Gyakorlatilag most egy olyan támadást él át a világ, aminek a célzottsága, a dinamikája, a veszélyességi foka korábban sosem volt látható
– mondta el a 24.hu-nak Krasznay Csaba, a Nemzeti Közszolgálati Egyetem (NKE) márciusban létrejött kiberbiztonsági akadémiájának igazgatója.
Praktikus szempontból: az eddigiek alapján az látszódik – mondja a szakértő – hogy a kártevő a számítógépes rendszerek egy olyan sebezhetőségét használja ki, amit már befoltoztak. Azaz alapvetően azok érintettek, akiknek a számítógépeit nem tartják karban. „Sőt, esélyes, hogy olyan oprendszereket támadtak, melyek nem is támogatottak, mint például egy Window XP.”
– reagált Krasznay Csaba a támadások összehangoltságára. Szerinte két opció lehetséges az elsődleges információk alapján:
- Egy – akár államilag támogatott – elit hackercsoport előre eltervezett, összehangolt, nagyszabású akciójáról van szó. Hogy mi a motiváció, az majd kiderül.
- Egy súlyos szoftverhiba okozta. A vírus „írójának” nem volt szándékában ilyen világméretű galiba okozása, de az kiszabadult – esetleg a programozást is elrontották. Célzottság sincs.
„Ha egy kiberbűnözői csoport munkájáról van szó, akkor most nagyon rossz lóra tettek. Mert amikor egyszerre ennyi országban okoznak kárt, akkor az a támadás nem maradhat megtorlás nélkül” – magyarázta a kiberbiztonsági szakértő.
Hozzátette: „A rendészeti együttműködés a Nyugat és a Kelet között – finoman szólva is – nem annyira működik jól, de ha egyszerre ugyanazt a kárt szenvedik el, akkor azért együttesen utána szoktak járni.”
A kórházak fokozott veszélyben vannak
A kórházi zsarolóvírusokról a szakértő elmondta: az Egyesült Államok és Kanada tavaly egy nagy, közös kampány keretében kiadta az első és eddigi egyetlen kiberbiztonsági riasztást, amely arra figyelmeztetett, hogy az egészségügyi rendszerek – lévén igen érzékeny adatokkal dolgoznak – fokozottan veszélynek vannak kitéve.
Mindezt egy éve, amikor a biztonsági cégek ismételten figyelmeztettek: mivel a kiberbűnözők egyre kifinomultabb eszközöket használnak, míg a cégek nem teszik meg a megfelelő védelmi lépéseket a támadások megelőzésére, sikeres elhárítására.
Akkoriban több amerikai kórházat is térdre kényszerítettek a zsarolóvírusok.
Node mi is történt pontosan pénteken?
Minden azzal indult, hogy pénteken a brit sajtó megírta, hogy a brit egészségügyi rendszert meghekkelték, az intézmények a WannaCry (másnéven WanaCrypt0r, WCry) zsarolóvírus áldozatai lettek, az adatokat zárolták és 300 dollár váltságdíjat követelnek a hackerek, hogy feloldják az oly értékes információt. Azóta már persze egészen 600 dollárig strompfolták fel a követelt összeget, s szakértők szerint a megadott számlára csorog is folyamatosan a sok bitcoin.
Én már akkor is viszonylag lelkesen írtam meg ezt a hírt. Ahogy a Twitteren is látszódott: a betegek és az orvosok őrjöngenek, azonnal ki kellett kapcsolniuk a számítógépeket, ahogy a telefonos és e-mail rendszer is leállt, senki nem tudta elérni a kórházakat. Mindent tollal és papírral vezettek. Akik nem szorultak sürgős ellátásra, azokat hazaküldték. Teljes volt a káosz.
https://twitter.com/asystoly/status/863027172453351424
Akkor látszódott, hogy komolyabb dologról van szó, amikor a brit FBI is beszállt, s a nyomozás irányítását a kezükbe vették. Ez magyar idő szerint délután hat óra körül történt, de ez még mindig nem egy breaking, Magyarországról nézve kevésbé jelentős, hogy a britek pánikolnak.
Aztán eltelt pár óra és kezdett kirajzolódni, hogy igenis nagy a baj. Csak péntek estig legalább 74 országból jelezték, hogy az a bizonyos kártevő és zsarolóvírus elérte őket is. A Kaspersky adataiból látszik: több mint 45 ezer támadásról beszélünk.
Ahogy az Avast szakértője is fogalmazott, óriási méreteket ölt a probléma. egyetlen zsarolóvírustól idén, közölte Jakub Kroustek, a cég vezetője.
A legnagyobb elszenvedője a történetnek Oroszország, de érkeztek jelentések Amerikából, Kínából, Oroszországból, Spanyolországból, de a lengyelektől és ukránoktól is – gyakorlatilag világszintű probléma rajzolódott ki.
