A bűnüldöző szervek letartóztatták a LockBit zsarolóvírus csoport két újabb tagját. Miután egy nemzetközi művelet során feltörték a kiberbűnöző banda szervereit, lefoglaltak több mint 200 kriptotárcát és létrehoztak egy dekódoló eszközt a titkosított fájlok ingyenes visszaállítására.

A CISA hat új hibát vett fel a KEV (Known Exploited Vulnerabilities) katalógusába:

• az Apple által már javított 3 hibát (CVE-2023-32434, CVE-2023-32435 és CVE-2023-32439),
• két VMware hibát (CVE-2023-20867 és CVE-2023-20887),
• egy Zyxel hibát (CVE-2023-27992).

Úgy tűnhet, hogy szinte minden nap újabb ransomware-as-a-service (RaaS) szolgáltató tűnik fel a palettán. Az úgynevezett „Read The Manual” (RTM) Locker banda korábban az elektronikus bűnözés területén tevékenykedett, mostanában azonban vállalati környezeteket céloznak meg a zsarolóprogramjukkal, és szigorú szabályokat írnak elő az alvállalkozóiknak. Vajon csak egy újabb zsarolóvírus banda, vagy ennél több rejlik e mögött a csoport mögött és a programjuk mögött? Az RTM Locker banda alvállalkozókat von be azzal a céllal, hogy áldozatokat zsaroljanak meg.

Az itthon is ismert KFC, Pizza Hut, és az itthon kevésbé ismert Taco Bell, és The Habit Burger Grill étteremláncokat franchise rendszerben üzemeltető Yum! Brands, Inc. január 18-án bejelentette, hogy ransomware támadás érte őket, ami bizonyos informatikai rendszereiket érintette.

Zsarolóvírus (ransomware) olyan kártékony szoftver, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatait, amelyek visszaszerzéséhez váltságdíj megfizetését kéri a támadó. A ransomware támadások általános jellemzői:

• állományok titkosítása,
• zsaroló üzenet (ransomnote),
• határidő a váltságdíj kifizetésére,
• állományok egy részének törlése.

Hogyan történik a fertőzés?

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak útján történő fertőzés. Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat. Az is jellemző, hogy a támadók valamely sérülékenységet (pl.: a CVE-2017-0144 számú, lásd WannaCry támadás), hibás konfigurációt (például: gyenge jelszó, RDP) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.

A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─, valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat.

A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt esetében).