Az eddigi legnagyobb zsarolóvírus-támadást hajthatták végre orosz hackerek

800 Coop-üzlet nem tudott vasárnap Svédországban kinyitni a támadás miatt, amiért az oroszokhoz köthető REvil Group lehet a felelős.

Pénteken indították el a világ eddigi legnagyobb ransomware-támadását, amit vélhetően az orosz REvil Group hackercsapat hajtott végre. A támadók a Kaseya IT nevű cég által fejlesztett felhőalapú szoftvert támadták meg, és ugyan jelenleg még csak becslések vannak, de a Nod32 vírusirtót fejlesztő pozsonyi ESET szoftverfejlesztő cég szerint 

legalább 12, de egyes feltételezések szerint 17 országot is érintett a támadás.

A jelenlegi ismereteink szerint több mint ezer cég adatait titkosították a támadás során, és a kódolt adatokért akár ötmillió dollár váltságdíjat is követelhetnek. Ugyan a pontos elkövető nem ismert, de vasárnap késő este a REvil Group nevű orosz hackercsapat a dark weben egy blogposztban

70 millió dollárnyi kriptovalutát követelt azért, hogy nyilvánosságra hozzák a kulcsot, amivel vissza lehet nyerni a titkosított adatokat,

ami jelenlegi árfolyamon 20,75 milliárd forint.

Mint korábban szakértő segítségével elmagyaráztuk: a ransomware-támadások (magyarul zsarolóvírus-támadások) lényege, hogy a hacker a támadás során úgy fertőz meg egy gépet vagy egy hálózatot, hogy annak minden adatát kódolja, amit csak egy egyedi kulccsal lehet feloldani, amit a kompromitált felhasználó csak egy bizonyos összeg kifizetése után kap meg a támadótól. Ha valaki nem fizet, vagy pedig a szakértők nem találnak rést a kódoláson, akkor a zsarolóvírus automatikusan törli az adatokat a merevlemezről egy bizonyos idő után. A július 3-i hétvégén azonban nem egy gépet vagy egy hálózatot támadtak meg, hanem 

a Kaseya IT nevű szoftverfejlesztő cég felhőalapú programján keresztül a szoftver felhasználóinak a gépeit sikerült ily módon megfertőzni, és titkosítani az adatokat.

A támadás gazdasági hatásairól jelenleg nincsenen pontos számaink: ugyanakkor a támadás miatt Svédországban a Coop áruházlánc 800 üzlete nem tudott kinyitni, míg Németországban többezer felhasználó adatai váltak elérhetetlenné.

A Kaseya IT-cég igazgatója szerint leginkább kisebb üzletek érintettek a támadás során, mint fogászatok, könyvtárak, építészcégek vagy plasztikai sebészetek, és szerinte a cég 37 ezer felhasználója közül mindössze 900-1000 céget érhetett a támadás, ugyanakkor sajtóértesülések szerint ennél több lehet az érintett.

Az oroszok állnának a háttérben?

Az NPR értesülései szerint a legtöbb gépen a titkosított adatokat 45 ezer dollárért (13,3 millió forint) oldanák fel, azonban a legnagyobb cégektől már 500 ezer (148 millió forint) vagy akár 5 millió dollár (1,48 milliárd forint) értékű kriptovalutát követelnek.

Joe Biden amerikai elnök még szombaton beszélt a támadásról, aki ugyan nem nevezte meg, de nem is zárta ki, hogy az oroszok állhatnak a háttérben. Újságírói kérdésre azt felelte,

hogy ha Oroszország áll a háttérben, akkor Amerika válaszolni fog a „ransomware-incidensre”, 

de hogy ez egy amerikai ransomware-támadást jelentene, vagy esetleg valami más retorzión gondolkodik a centrista Biden-adminisztráció, azt már nem részletezte. A jelenlévő újságírókat emlékeztette, hogy a június 16-i genfi Putyin-Biden-találkozón arra szólította fel orosz kollégáját, hogy szorítsa vissza az Oroszországból indított támadásokat, és figyelmeztette: következmények lesznek, ha tovább szaporodnak a ransomware-támadások.

A REvil Group 2019 április óta aktív, és a kifinomult munkáik miatt többen is úgy vélik, hogy szoros kapcsolatban állhatnak a Kremllel, bár a hackercsapat szolgáltatásként is értékesíti az ilyen támadásait. Egy, az NPR-nek megszólaló szakértő szerint nem valószínű, hogy a mostani támadást közvetlenül a Kremlből rendelték volna el,

de az, hogy egy ilyen támadást hajtottak végre az egyik legfontosabb amerikai ünnep, a július 4. körüli hosszú hétvégén, mutatja: Putyin még nem tett semmit az ilyen támadások csökkentése érdekében,

ami a szakértő szerint egyfajta üzenet is lehet az orosz elnöktől.

Mint korábban írtunk róla, a ransomware nem egy új technológia: viszonylag könnyű ilyen támadást végrehajtani és még programozási ismeretek sem kellenek hozzá – sok hackercsapat a dark weben árul ransomware-programokat, illetve fel lehet bérelni őket ransomware-támadásokra is.

Az utóbbi időben folyamatosan nő az ilyen támadások száma.

Már 2018-ban is megsokszorozódtak az ransomware-támadások, de 2019-ben, majd a kínai koronavírus-járvány miatt az online térbe szorult világ miatt 2020-ban még inkább nőttek az ilyen támadások számai, hiszen 2020-ban a home office-ra kötelezett világban nélkülözhetetlenné vált az online jelenlét, a hackerek pedig ezt kihasználva könnyen és gyorsan tudnak sok pénzt szerezni a mostanihoz hasonló támadásokkal.

De pontosan hogyan is működnek a zsarolóvírusok? Lehet-e ellene védekezni? Hogyan? Kik a célpontok? Szakértővel ebben a cikkünkben jártunk utána!

NYITÓKÉP: Egy 2015-ös ransomware-támadás, a CryptoLocker után ez a képernyő fogadta a megfertőzött gépek felhasználóit. FOTÓ: Christiaan Colen / Flickr