A zsarolóvírusok (ransomware) új generációival kell számolni, amelyek teljes hálózatokat, egész vállalatokat és intézményeket béníthatnak meg – derül ki a Cisco évközi kiberbiztonsági jelentéséből.
A biztonsági kutatók szerint 2016 első félévében a zsarolóvírusok váltak minden idők legjövedelmezőbb kártékony programjaivá. A Cisco várakozásai szerint ráadásul a kedvezőtlen trendek tovább folytatódnak, és még veszélyesebb károkozók megjelenésére kell számítani, amelyek már önmagukat terjesztik, miközben teljes hálózatokat tartanak majd sakkban. A programok új generációi moduláris felépítésűek lesznek, így a hatékonyság maximalizálásának érdekében gyorsan alkalmazkodnak majd a különféle környezetekhez és biztonsági megoldásokhoz. Az új zsarolóvírusok például csökkentik a processzorok használatát és a vezérlőszerverekkel (C&C) való kommunikációt annak érdekében, hogy minél nehezebben lehessen őket detektálni.
A riport a zsarolóvírusok kapcsán kiemelten foglalkozik az egyre kifinomultabb támadási módszerekkel, és a kiberbűnözők számára lehetőségeket kínáló biztonsági résekkel. Ezek közül a legfontosabbak a sérülékeny informatikai infrastruktúrák, a hálózatok nem megfelelő karbantartása és az átlagos felderítési idő hosszúsága. A jelentés másik fontos következtetése, hogy a kiberbűnözők egyre nagyobb mértékben alkalmaznak szerveroldali támadásokat, és egyre gyakrabban használnak titkosítást valódi tevekénységük álcázására.
Ács György, a Cisco regionális hálózatbiztonsági szakértője szerint a legnagyobb veszélyt Magyarországon is a zsarolóvírusok jelentik. Ma már nemcsak egyéni felhasználókat, de közintézményeket, például kórházakat is támadnak ilyen kártevőkkel.
A Cisco évközi jelentése ezúttal is kitér a hálózatok és a végpontok átláthatóságának, illetve a fenyegetettségek felderítési idejének fontosságára. A Cisco az elmúlt fél évben 13 órára csökkentette a felderítés idejét (time to detection – TTD), szemben az iparágban átlagos, kétszáznapos felderítési időkkel. A fenyegetések gyorsabb felderítése kulcsfontosságú a támadási felületek és a károk csökkentésének érdekében.
Miközben a támadók folyamatosan fejlesztik módszereiket, a szervezetek nagy részének saját rendszereik és eszközeik folyamatos védelme is kihívást jelent. A támogatás nélküli, elavult és befoltozatlan rendszerek nagy lehetőséget jelentenek a támadóknak, akik könnyen megszerzik a behatoláshoz szükséges hozzáféréseket, láthatatlanok maradnak, és hatalmas károkat okoznak. A támadások száma az olyan kritikus iparágakban is jelentősen megnövekedett, mint például az egészségügy.
Bővülő célpontok
A kiberbűnözők egyre nagyobb hangsúlyt helyeznek a szerveroldali exploitok fejlesztésére. Ez a trend különösen jól megfigyelhető volt az elmúlt félévben a Jboss szerverek esetében. A kutatók az internethez is kapcsolódó Jboss kiszolgálók tíz százalékát találták fertőzöttnek, és sok esetben többéves sérülékenységek okozták a problémákat. A kliensoldali támadások száma sem csökkent, és a legtöbb támadás továbbra is az Adobe Flash sebezhetőségeit használta ki. Az elmúlt időszakban a Windows-os exploitok váltak a legelterjedtebb webes támadási formává, miközben a Facebookra épülő csalások száma csökkenni kezdett.
Rejtett támadások
Miközben a rendszerek átláthatóságának megteremtése továbbra is kihívást jelent a biztonsági szakembereknek, addig a támadók egyre hatékonyabban rejtik el tevékenységüket. Mára általánossá vált a kiberbűnözők körében a TLS (Transport Layer Security), a Tor és a kriptovaluták alkalmazása. A malvertising kampányokban használt, HTTPS titkosított károkozók mennyisége 2015 decembere és 2015 márciusa között 300 százalékkal nőtt.
Problémás patch menedzsment
A támadók egyre gyakrabban találkoznak elavult, foltozatlan rendszerekkel, ami jelentősen megkönnyíti a dolgukat. Az automatikusan frissülő alkalmazások esetében jobb a helyzet, a Chrome böngészők 75-80 százaléka mindig naprakész. Ezzel szemben azonban a Java vagy akár a Microsoft Office esetében már korántsem ilyen kedvező a kép. A vizsgált rendszerek egyharmadán még mindig a Java SE 6-os verziója fut, az Office 2013 példányoknak pedig maximum tíz százaléka kapta meg a legújabb javítócsomagot.
A Cisco a jelentéshez kapcsolódóan javaslatokat is adott a vállalati és intézményi infrastruktúrák védelméhez:
- Javítani kell a hálózatok “tisztaságát”, amely monitorozással, megfelelő patch menedzsmenttel, szegmentációval és kellően erős hálózati védelemmel segíthető elő. Fontos szerepet kell kapniuk a következő generációs tűzfalaknak és behatolásmegelőző rendszereknek, illetve az e-mail és webes biztonsági megoldásoknak.
- Integrált védelemre van szükség. A hiányzó bizonsági megoldások pótlása helyett architektúrális megközelítés szükséges.
- A felderítési idő mérése, amelynek célja a lehető leggyorsabb detektálási idő elérése, majd az azonnali reagálás. Fontos lenne, hogy ezek a mutatók a szervezeti biztonsági szabályozás részévé váljanak.
- A folyamatos felhasználói védelem jegyében a biztonságot garantálni kell, függetlenül attól, hogy a felhasználók távolról vagy az irodában dolgoznak, és nemcsak azokra a rendszerekre kell ügyelni, amelyek közvetlenül kapcsolódnak a vállalati hálózathoz.
- Az adatmentés során minden kritikus fontosságú adat bizonsági mentésére szükség van. A mentéseket rendszeresen tesztelni kell, így az incidensek kártékony hatása csökkenthető.
