A jelek és a kiszivárgott hírek arra mutatnak, hogy egy úgynevezett zsarolóvírus támadta meg a magyar katonai beszerzéseket kezelő Védelmi Beszerzési Ügynökséget. A hivatalos információk szerint rendőrségi eljárás van folyamatban, illetve bár katonai beszerzésekkel kapcsolatos tervek és adatok voltak az ügynökségnél, ezekből kikerültek információk, de olyan adathoz, ami a magyar nemzetbiztonsági érdekeket sértené vagy annak a magjához tartozik, nem jutottak hozzá. A részletekről itt írtunk.
Krasznay Csaba, a Nemzeti Közszolgálati Egyetem egyetemi docense az InfoRádióban elmondta: jelenleg a zsarolóvírusos támadás világszerte az első/második leggyakoribb kibertámadás-típus. Olyannyira, hogy például az Európai Kiberbiztonsági Ügynökség, az ENISA a tavalyi éves riportjában azt jelezte, hogy
az Európában elkövetett incidenseknek nagyjából a 30-40 százaléka tartozik ebbe a körbe.
A támadók kétféleképpen tudnak bejutni a kiválasztott rendszerekbe. Az egyik tipikus bejutási mód, amikor egy olyan e-mailt küldenek, amiben például van egy csatolmány, egy .pdf, vagy egy .doc fájl, amiben elrejtenek egy kártékony kódot. A csatolmány megnyitásakor a program települ és működni kezd. A másik lehetséges támadási mód pedig az, amikor a szervezet átlal üzemeltetett információs rendszerben lévő, az internet felől elérhető sebezhetőséget használják ki és így juttatják be a kártékony kódot.
"Az ember azt gondolhatná, hogy ezeket a sebezhetőségeket illik javítani, de nagyon gyakran egy föltárt sebezhetőség után néhány napon belül már megtörténik a támadás, tehát sokszor a szervezetnek nem is nagyon van ideje védekezni" – emelte ki Krasznay Csaba.
Szavai szerint
nagyon sok látens eset van Magyarországon,
rendkívül kevés hasonló történet kerül nyilvánosságra: talán ez a második olyan, amelyik bejárja a sajtót, miközben a háttérben ez szinte mindennapos tevékenység.
"A zsarolóvírus-támadások nagyon nehezen kivédhetőek. Ha valaki nagyon-nagyon szeretne zsarolóvírust bejuttatni egy szervezethez, különösen egy magas profilú szervezethez, az be fogja tudni juttatni. Csupán a legnagyobb, legfelkészültebb, legjobban védett cégek azok, ahol kisebb a valószínűsége egy sikeres zsarolóvírus-támadásnak. Egy magyar közigazgatási szervnél, azt gondolom, hogy szinte biztosan célba tud érni egy ilyen támadás" – fogalmazott a Nemzeti Közszolgálati Egyetem egyetemi docense.
Felmerült persze a kérdés, hogy a támadó hackercsoport, az INC Ransomware valamely külföldi kormánynak vagy titkosszolgálatnak dolgozik-e. Krasznay Csaba szerint a kiberbűnözői csoportoknak egyetlen célja van, minél több pénzt szerezni. Ugyanakkor az orosz-ukrán háború során kiderült, hogy vannak olyan kiberbűnözői csoportok, amelyek a háttérben rendkívül szoros kapcsolatban állnak az orosz titkosszolgálattal. Vagy voltak olyan korábbi ransomware-támadások, amelyeket például Észak-Koreának és az észak-koreai kormányzat által támogatott kiberbűnözői csoportoknak tudtak be.
"Bár általánosságban azt lehet mondani, hogy kiberbűnözésről van szó, azért vannak olyan kiemelt esetek, amikor akár még titkosszolgálatok is állhatnak mögötte. Ám a mostani csoportnál, ezt szeretném hangsúlyozni, semmi nem utal arra, hogy bármilyen állami művelet lett volna a háttérben" – emelte ki.
Számos zsarolóvírus-csoport működik a világban, amelyek közül a legnagyobbakat folyamatosan állítja le az Europol és számos nemzetközi rendészeti szerv, de egy-egy ilyen társaság eltűnése után újak lépnek a helyükre. Az INC Ransomware nem egy új csoport, korábban is voltak jelei. Az elemzések alapján azt lehet látni, hogy
közel 200 támadás kapcsolódik már hozzájuk, de ők csak egy abból a számos támadói, kiberbűnözői csoportból, amelyet jelenleg nyilvántartanak.
A kormány már jelezte, hogy nem fizet a zsarolóknak, pedig azok több fordulóban is pénzt szoktak kérni.
"Az ilyen társaságoknak egy úgynevezett hármas zsarolási módszere van. Első körben azért kérnek pénzt, hogy az eltitkosított adatok dekódolásához használatos kulcsokat visszaszolgáltassák. Ha ekkor nem fizet az áldozat, a második körben azért kérnek pénzt, adatokat ne publikálják az interneten. Amennyiben továbbra sem kapnak számukra kedvező választ, akkor a harmadik körben azzal zsarolják meg az érintettet, hogy olyan adatokat hoznak nyilvánosságra, amelyek az üzleti partnereiket érintik. Miután az adatok egy része nyilvánosságra került már, valószínűleg a VBÜ az első körben a dekódoló kulcsokért nem fizetett, tehát emelték a tétet. Ám ilyenkor sosem szabad fizetni, hiszen az egész zsarolóvírus-bizniszt az pörgeti, hogy az áldozatok fizetnek" – emelte ki az InfoRádióban Krasznay Csaba.