Szerző: Mikula Fanni
Az egyes iparágak, tudományterületek minden év végén igyekeznek felmérni, hogy milyen fenyegetések leselkedhetnek rájuk a következő esztendőben: ez a kiberbiztonság területén sem történt máshogyan.
A Cybernews nevű, kiberbiztonsági hírekkel, kutatással és elemzéssel foglalkozó weboldal 2021 év végén publikált listája első helyen említi a zsarolóvírusok növekvő tendenciáját a jövőre nézve.
De mi is az a zsarolóvírus?
A zsarolóvírus (ransomware) egy olyan kártékony szoftver, amely valamilyen módon zárolja a felhasználók informatikai eszközein tárolt adatait, amelyeket a követelt váltságdíj megfizetése után újra hozzáférhetővé tesz – legalábbis ezt állítja.
Az elkövetők a váltságdíj kifizetésére határidőt szabnak, az adatok egy részét törölhetik és idővel egyre több állományt tehetnek visszaállíthatatlanná.

Az egyik, hanem a legismertebb zsarolóvírus útján történő támadás a WannaCry volt, amely 2017 májusában ütötte fel a fejét. Ez a zsarolóvírus kifejezetten a Windows rendszereket célozta, a titkosított fájlok feloldásához szükséges jelszót pedig 300 amerikai dollár értékű Bitcoin megfizetése után ígérte a támadás célpontjainak. Amennyiben az áldozatok nem indították el a tranzakciót három napon belül, az összeg 600 dollárra emelkedett, az elkövetők végül pedig már a kompromittált fájlok végleges törlésével fenyegetőztek.
A WannaCry nagyjából 230 ezer számítógépet érintett világszerte, és egy nap alatt 150 országba jutott el. A célpontok között szerepeltek távközlési cégek (közöttük a magyar Telenor), egyetemek, vasúttársaságok, autógyártó vállalatok, kormányzati szervek. A legnagyobb kárt azonban az Egyesült Királyság egészségügyi rendszere szenvedte el.
A zsarolóvírus több mint hatvan, a National Health Service (az Egyesült Királyság nemzeti egészségügyi szolgáltatója) által fenntartott kórházat érintett. Az incidens miatt az intézmények egyáltalán nem, vagy csak részlegesen fértek hozzá a betegek adataihoz, így becslések szerint 19 ezer kezelést – köztük műtéteket – kellett lemondani vagy elhalasztani, amely nagyjából 92 millió font veszteséget okozott a szolgáltatónak és nyilvánvalóan a pácienseknek.
Habár a WannaCry fő célpontja nem kifejezetten az NHS volt, az eset elgondolkodtató abban a tekintetben, hogy egy zsarolóvírus miként hathat egy szervezetre, valamint hogyan képes megbénítani egy országos egészségügyi szolgáltatót több napra.
Ezen támadás még azelőtt történt, hogy a zsarolóvírus nagy horderejű iparággá vált volna a kibertérrel összefüggő bűncselekmények területén, illetve azelőtt, hogy elérte volna mai fejlettségi szintjét. Ha napjainkban történne egy hasonló jellegű támadás, a hatás közel megsemmisítő is lehetne – főleg addig, amíg napirenden van a COVID-19 világjárvány.
A WannaCry vírust a robothálózatok hullámszerűen, tömegesen terjesztették, a támadás célpontjainak szándékos kiválasztása nélkül. Ez a metódus akkoriban meghatározó is volt, azonban ma már a körültekintéssel kiválasztott, valamilyen szempont alapján értékes célpontok a népszerűek. Az Europol szerint a legnagyobb kockázatot a kritikus infrastruktúrák elleni támadások jelentik, amelyre nemrég precedenst is láthattunk.
A Ryuk zsarolóvírus
A Ryuk névre hallgató zsarolóvírust 2018-ban futtatták első alkalommal, a legjelentősebb esetre azonban 2020 végéig várni kellett. Ekkor ugyanis az Amerikai Egyesült Államok egészségügyi rendszerét érte támadás, amely eredményeképp – a WannaCry-hoz hasonlóan – nem fértek hozzá a páciensek adataihoz, kezeléseket kellett megszakítani, elhalasztani. Azonban a WannaCry-tól eltérően, amely mondhatni „békeidőben” történt, a Ryuk esetében az érintett országnak a zsarolóvírus hátráltató hatásai mellett egy többletfeladatot is el kellett látnia: a növekvő koronavírus esetszámok területén is változatlan helytállásra volt szükség.
A Ryuk-ot már nem véletlenszerűen terjesztették a fertőzött számítógépekből álló robothálózatok, hanem tudatosan választották ki a célpontokat. Tipikusan jelentős infrastruktúrákat jelöltek ki, ahol titkosíthattak olyan információkat, amelyek hozzáférhetetlenné tétele akadályozta a megtámadott entitás mindennapi működését. Kórházakon és egészségügyi létesítményeken túl áldozattá vált még oktatási intézmény, vízmű, város (Lake City – USA, Onkaparinga – Ausztrália) és több kormányzati szerv szerte a világon.
