt és LockBit, stb.

A harmadik negyedév mindig pörgős a támadók számára, hisz a célpontjuk a sebezhető iskolák lesznek. Megközelítőleg egy hónapja a Hartford Public Schools iskolákra sújtott le egy támadó. A támadó megvárta az iskolakezdést és a szerverekre, majd a gépekre telepítette a kártevőt, amely titkosított egy rakás fontos állományt. Ezáltal a diákok és tanárok nem fértek hozzá az oktatási anyagokhoz. A feloldáshoz elég magas összeget kértek, cserébe azt ígérték, hogy visszaadják a zárolt fájlokat.

Valószínűsíthető, hogy az online oktatási rendszer is közrejátszhatott a vírus bejutásához, mivel a tanárok az oktatási központban végezték a munkájukat és onnan indítottak különböző tevékenységeket – illetve oda érkeztek be a tanulók által elvégzett vizsgafeladatok.

Persze nem ez az egyetlen eset, hiszen a Maze Ransomware a Clark County School Disctrict és Fairfax County Public Schools iskolákban alkotott egy „szépet”, mely több, mint 500.000 diáknak és rengeteg oktatónak okozott nehézséget. Emellett mindkét esetben a támadók bizalmas információkat szivárogtattak ki az iskolákról, tanárokról, pénzügyekről stb. Ezt későbbiekben közzé is tették, mert az iskolák nem voltak hajlandók fizetni a „váltságdíjat”.

Ez még nem minden, hiszen sajnos megvan az első haláleset is, ami egy zsarolóprogramhoz köthető. 2020 szeptemberében a támadók zsarolóprogramokkal fertőzték meg a Düsseldorfi Egyetemi kórház 30 szerverét. Ezek természetesen kimentek a kliensekre és IoT eszközökre is. Ez a helyzet arra kényszerítette a kórházat, hogy a betegeit átirányítsa egy másik intézménybe. Ennek hatására az egyik beteget, egy életveszélyes állapotban lévő nőt, a 45km-re lévő másik kórházba szállították és emiatt szállítás közben a sürgős kezelés hiánya miatt meghalt. Ez volt az első haláleset, ami közvetlenül kapcsolódik egy zsarolóvírus-támadáshoz. Sajnos, nem valószínű, hogy az utolsó eset.

Szerencsére hazánkban még nem történt ilyen eset, vagy legalábbis nem nyilatkoztak róla.

Ebben a 3 hónapban (július 1 – szeptember 30) összesen 120.368 zsarolóvírust regisztráltak.

Leggyakrabban előforduló zsarolóvírus törzsek 2020 Q3

A STOP/Djvu csoport messze a leggyakoribb. Összesen a 69,9%-át teszi ki.

• STOP (Djvu): 69,90%
• Phobos: 9,10%
• Dharma: 8,10%
• Revil / Sodinokibi: 3,30%
• Avaddon: 2,90%
• LockBit: 2,20%
• Magniber: 1,60%
• Makop: 1,20%
• GlobeImposter 2.0: 0,90%
• Cryakl: 0,90%

STOP (Djvu) törzs nélküli leggyakrabban diagnosztizált zsarolóprogramok

• Phobos: 29.40%
• Dharma: 26.30%
• Revil / Sodinokibi: 10.70%
• Avaddon: 9.20%
• LockBit: 7.20%
• Magniber: 5.20%
• Makop: 3.90%
• GlobeImposter 2.0: 2.90%
• Cryakl: 2.80%
• Medusa Locker: 2.40%

A legtöbb zsarolóprogram, országonként

Itt azt nézzük meg, hogy mely országokban történt legtöbb Ransomware detektálás.

• India: 28,50%
• Indonézia: 16,30%
• Pakisztán: 9.10%
• Egyesült Államok: 8.10%
• Dél-Korea: 8.10%
• Egyiptom: 7.80%
• Brazília: 7.70%
• Fülöp-szigetek: 5.90%
• Banglades: 4,50%
• Törökország: 3.80%

Hazánk a 21. helyen szerepel, nem jó, de nem is tragikus – legalább nem 3,6.

Források: Bitdefender, Malwarebytes, Emsisosft, ESET