ransomware

kami911 képe

Ransomware támadás érte a brit KFC és Pizza Hut éttermeket

Az itthon is ismert KFC, Pizza Hut, és az itthon kevésbé ismert Taco Bell, és The Habit Burger Grill étteremláncokat franchise rendszerben üzemeltető Yum! Brands, Inc. január 18-án bejelentette, hogy ransomware támadás érte őket, ami bizonyos informatikai rendszereiket érintette.

kami911 képe

A Play zsarolóvírusról

A Play zsarolóvírus (más néven PlayCrypt) egy új zsarolóprogram, amely 2022 júniusában fedeztek fel először. A Play zsarolóvírussal folytatott támadások világszerte folyamatosan szedik az áldozataikat. A Play a közelmúltban azzal került be a hírekbe, hogy segítségével megtámadták az argentin Cordobai Igazságügyi Minisztériumot és a német „H-Hotels” szállodaláncot, továbbá Antwerpen város informatikája és a Rackspace is áldozatul esett ilyen támadásnak. A Play támadásai a latin-amerikai régió szervezeteire összpontosítanak - Brazília az elsődleges célpontjuk. Indiában, Magyarországon, Spanyolországban és Hollandiában is megfigyelték ezeket a támadások végrehajtásában. A Cobalt Strike által kompromittálódott célpontokat, illetve nemrég kezdték el kihasználni a Microsoft Exchange ProxyNotShell sebezhetőségeit is. A csoport taktikája és technikái hasonlóak a Hive és a Nokoyawa zsarolóvírus-csoportokhoz, ami a kutatók szerint arra enged következtetni, hogy a Play-t ugyanazok az emberek működtetik. Vessünk egy pillantást a Play ransomware-re, taktikáikra és technikáikra, valamint arra, hogy a szervezetek hogyan védekezhetnek az ilyen típusú fenyegető szereplők ellen.

kami911 képe

Általánosságban a zsarolóvírusokról

Zsarolóvírus (ransomware) olyan kártékony szoftver, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatait, amelyek visszaszerzéséhez váltságdíj megfizetését kéri a támadó. A ransomware támadások általános jellemzői:

  • állományok titkosítása,
  • zsaroló üzenet (ransomnote),
  • határidő a váltságdíj kifizetésére,
  • állományok egy részének törlése.

Hogyan történik a fertőzés?

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak útján történő fertőzés. Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat. Az is jellemző, hogy a támadók valamely sérülékenységet (pl.: a CVE-2017-0144 számú, lásd WannaCry támadás), hibás konfigurációt (például: gyenge jelszó, RDP) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.

A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─, valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat.

A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt esetében).

Feliratkozás RSS - ransomware csatornájára