Aztán a Twitterre felkerült egy online világtérkép, és a Bleepingcomputers belsős értesülése, miszerint kis hazánk sem úszta meg. A Telenor Magyarországot is célkeresztbe vették, azonban a szolgáltató kérdésünkre elmondta: valóban érintettek, de még időben reagáltak, az ügyfelek semmit nem érzékeltek a támadásból.
Újabb meg nem erősített forrás már azt közölte: az Auchan Magyarország készletezése is elszállt.
A tempó péntek éjfélre nem hogy lassulni nem látszott, de egyre gyorsult: a folyamatosan frissülő világtérképen sorra tűntek el a pontok és jelentek meg újabb áldozatok. Alig lehetett követni, ki érintett, pontosan miről is van szó, és mit kell tenni, hogy akár magánfelhasználói szinte tudjunk védekezni.
Hogy néz ki, ha megtámadtak?
Egy felugró ablak közli a felhasználóval, hogy az adatait zárolták, és váltságdíjat követelnek, hogy feloldják. Nincs lehetőség ezt az ablakot bezárni, vagy kikerülni. Éppen ez történt a brit egészségügyi dolgozókkal is, amikor az NHS informatikusai közölték, hogy azonnal kapcsolják ki számítógépeiket. Gyakorlatilag mindenkinek ezt javasolják, akivel szembejön ez az értesítés:
NHS England hit by #ransomware https://t.co/DAMNVP4dc6 #malware #security #infosec #bitcoin #nhs #ransomeware pic.twitter.com/b3QiDxMJIj
— Kaos Dynamics (@KaosDynamics) May 12, 2017
Mivel elég sok az érintett ország, szervezetek, cégek, ezért várható, hogy a nagy vírusirtós, biztonsági cégek sorra adnak majd ki frissítéseket, illetve feloldó kulcsokat és a hozzájuk tartozó leírást, hogy mit kell tennie a felhasználónak lépésről lépésre, hogy visszakapja az adatait.
Arra azonban figyeljünk, hogy csak a megbízható cégek oldaláról szedjünk le és telepítsünk fájlokat, a kiberbűnözők ezzel a helyzettel is visszaélnek, és olyan hasonló nevű, kiterjesztésű programokat adnak ki, melyekkel ott vagyunk, ahol a part szakad.
A Windows (is) volt a ludas
Kiberbiztonsági szakértők szerint a mostani történet egy kiszivárogtatáshoz köthető. A jelenlegi kibertámadást, magát a kártevőt a Microsoft rendszereinek – gondolunk itt főleg a Windowsra – sebezhetőségére építették. Ezt a kiskaput még az amerikai Nagy Testvér, azaz a Nemzetbiztonsági Ügynökség (NSA) akarta a saját céljainak szolgálatába állítani. A sebezhetőség az EternalBlue kódnevet kapta.
Aztán jött a Shadow Brokers nevű hackercsoport, amely ellopta az adatokat és az NSA eszközeit, azzal a céllal, hogy egy online aukció keretében értékesítsék a netes feketepiacon. Végül aztán ingyenesen elérhetővé tették a titkosított adatcsomagot. Április 8-án ezt megfejelték azzal, hogy kiadták a titkosítás feloldásához szükséges jelszót, mondván
A legtöbb kiberbiztonsági szakértő akkoriban úgy nyilatkozott: a kártevő már elavult, nem kell tőle tartani. A Microsoft pedig jelezte, idén márciusban kiadtak egy frissítést, amellyel befoltozták az operációs rendszer sebezhetőségét, így a felhasználóknak nincs mitől félniük.
Mit tudok tenni?
A legnagyobb gondban azok vannak, akik a kibervédelmi szakértők összes figyelmeztetése ellenére úgy döntenek, hogy bár nem értenek az IT-biztonsághoz, mégsem frissítik a rendszert és a programokat, nem telepítenek vírusirtót, nem készítenek háttérmentést a dokumentumaikról.
A Microsoft ugyan pénteken közölte, hogy a kibertámadás hatására újabb védelemmel látta el a Windowst, s külön asszisztenciát nyújt az érintett ügyfeleinek, azért egy felhasználói tudatosság sem árt. Aki még nem tette, az sürgősen frissítse a Windowst és a programokat, illetve egy megbízható vírusirtót sem árt beszerezni.
De hogy ne legyek ennyire szigorú a mezei júzerrel: a Panda Security jelezte, a mostani támadás azért is nagyon veszélyes, mert a „terjesztője” hálózati féregként működik: azaz
Így azok a cégek, intézmények, akik elhanyagolták a rendszerfrissítést, fokozott veszélynek vannak kitéve – ahogy történt az a brit egészségügyi rendszerrel, a német vasúti társasággal, az olasz egyetemi hálózattal, vagy a magyar mobilszolgáltatóval.