Egy kibertámadás alapvető célja az adatok zárolása és a hozzáférhetőség megszüntetése, amelyet gyakran váltságdíj fizetéséhez kötnek. Kovács „4” Zoltán kiberbiztonsági szakértő elmondta a Spirit FM Letöltendő című bűnügyi műsorában elmondta, hogy a támadások egyre gyakrabban kétlépcsős stratégiát követnek:
Adatzárolás és váltságdíj követelés: A támadók először az adatokat teszik hozzáférhetetlenné, és váltságdíjat követelnek azok visszaállításáért.
Adatlopás és fenyegetés: Amennyiben az áldozat nem fizet, a támadók az ellopott adatok nyilvánosságra hozatalával vagy értékesítésével fenyegetnek.
Ez a taktika különösen intézmények esetében hatékony, mivel az adatok érzékenysége és üzleti fontossága miatt az érintettek hajlamosabbak fizetni.
Hogyan lehetnek sikeresek ezek a támadások?
A szlovák támadás során a hackerek több millió dolláros váltságdíjat követeltek, azzal fenyegetve, hogy az adatokat nyilvánosságra hozzák, ha nem teljesítik követelésüket, illetve blokkálják az információkat. Egy hasonló támadás Magyarországon a Védelmi Beszerzési Ügynökséget érte, amely során nemzetbiztonsági szempontból érzékeny adatok kerültek ki. Az ilyen incidensek komoly reputációs károkat is okozhatnak, és rávilágítanak a védekezés gyenge pontjaira.
A célzott támadások során a hackerek gondosan kiválasztják az áldozatokat, és hosszú ideig a hálózaton belül maradnak anélkül, hogy észrevennék őket. A szakértő szerint a támadók szofisztikált eszközökkel és módszerekkel dolgoznak, amelyekkel kikerülik a biztonsági rendszereket.
Kovács „4” Zoltán elmondta:
„A támadók olyan technikákat használnak, amelyekkel minden biztonsági réteget megkerülnek. Hosszú heteken át feltérképezik a hálózatot, észrevétlenül gyűjtik az adatokat, mielőtt titkosítanák azokat.”
Mi történik az ellopott adatokkal?
Az adatok egy része gyakran kikerül a darknetre, ahol akár aukció keretében is értékesíthetik azokat. A támadók úgynevezett „szégyenfalat” hoznak létre, ahol az áldozatok nevét és bizonyos adatait közzéteszik. Ez további nyomást gyakorol az érintettekre, hogy fizessenek.
A zsarolóvírusok elleni védekezés egyik kulcsa az incidens gyors észlelése és kezelése. A szakértő kiemelte:
„Nem lehet csupán az a cél, hogy soha ne történjen incidens, hanem hogy minél gyorsabban felismerjük és reagáljunk rá. Ha a támadók heteken át észrevétlenek maradnak, az óriási kárt okozhat.”
Vélhetően ez történt („ki és be járkáltak a hackerek” ) Magyarországon a védelemi beszerzési cégnél, ezért kínos ez a támadás, mert azt mutatta, hogy nem volt jelentős kibervédelem. Fontos a megelőzés is, amely magában foglalja a biztonsági rendszerek fejlesztését, az alkalmazottak képzését, valamint az érzékeny adatok rendszeres mentését.
Például a kibervédelmisek figyelni szokták, hogy éjjel van-e szokatlan adatmozgás egy rendszerben. Több gigabájtnyi adatot nem lehet csak úgy kivinni egy rendszerből, azt is észrevétlenül szokták megtenni a tolvajok, de lehetnek erre utaló jelek, szokatlan „mintázatok” az IT-rendszerben. A magyar védelmi ügynökség akkor is jobban járt volna, ha megbíz egy céget, hogy figyelje a rendszerét. „Az nem kibervédelem egy cégnél, hogy van egy IT-is, vagy rendszergazda, és egy tűzfal, de nem ismerik azokat a módszereket, amivel dolgoznak a hekkerek” – magyarázta a szakértő.
Keményebb, mint a drogkerekedelem
A zsarolóvírus-csoportok, mint a Védelmi Beszerzési Ügynökséget ért támadás mögött álló INC csoport, folyamatosan fejlesztik módszereiket. Az ilyen támadások már most is jelentősen meghaladják a kábítószer-kereskedelemből származó bevételeket, ami azt mutatja, hogy a kiberbűnözés az egyik legjövedelmezőbb iparággá vált.