Július végén kibertámadás érte a CWT nevű, vállalati utazásokat szervező nagy amerikai utazási irodát. A hekkerek ellopták, illetve a cég hálózatára juttatott zsarolóvírussal elérhetetlenné tették az ott talált fájlokat, és a hozzáférés visszaállításáért váltságdíjat követeltek. A CWT végül fizetett is 4,5 millió dollárnak (1,33 milliárd forintnak) megfelelő bitcoint, és azt állítják, valóban visszakapták az adataikat – számolt be a történtekről a Reuters.
Az esetet azonban nem a fizetés ténye teszi érdekessé, hanem az, hogy szokatlan módon megmaradtak és nyilvánosságra kerültek azok a csetüzenetek, amelyeket az áldozat képviselője váltott a hekkerekkel.
Az üzenetekben végigkövethető, hogyan alkudták ki a váltságdíj kedvezményes végső összegét, és hogyan zajlott az egész tárgyalási folyamat – úgy, mintha két legitim vállalat képviselői egyeztettek volna valamilyen unalmas üzleti ügyet.
A zsarolóvírusok olyan kártékony programok, amelyek egy számítógépre jutva titkosítják a fájlokat vagy akár az egész lemezt, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. Az utóbbi években egyre gyakoribbak az ilyen támadások, bénított már meg egész városokat zsarolóvírus, néhány éve pedig a WannaCry és a NotPetya a fél világon végigsöpört.
A zsarolóvírusos támadások kedvelt célpontjai a különféle cégek mellett a kórházak is, mert a kórházi rendszerek gyakran sérülékenyek, jellemzően a dolgozók kiberbiztonsági tudatosságának fejlesztésére se helyeznek hangsúlyt, és más ágazatokhoz képest jóval nagyobb a fizetési hajlandóság, hiszen minél hosszabb ideig tart egy leállás, annál több emberélet kerülhet veszélybe. Korábban magyar kórházakat is ért ilyen támadás, de a koronavírus-járvány idején sem álltak le a hekkerek.
A CWT hálózatát egy Ragnar Locker nevű zsarolóvírus fertőzte meg, amely a hekkerek állítása szerint 30 ezer gépet tett használhatatlanná (bár a Reuters egy nyomozásra rálátó forrása azt mondta, ennél valójában jóval kevesebb gépet érintett az incidens). A gépeken hagyott üzenet szerint a támadók két terabájtnyi adatot loptak el, köztük pénzügyi jelentéseket, biztonsági dokumentumokat és dolgozók személyes adatait.
A tavalyi évben 1,5 milliárd dolláros bevételt termelő CWT elismerte a támadás tényét, de részleteket nem közölt: "Megerősítjük, hogy miután elővigyázatosságból leállítottuk a rendszereinket, azok már újra elérhetők, és az incidens mostanra véget ért. Bár a nyomozás korai szakaszban jár, nincs arra utaló jel, hogy személyazonosításra alkalmas információ, illetve ügyfél- és utasinformáció kompromittálódott volna" – írták közleményükben, hozzátéve, hogy azonnal értesítették az incidensről az amerikai és az európai adatvédelmi hatóságot is.
A zsarolóvírusok üzemeltetőitől máskor is láttunk már olyan magatartást, amelyet nem feltétlenül várnánk el kiberbűnözőktől. Előfordult már például, hogy egy ilyen kártevő fejlesztői lelőtték a programjukat, ingyen közzétették a titkosított fájlok dekódolásához szükséges kulcsokat, és minden áldozatuktól bocsánatot kértek.
Első hallásra ugyanilyen szokatlannak tűnhet az is, hogy a hekkerek üzletszerűen működtetik az illegális bizniszüket. Pedig valójában nagyon is logikus – és egyáltalán nem új jelenség –, hogy a legális tevékenységet végző cégekhez hasonló módon működnek. Ennek az az oka, hogy a kiberbűnözők is egyre profibbak, és a nyereséges működéshez ugyanúgy rászorulnak a szervezett működési modellre, mint bármelyik legitim vállalkozás.
Egész iparág épült rá a zsarolóvírusokra, a profi hekkerek szoftvert fejlesztenek és az üzleti modellt dolgozzák ki, a kisebb játékosok pedig építik a hálózatot és gyakorlatilag franchise-szerű rendszerben terjesztik százalékos részesedésért a kártevőt – magyarázta az Indexnek egy korábbi interjúban Martin Lee, a Talos biztonsági cég egyik európai vezetője.
