A zsarolóvírusok jelentik manapság az egyik legnagyobb IT-biztonsági kockázatot, nem feltétlenül azért, mert olyan kifinomult támadási formáról lenne szó, hanem mert a felhasználói óvatlanságból táplálkoznak, ami hagyományosan igen gazdag táptalajnak bizonyul.
A biztonsági termékeket és szolgáltatásokat kínáló Makay.net legutóbbi bejegyzésében azokról a tapasztalatokról számol be, amelyeket a zsarolóvírusok áldozataivá váló hazai cégeknél gyűjtött be a csapatuk a munkájuk során – írja az ITcafé.
Nagy meglepetéssel tapasztalták, hogy a helyreállítás és az eset kivizsgálása után a vállalkozások nem akartak vírusvédelmi terméket vásárolni, ugyanis volt már ilyen nekik, sőt ezeket rendszeresen karban is tartották. De akkor hogyan lehetséges, hogy sikeres támadást hajtottak végre ellenük?
Két fontos következtetés tudtak levonni.
Az egyik probléma, hogy bár a vizsgálatok során kiderült, hogy az üzemeltetők megfelelő antivírusokat alkalmaztak a munkaállomásokon és a szervereken a kártékony kódok ellen, sőt ezeket rendszeren frissítették is, a védelmi megoldások viszont a támadások ideje alatt nem futottak.
Nem az üzemeltetők állították le, majd felejtették el újból elindítani, és nem is valamilyen váratlan meghibásodás eredménye a leállás. Maguk a támadók léptek be manuálisan a rendszerekbe és állították le az antivírusok valós idejű védelmét, vagy az egész szoftvert, jellemzően a helyi idő szerinti hajnali órákban.
Az érintett szervezetek ugyanis olyan, jellemzően belsős használatra szánt hálózati szolgáltatásokat (távoli asztal, fájlszerver) nyitottak ki a nyílt internet felé, amik alapjáraton nem védettek a kibertámadásokkal szemben, így megfelelő tűzfalas védelem hiányában tulajdonképpen csak az nem próbálkozhatott a betöréssel, aki nem akart.
Ráadásul ezeket a szolgáltatásokat jellemzően olyan partnereknek nyitották ki, akik nem szívesen vacakolnak erős jelszavakkal, így a gyenge jelszavak használata, a kéttényezős hitelesítés nem használata, illetve a brute force próbálgatásos támadások elleni védelem hiánya azt eredményezte, hogy a távoli támadók úgy jártak ki-be a rendszerekben, mintha ők is rendszergazdák lennének, akiknek joguk van a védelem deaktiválására.
A másik tipikus probléma, hogy a biztonsági mentéseket nem a backup szerver végzi, hanem a mentendő kiszolgáló. Ez a gyakorlatban azt jelenti, hogy a legtöbb helyen nem a backup szerver jelentkezik be (meghatározott időközönként) a mentendő kiszolgálóra és húzza le az anyagokat, hanem a mentendő kiszolgáló végzi el a másolást ütemezetten egy folyamatosan csatolt hálózati tárhelyre.
Ez a hibás eljárás viszont csak a kiszolgáló meghibásodása esetén bekövetkező adatvesztés ellen véd, egy zsarolóvírus-támadás esetén a folyamatosan csatolt hálózati tárhelyet a kártevő ugyanolyan tárhelynek látja, mint a rendszer összes, szintén titkosításra kerülő meghajtóját. Magyarán a biztonsági mentések is áldozatul esnek.
A teljes bejegyzés a Makay.net oldalán olvasható.