Mi a zsarolóvírus?
A zsarolóvírus olyan rosszindulatú program, amely titkosítja a felhasználók adatait. Célja, hogy az áldozat váltságdíjat fizessen azért, hogy adatai visszaállításra kerüljenek. Az ilyen típusú vírusok néhány főbb jellemzője: az állományok titkosítását követően zsaroló üzenet jelenít meg, határidőt szab a váltságdíj kifizetésére, törli az állományok egy részét, ahogy telik az idő egyre több állományt tesz véglegesen visszaállíthatatlanná. Vannak olyan szélsőséges esetek, amikor a megfelelő működéshez nélkülözhetetlen rendszerfájlok titkosítása révén az informatikai rendszerhez való hozzáférést is blokkolja. A vírus nagy pusztítást, károkat hagyhat maga után, gyakran nehéz helyreállítani a naplófájlokat, és megtudni, hogy mit történt igazából.
Néhány példa arra, hogyan kerülhet a zsarolóvírus számítógépünkre:
- E-mail üzenetben, csatolmányként: Különböző szolgáltatók design elemeit lemásolva, a felhasználókat megtévesztve.
- Hirdetésekre, idegen linkekre kattintva: Figyelemfelkeltően elkészített vírusos linkek.
- Fertőzött weboldalakról: A hirdetések, idegen linkek fertőzött weboldalakra vezethetnek.
A NRI-et érintő támadás és következményei
A támadást a RansomHub nevű zsarolóvírus-csoport követte el. Az NRI az adatok visszaállítását biztonsági másolatok felhasználásával próbálta rendezni, de figyelembe kell venni, hogy az ilyen támadások esetleges hosszútávú hatásai később válnak csak egyértelművé.
Felmerül a kérdés, hogy miért lehetnek érdekesek a könyvtárak és közgyűjtemények a kiberbűnözők számára. A válasz pedig a nagy mennyiségű egyedi adat (régi dokumentumok, történelmi tervek, műtárgyak digitalizált nyilvántartásai vagy éppen nagy állami beruházásokhoz kötődő érzékeny adatok). Az elavult biztonsági rendszer és a hosszú helyreállítási idő csábító lehet a támadóknak a behatoláshoz. Az NRI központi szerepet tölt be a magyarországi régészeti örökség védelmében, továbbá az állami és magánberuházások előzetes régészeti feltárásainak koordinálásában, ebből kifolyólag a rendszer leállása túlmutat önmagán, ugyanis közvetve infrastrukturális fejlesztések késlekedéséhez, és esetleg érzékeny adatok kiszivárgásához vezethet.
A támadás következtében felmerült annak a veszélye, hogy nyilvánosságra kerülhetnek a beruházásokkal kapcsolatos tervdokumentációk, földtani és régészeti feltárások adatai, valamint a belső kommunikációs rendszerek. Továbbá az alkalmazottak napi munkájához szükséges szerverek és szolgáltatások leállása akadályozhatta a kutatásokat, engedélyezési folyamatokat és együttműködéseket más intézményekkel.
Szégyenfal
A forráscikk keletkezésekor (2025.02.18.) az NRI még nem szerepelt a RansomHub hivatalos szégyenfalán. A hackercsoport listájára azok az áldozatok kerülnek fel, akik nem fizetnek, vagy nem hajlandóak tárgyalni velük. A támadók jellemzően várnak 1-2 hetet, mielőtt nyilvánosságra hoznák legújabb áldozatuk nevét. Ez idő alatt megpróbálnak tárgyalásokat folytatni a váltságdíj megszerzésére. Ha nem járnak sikerrel, az áldozat neve kikerül a szégyenfalra. Ezt követően pedig a támadók a birtokukban lévő adatok egy részét akár ki is szivárogtathatják nyomásgyakorlás céljából.
A RansomHub csoport
A bűnbanda a 2024-es év egyik legaktívabb ransomware csoportja volt. Több mint 600 célpontjuk volt, valamennyi ágazatot érintve, beleértve a pénzügyi szektort, egészségügyi sóintézményeket és kritikus infrastruktúrákat. A hackercsoport a hagyományos zsarolóvírus technikák alkalmazása mellet a a dupla és tripla zsarolás módszerével is él. Ami azt jelenti, hogy nemcsak ellopják az adatokat, hanem azzal fenyegetik az áldozataikat, hogy partnereik, ügyfeleik vagy a közvélemény felé fordulnak, még nagyobb nyomást helyezve rájuk.
Források:
Nincsenek megjegyzések:
Megjegyzés küldése