A hekkerek eleinte 10 millió dolláros váltságdíjat követeltek – természetesen a nehezen visszakövethető bitcoinban –, hogy visszaállítsák a titkosított fájlokat, illetve töröljék a saját szervereikről az ellopott fájlokat.
A csetüzenetekről néhány fotót a Reuters hivatalosan is kiadott, a többiről a képernyőképeket Jack Stubbs, a Reuters kiberbiztonsági szakújságírója, a CWT elleni támadásról beszámoló cikk szerzője tette közzé Twitteren. A képeken végigkövethető a két fél közti kommunikáció. A hekkerek egy Support nevű fiókon keresztül érhetők el, mintha csak egy felhasználó fordulna egy legitim szolgáltatás ügyfélszolgálatához valamilyen kérdéssel. Az angol nyelvű válaszok szövegéből jól látszik, hogy a hekkerek minden bizonnyal nem angol anyanyelvűek. Nézzük, hogy zajlott az egyezkedés!
A CWT képviselőjének jelentkezésére az ügyfélszolgálatos hekker leírja, hogy mi is maga a "szolgáltatás", azaz mit tartalmaz a 10 millió dolláros ár: egyrészt a fájlok titkosításának feloldásához szükséges programot, másrészt az általuk "letöltött", azaz ellopott adatok törlését. Mintegy bónuszként a biztonsági tanácsadást is hozzácsapták a csomaghoz, hogy technikai tippekkel segítsék a céget a hasonló támadások jövőbeni elkerülésében. Jó üzleti érzékkel egy kis ízelítőt is ígértek a fizetős szolgáltatásból: két fájlt ingyen feloldanak, hogy bizonyítsák a dekódoló program működését. (Ez egyébként bevett szokásuk a zsarolóvírusok működtetőinek.)
Az "ügyfél" erre reklamálni kezd, hogy a gépeken hagyott üzenetben a "szolgáltató" különleges árszabást ígért, ha két napon belül jelentkeznek. Az ügyfélszolgálatos előbb jó érzékkel megjegyzi, hogy az alapár szerinte már így is elég jutányos, hiszen az adatvesztés- és szivárgás esetén borítékolható perek költségénél és a pénzben nehezen mérhető presztízsveszteségnél sokkal méltányosabb; majd közli, hogy a cég valóban jogosult még ennél is kedvezőbb árra.
Az ügyfél közli, hogy 24 órán belül fizetnének is, ha sikerül megegyezni a megfelelő árban, de kéri a hekkereket, hogy vegyék figyelembe, hogy a koronavírus-járvány jelentősen megtépázta a cég bevételeit, hiszen senki nem utazik mostanában. Az ügyfélszolgálatos-üzletkötő megértőnek mutatkozik, és értékeli a gyorsaságot, mint írja, "mi is üzletemberek vagyunk, akárcsak önök". Ezért 24 órán belüli fizetés esetére 20 százalék kedvezményt ajánl fel.
Az ügyfél ezzel még nem elégedett, ezért a nehéz gazdasági helyzet további ecsetelése mellett 3,7 millió dolláros árat javasol, de óvatosan megjegyzi, hogy "nem szeretném lekicsinyelni az ön és csapata munkáját, csak próbálom elkerülni a további leépítéseket a cégünknél". A hekker udvariasan megköszöni az ajánlatot, de ő is megértést kér a tárgyalópartnerétől: már így is a piaci viszonyokhoz mérten kedvező árat ajánlottak. Végül mégis javasol egy alternatív fizetési konstrukciót. Eszerint további 5 százalékot elengednének, és a részletfizetést is lehetővé tennék, például úgy, hogy 4 millióért visszaállítják a fájlokat, és később, a fennmaradó árrészlet megfizetése után törlik azokat a saját szervereikről.
Itt néhány üzenet kimarad, a következő közzétett képen az ügyfélszolgálatos hekker már azt írja, a főnök beleegyezett, hogy ha 24 órán belül az egész tranzakciót sikerül lezárni, akkor mehet a 4,5 milliós ár. A CWT képviselője elégedettnek tűnik, mint írja, biztos benne, hogy ezt már jóvá fogja tudni hagyatni a pénzügyi igazgatóval. Annyi megerősítést kér még, hogy a hekkerek nem fogják megosztani harmadik féllel a hozzájuk került adatokat.
