Az egyik legszokatlanabb módon működő zsarolóvírus-banda, a DarkSide immár több, mint 100 cég – többek között a Colonial Pipeline, az Amerikai Egyesült Államok legnagyobb üzemanyag-vezeték hálózatának üzemeltetője – ellen elkövetett kibertámadásért felelős. A banda és a vele együttműködő, hasonló alvilági cégek olyan fenyegetést jelentenek a legálisan működő állami- és magánszervezetek számára, amelyre eddig nem volt példa.
A Chainanalysis blokklánc-kutató által összegyűjtött adatok szerint, 2020-ban összesen 370 millió dollár váltságdíjat zsebeltek be áldozataiktól a kiberbűnözők. Gondolkodás nélkül fizetett például május elején a Colonial Pipeline is, amikor az üzemanyagvezeték-hálózatán leállt a szállítás egy kibertámadás következtében. A cég végül 4,4 millió dollár váltságdíjért jutott hozzá a visszafejtő eszközhöz, amellyel feloldotta a zárolásokat. Az eset után az illegális piacon működő startup, a DarkSide elismerte, az egyik ügyfele az általa fejlesztett szoftverrel hajtotta végre a támadást.
Zsarolóvírus mint szolgáltatás
A DarkSide nem szimpla kiberbűnöző, hanem egy szolgáltató, amely hackereknek kínál zsarolószoftvert. Az üzleti modellje, a „ransomware-as-a-service” gyakorlatilag a „software-as-a-service (SaaS)” alvilági verziója: gyors és könnyen használható titkosító és visszafejtő szoftverekkel látja el a pénzéhes kiberbűnöző-világot egy egyszerűen hozzáférhető dark weboldal segítségével. A szoftver mellé olyan eszközöket biztosít, amelyekkel közvetlen kommunikációra lehet kényszeríteni az áldozatot, vagy IT támogatást lehet adni. A DarkSide részesedik a zsaroló által kért váltságdíjból, nem is kis arányban! A Colonial Pipeline helyreállítási folyamatát is segítő FireEye biztonsági cég szerint 500 ezer dollárig a váltságdíj 25%-a, 5 millió dollár felett pedig 10%-a jár a „szolgáltatónak”.
Mivel a sötét oldalon álló startup szolgáltatásával szinte gyerekjáték a zsarolóvírus támadás kivitelezése, az újabb és újabb kuncsaftok egymásnak adják a kilincset. „Jó módszer a pénzcsinálásra” – állítja Peter Kruse, a CSIS Security Group alapító vezérigazgatója, aki már több olyan kiberbűncselekménnyel találkozott, amely hátterében DarkSide-szoftver állt.
A cégek felelőssége is jelentős
A startup különlegessége, hogy mindenkinél gyorsabb titkosító módszert kínál a számítógépek zárolására, és támogatja a Microsoft Windows és Linux operációs rendszereket is. A 2020. augusztusi alapításuk óta 83 szervezet adatait szivárogtatták ki, de legalább 114 szervezetet vettek célba a szoftverrel. Előbbiek azok, akik nem fizették ki a váltságdíjat. Harmincegyen viszont fizettek. Az ő kilétükre talán soha nem fog fény derülni – véli Brett Callow zsarolóvírus-nyomkövető. A CyberReason biztonsági startup számítása szerint – figyelembe véve, hogy a DarkSide-felhasználók átlagosan 200 ezer és kétmillió dollár közötti váltságdíjat követelnek – a zsarolásból befolyt összeg fél év alatt elérheti a 30 millió dollárt is. A KrebsOnSecurity jelentéséből az is kiderül, volt rá példa, hogy a banda 11 millió dollár váltságdíjról tárgyalt az egyik áldozatával.
