Amikor a hatóságok 2022 elején lezárták a REvil bandát, úgy tűnt, hatalmas győzelem a kiberbiztonságban. De itt a csavar: a REvil legveszélyesebb módszereit ma is alkalmazzák más bűnözők. Lássuk, mi történt, hogyan támadtak, és mit tegyél te a céged védelméért a következő fenyegetés ellen.
Ha követted a kiberbiztonsági híreket az elmúlt években, tuti olvastad: 2022 januárjában felszámolták a REvil ransomware bandát. Letartóztatások Oroszországban és az USA-ban, lezárták a műveleteket, és mindenki fellélegezhetett. Vagy mégsem?
Nem egészen.
A letartóztatások nagy győzelem voltak, ez tény. De miért írok erről a "lezárt ügyről"? Mert a REvil trükkjeit más bűnözőbandák ma is használják. Ha érted, hogyan működtek, tudod, hogyan védekezz a következő ellen.
A REvil (vagy Sodinokibi) nem akármilyen vírus volt. A szakértők "ransomware hercegnek" nevezték. Nem hobbihekkerek random támadtak velük, hanem profi, szervezett csapat.
Üzletként működtek – bűnöző üzletként. Csapatok osztoztak a feladatokon, alkudoztak a váltságdíjakon, és milliókat kerestek. Célpontjaik: kicsi cégek, óriásvállalatok, kórházak, állami szervek.
Rettegették őket, mert sokoldalúak voltak. Nem egy trükkre építettek, hanem több irányból támadtak. Ezt kell megértened a védelemhez.
A ransomware támadások nagy része unalmasan kezdődik. Nincs hollywoodi hacker-jelenet, csak hétköznapi hibák, amiket ezerszer hallottál már.
A REvil főbb módszerei:
Email mellékletek – Megjön egy Word fájl. Úgy néz ki, számla vagy álláshirdetés. Letöltöd, bekapcsolod a makrókat, és kész: bent van a betolakodó.
Csalinak tűnő linkek emailben – Melléklet helyett link. Rákattintasz, és egy oldal csendben letölti a kártevőt.
Megfertőzött weboldalak – Normál site-okat törnek fel, onnan terjesztik a vírust. Böngészel, és megkapod, anélkül, hogy észrevennéd.
Elforgatott távoli eszközök – IT-szoftvereket, amiket a rendszergazdák használnak, fertőzik meg. Így megbízható úton jutnak be.
A lényeg? Nem kell szuper titkos hibára építeni. Az emberi hiba és bizalom elég nekik.
Őszintén: nem állíthatod meg minden támadást pusztán megelőzéssel.
Persze, fontos:
Ezek kellnek. De a bűnözők okosak, kitartóak, tanulnak a hibáikból. Mire észreveszed az új trükköt, ők már megkerülték.
Ez fegyverkezési verseny, amit védekezéssel nem nyersz. Új taktikára van szükség.
Itt válik érdekessé: ne csak "hogyan állítsuk meg", hanem "hogyan állítsuk meg, amikor megtörténik".
Mert megtörténik. Ez nem pesszimizmus, ez a valóság.
A legjobb megoldás a kezelhető felismerés és reagálás (MDR). KKV-knak ez még mindig friss dolog.
Így működik:
Tűzfalak figyelik a kompromisszum jeleit (IoC-ket) – gyanús jeleket, hogy fertőzés terjed. A REvil idején 64-nél többet követtek nyomon.
Ha tűzfal lát ilyet, azonnal blokkol. Megszakítja a kapcsolatot a támadók szervereivel, amikkel irányítanak és ellopják az adatot.
Mint ha azonnal bezárnád az ajtót, amint megfordul a kilincsen.
Minden gépre, szerverre EDR-ügynököt telepítesz. Ezek nem csak ismert vírusokat keresnek, hanem furcsa viselkedéseket.
Például: fájlok hirtelen titkosítása, éjszakai belépés szokásos fiókból, vagy adatfeltöltés tiltott helyre.
EDR észreveszi, elszigeteli a gépet a hálózattól. Így nem terjed tovább, te meg nyugodtan vizsgálódsz.
Tűzfal + EDR jobb együtt. Itt jön a SOAR (biztonsági automatizálás).
Ez mint egy karmester: összeköti az eszközöket, friss hírekkel eteti őket (pl. MITRE ATT&CK), és automatikusan reagál.
Másodpercek alatt: elszigetelés, bizonyítékgyűjtés, lezárás. Az ember csak utána néz rá.
Nagy hiba kihagyni: támadási forgatókönyvek kidolgozása és tesztelése.
Forgatókönyv: "Ha ransomware-t észlelünk X részlegen, akkor A, B, C lépés." Szimulációs szoftverrel gyakorlod, hibákat kijavítod.
Valódi támadásnál nem pánikolsz, hanem végrehajtod a tervet.
A rendőrség nagyot alkotott, de a módszereik nem tűntek el a rács mögött.
Más bandák lemásolták a bevált taktikákat. Átvették az üzleti modellt: drága célpontok, adatkiadás fenyegetéssel. Sőt, kiszabadult embereiket is alkalmazták.
Ez nem régi sztori, hanem élő példa egy változó fenyegetésre.
Ha úgy érzed, a céged sebezhető, valószínűleg az. A legtöbb az.
Kezdd ezzel:
Nézd át az email-védelmet. Ellenőrzöd a mellékleteket? Régi gyanús emailek még ott vannak?
MFA mindenhol. Kétfaktoros belépés – jelszó egyedül nem elég.
Szabd fel a hálózatot. Ha egy részleg elesik, ne jusson el mindentől.
Vegyél MDR-t vagy EDR-t. A ransomware-költség sokkal nagyobb.
Írj választervet. Ki kit hív? Első lépés mi? Gyakorold.
A REvil nincs, de a világ, amit teremtettek, igen. Email-trükkök, pszichológiai hadviselés, hálózati lyukak, adatlopás, zsarolás – mindennapi valóság.
A túlélők nem szerencsések. Felkészültek, jó eszközeik vannak, és tudják: támadás jön, de gyorsan megállítják.
Ha csak megelőzésed van, bővíts. Felismerés és reagálás nem luxus, hanem alap. Légy éber!
Címkék: ['ransomware', 'revil', 'mdr', 'endpoint-security', 'threat-detection', 'cybersecurity-case-study', 'incident-response', 'network-security']