A megegyezés után néhány órával az ügyfélszolgálat valóban el is küldi a tárgyalás elején ígért biztonsági tanácsokat, amelyekkel a cég nagyobb eséllyel tudja elkerülni a hasonló incidenseket. Ezek egyébként korrekt, bár nem kifejezetten szofisztikált tippek.
Végül az ügyfél megköszöni, hogy ilyen gyorsan sikerült mindent lezavarni. "Szívesen, mindig öröm profikkal együtt dolgozni. Ha bármilyen kérdés felmerül, kérem nyugodtan keressen" – írja a hekker, majd még megkéri az ügyfelet, hogy erősítse meg, hogy minden fontos információt feljegyzett, hogy törölhesse az üzenetváltás előzményeit. (Ez minden bizonnyal meg is történt, hiszen a képeken CWT képviselője van "Te" névvel jelölve, azaz az üzenetek feltehetően a cégtől kerültek ki.)
A Reuters ellenőrizte a hekkerek által megadott bitcoin tárca nyilvánosan elérhető forgalmi adatait, amelyekből látszott, hogy a tárcába július 28-án megérkezett 414 bitcoin (ami valójában több is, mint 4,5 millió dollár, inkább bő 4,6 millió).
Bár a fenti eset az áldozat fizetésével zárult, a szakértők általános tanácsa, hogy nem érdemes fizetni, mert ez sose jelent garanciát arra, hogy valóban vissza is állítják a fájljait a hekkerek. Volt már rá példa, hogy állták a szavukat, de arra is, hogy az áldozat bankszámláján kívül semmi nem változott.
Ráadásul ha fizet is az illető, majd visszaállnak a fájlok, de semmilyen más lépést nem tesz, később akár a fertőzés is visszatérhet. Magának a zsarolóvírusnak az eltávolítása ugyanis nem feltétlenül szüntetni meg a veszélyt, mert a hekkerek ritkán szokták elengedni azt a gépet vagy hálózatot, amit egyszer már sikerült megfertőzni – mondta az Indexnek még 2016-ban, a magyarországi kórházi zsarolóvírus-támadások kapcsán Durmics Tamás biztonsági szakember. De még ha konkrét utófertőzés nem is történik, az ott maradó kártékony kóddal a gép becsatolható például egy zombihálózatba, amelyet aztán – akár zsarolóvírust terjesztő – levélszemét szétküldésére vagy túlterheléses támadásokhoz lehet használni.
Plusz végső soron a fizetéssel is bűnözőket finanszíroz a kötélnek álló áldozat, amivel visszaigazolja, hogy működik az üzleti modell. A gyakorlati szempontok mellett az is felmerül, hogy mennyire etikus, ha egy áldozatul esett cég úgy kezd tárgyalni és alkudozni a bűnözőkkel, mintha azok legitim üzleti partnerek volnának.
Mindennek ellenére rendszeresen elcsábulnak a meghekkelt szervezetek, mert gyakran többet ér a zavartalan működés mielőbbi helyreállásának lehetősége, mint hogy hosszú távú etikai megfontolásból jó döntést hoznak-e. Minden vállalatnak vagy intézménynek magának kell az adott helyzetben mérlegelnie, hogy ha már megfelelő óvintézkedések híján nem sikerült elkerülni a fertőzést, mi a leginkább felelősségteljes következő lépés.
Mint a kiberbiztonsági veszélyek esetén oly gyakran, a zsarolóvírusokkal kapcsolatban is elmondható, hogy érdemes a kármentés – pláne a váltságdíjfizetés – helyett a megelőzésre összpontosítani. Általánosságban elmondható, hogy megelőzhető a zsarolóvírus-katasztrófa, ha:
Cégek, intézmények esetén a rendszergazda ennél jóval többet tehet a biztonságért, de ehhez a szervezet méretéhez illeszkedő számú szakemberre is szükség van – ahogy erre a CWT-t megtámadó, majd ugyanannak a cégnek készségesen tanácsokat osztogató hekkerek is felhívták a figyelmet.
Borítókép: Getty Images Hungary Fotós: Thomas Trutschel