Persze a profi szoftver mellett a vállalatok hanyagsága is segíti a hackerek pénzhez jutását. A DarkSide zsarolóvírust valahogyan be kell juttatni az áldozat hálózatába, amihez viszont a DarkSide nem ad eszközt. Peter Kruse azt mondja: a startup partnerei sebezhető eszközöket keresnek a céges hálózaton, amelyeken keresztül bejuthatnak és átvehetik az irányítást az eszközökkel kapcsolatban lévő számítógép felett. Ezután tudják telepíteni a programot, ami becsomagolja és egy kulccsal titkosítja az áldozat adatait. Ezután jön a váltságdíj.
A Colonial Pipeline szerverein végzett vizsgálatok
Biztonsági szakértők azonosítottak néhány lehetséges pontot, ahol a hackerek lyukat üthettek a védelmi rendszeren. Bob Maley, a PayPal korábbi biztonsági vezetője, jelenleg a Black Kite kiberbiztonsági startup vezető biztonsági szakembere azt állítja, találkozott olyan nyitott távoli alkalmazással és fájlmegosztó szerverekkel, amelyekre ha a hackereknek sikerült bejelentkezniük, könnyedén bejuthattak a Colonial hálózatába.
– Ha én akarnék betörni valahova, publikusan hozzáférhető eszközt használnék a csatlakozáshoz. Elindítanék egy szkriptet és megpróbálnám az összes nálam lévő azonosítót, plusz néhányat az átlagosabb felhasználónevek és jelszavak közül. Ez a ’credential-staffing’ típusú támadás épp elegendő hozzáférést adhat a hálózathoz, hogy elhelyezzünk egy zsarolóvírust.
Aggasztó, hogy a kritikus infrastruktúrával rendelkező vállalkozások sincsenek felkészülve a támadásokra.
–A hagyományos ipari vezérlőrendszerek és hasonló infrastruktúrák arra hivatottak, hogy benntartsák az információt, függetlenül és következetesen végrehajtsák a megszabott feladatot. Sajnos arra nem, vagy csak nagyon csekély mértékben képesek, hogy megfelelő védelmet biztosítsanak, és távol tartsák a behatolókat – állítja Chris Piehota, az FBI volt technológiai igazgatója.
A másik fontos pont a személyi felelősség: Kruse és Maley nem úgy látták, hogy a Colonial rendelkezett kiberbiztonsági felelőssel. A szervezet állítása szerint, 2017 óta alkalmazzák a jelenlegi vezető informatikus tisztet, aki a kiberbiztonsági folyamatokat irányította, átvizsgálta a védelmi rendszert, és az elmúlt négy év alatt 50%-kal növelte az IT részlegre – ideértve a kiberbiztonsági megoldásokat is – jutó pénzügyi keretet. A vállalat szóvivője a Forbesnak azt mondta: „szigorú előírásokat és megfelelő szoftvert alkalmaztak a fenyegetések pro- és reaktív detektálására és azonosítására”, és az „általánosan elfogadott” elveket követték a támadást megelőzően.
Jótékony bűnözés?
A DarkSide kvázi Robin Hood hackerként aposztrofálja magát: a bevétele egy kis szeletét jótékony célra fordítja. Azt is megígérték, hogy bizonyos iparágakat – kórházakat, temetkezési vállalkozókat, iskolákat, egyetemeket, nonprofit és állami szervezeteket – békén hagynak, és csakis olyan céget engednek megtámadni, amelyről tudják, hogy megengedheti magának a váltságdíj kifizetését. „Nem akarjuk legyilkolni az üzletet. Célunk a pénzkeresés, és nem társadalmi problémák generálása”.
A Colonial Pipeline esetében nyilvánvalóan későn ébredtek rá, hogy az áldozat rengeteg fogyasztónak szolgáltat gázolajat. „Moderálni és ellenőrizni fogunk minden céget, melyet partnereink zsarolóvírussal célba vesznek, annak érdekében, hogy a jövőben elkerüljük a társadalmi következményeket.” – tették közzé később.
Forrás: Forbes.com