Orvostechnikai eszközök biztonsága
Az elmúlt években az egészségügyet világszerte több zsarolóvírusos támadás érte, amelyek az idő múlásával egyre elterjedtebbek, szofisztikáltabbak és súlyosabbak lettek és lesznek a jövőben is. A kormányzatok és ügynökségek erőfeszítései a támadások megelőzésére és fékezésére sajnos nem bizonyultak minden helyzetben elégségesnek.
Az orvostechnológiai eszközök biztonsága (az inzulinpumpáktól a pacemakereken át a CT és MRI berendezésekig) elengedhetetlen a páciensek életéhez és jóllétéhez. Az eszközöket ért támadások demonstrálják a kibertámadások és adatszivárgások hatását az egészségügyi szektorra, amely szektor teljesítőképessége nagyban nyugszik a berendezések és eszközök zavartalan működésén, így fontos a védett egészségügyi információk adattárolóinak fokozott és átgondolt, szervezett védelme.
Az orvostechnológiai eszközöket úgy kell megtervezni, hogy azok ellenállóak legyenek fenyegetések esetén is, azonban jelenleg még nincs olyan szabályozás, amely kötelezné a gyártókat kiberbiztonsági szempontok figyelembevételére a tervezés és kivitelezés során.

Mi a teendő, ha számítógépünk megfertőződik?
„A megelőzés a legjobb orvosság” – mind az egészségügyben, mind a kibertámadások esetén helytálló ez a mondás. Magánfelhasználóknak és vállalatoknak, létesítményeknek egyaránt javallt a számítógépeken lévő szoftverek és operációs rendszerek gyakori frissítése. A gyártók ugyanis rendszeresen bocsátanak ki biztonsági frissítéseket, amelyek a különféle sebezhetőségeket hivatottak kijavítani. A fent tárgyalt WannaCry egy olyan biztonsági rés kihasználásával fertőzött meg eszközöket, amelyet a Windows rendszer frissítése be is foltozott volna, ha azt a felhasználók telepítik. Ez a kellő tudatosság hiányában azonban nem történt meg, így ölthetett ekkora méreteket a támadás.
Egy másik mód a megelőzésre a gyanús weboldalak kerülése, illetve az ismeretlen eredetű linkek, e-mail mellékletek megnyitásától való tartózkodás, hiszen gyakorta ezek hordozzák a kártékony szoftvert, ami a kattintás után letöltődik eszközünkre. Ugyanezen okból óvakodni kell ismeretlen külső adathordozók (pendrive-ok, winchesterek stb.) használatától.
Amikor elkerülhetetlen a nyilvános Wi-Fi hálózaton való böngészés, akkor ajánlott azt virtuális magánhálózaton (VPN) tenni.
Amennyiben rendelkezésünkre áll biztonsági mentés egy külső tárolón vagy felhőszolgáltatásban adatainkról, az akkor is kihúzhat bennünket a bajból, ha az említett óvintézkedések ellenére is zsarolóvírus áldozatai lettünk.
A szakértők szerint ebben az esetben – biztonsági mentés ide vagy oda – nem szabad fizetni. Ennek egyszerű oka van: semmi sem garantálja, hogy a váltságdíj kifizetése után valóban visszakapjuk titkosított adatainkat, ellenben minden egyes tranzakcióval gyakorlatilag az elkövetők bizniszmodelljét támogatjuk, ami megnöveli a jövőbeli támadások valószínűségét.
Tehát: valós félelem vagy mítosz?
Az elmúlt évek során nem csupán en bloc a zsarolóvírusok alkalmazása mutatott növekvő tendenciát, hanem arányaiban az egészségügyi intézmények, infrastruktúrák ellen elkövetett támadások is. Mivel egy-egy incidens emberéleteket kockáztat, mindenféleképpen valós félelemnek és megoldásra váró, égető problémának kell tekinteni azt, hogy az egészségügy a zsarolóvírusok kedvelt célpontjává vált.
Források
https://nki.gov.hu/figyelmeztetesek/karos-kod/wannacry-zsarolovirus/
https://nki.gov.hu/it-biztonsag/tudastar/zsarolovirus-ransomware-v2/
https://thehackernews.com/2022/01/are-medical-devices-at-risk-of.html
https://www.eset.com/hu/zsarolovirus/
https://www.freepik.com/free-vector/cyber-security-isometric-illustration_13749372.htm
https://www.freepik.com/free-vector/group-medical-staff-carrying-health-related-icons_3226126.htm
https://www.kaspersky.com/resource-center/threats/ransomware-wannacry
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5461132/
https://www.sentinelone.com/cybersecurity-101/ryuk-ransomware/
https://www.wired.com/story/ransomware-hospitals-ryuk-trickbot/