A Ransomware valódi költségei

A 2016-os kiberbiztonsági statisztikákat elemezve világos trend tapasztalható: Az egyik legnagyobb veszélyt a zsarolóvírusok térhódítása jelenti már nem csak az egyéni felhasználók között, de a vállalati szektor számára is. A ransomwareket kifejezetten pénzszerzési céllal készítik, gyakran bűnszervezeti szinten, ugyanis sajnos a személyes és üzleti információk túszul ejtése jövedelmező illegális iparágnak bizonyult az elmúlt időszakban. Friss statisztikák és kutatások segítségével ismertetjük a ransomware vírusok által okozott valódi költségeket, valamint olvashattok arról is, mivel jár egy zsarolóvírus fertőzés egy valódi magyar cég esetében.

A tényadatok

Az Osterman Research által végzett kutatásban amerikai, kanadai, német és egyesült királyságbeli cégek vettek részt, az eredmények pedig elgondolkodtatók. 12 hónapon belül a vizsgált vállalkozások 39 százalékát érintették ransomware támadások. Annak ellenére, hogy az Egyesült Királyságban vizsgált cégek 54%-a érintett az ügyben, az európai vállallatok vannak legkevésbé tisztában a veszéllyel.

Míg az amerikai válaszolók 59%-a magas vagy rendkívül magas prioritással kezeli a zsarolóvírusok által jelentett kockázatot, a német cégek csak 19%-a járt el hasonlóan. A számottevően alacsonyabb arány mögött valószínűleg az állhat, hogy csak 18%-uk tapasztalt ransomware fertőzést 2016 augusztusáig.

Bár a fertőzési-arány jelentősen alacsonyabb a többi országhoz képest, ez a 18% is komoly következményekkel járt. Az áldozatok közel negyede egyértelmű bevételkiesést szenvedett a ransomwarek miatt, 13%-uknak pedig azonnal meg kellett állítania minden üzleti folyamatot.

A zsarolóvírusok iparági penetrációja elképesztő eredményeket mutat.

Mint a grafikonon látható, a 4 legnagyobb célpont az egészségügyi, pénzügyi, feldolgozóipari és önkormányzati szektor volt.

Az egészségügyi szegmens ilyen magas szintű érintettsége azért is aggasztó, mert a zsarolóvírusok több olyan helyzetet is okoztak, mikor a kórházi eszközök és adatok hozzáférhetetlensége miatt emberi életek is veszélybe kerültek.

A kutatási anyag szerint a kiberbűnözők elsődleges célpontjai a középvezetők és döntéshozói szinten dolgozó munkatársak voltak, mégpedig azért mert így próbáltak meg magasabb váltságdíjat kikényszeríteni.

A zsarolóvírus által okozott károk

Egy ransomware fertőzés nem csak a produktivitásra, a cég hírnevére, az üzletfolytonosságra, és a brandre jelent fenyegetettséget, de közvetlen pénzügyi teherrel is jár. Ha egy vállalkozásnak meg kell állítania a termelési folyamatot, a kieső idő kritikus költségeket jelenthet (főleg a pénzügyi és feldolgozóipari vagy gyártó cégek esetén).

Ha a vírus titkosít minden értékes adatot a vállalati eszközökön, a munkatársak nem tudják elvégezni a szükséges munkafolyamatokat, és nem tudnak a megszokott ütemben dolgozni. Elég csak 1 eszközt megfertőzni, és az egész hálózat – minden egyéb számítógéppel együtt – veszélybe kerül.

Ezekben az esetekben az üzleti tevékenység megáll, a cég pedig elkerülhetetlenül is pénzt fog veszíteni.

A fontos adatok titkosításával akár minden üzleti információ kárba veszhet. Naprakész biztonsági mentés nélkül a visszaállítás vagy irreálisan magas költségekkel jár, vagy nem is kivitelezhető. A váltságdíj kifizetése pedig nem csak kockázatos, de morálisan is megkérdőjelezhető lépés. Senki sem szívesen támogatja a bűnözők munkáját, azonban még a váltságdíj kifizetése esetén sincs semmi garancia arra, hogy valóban átadják a titkosítás feloldásához használható kulcsot. A zsarolóvírusok készítői még odáig is elmehetnek, hogy a titkosított adatokat ellopják, és nem elégszenek meg a váltságdíj összegével. A Chimera nevű vírus például a titkosítás után feloldott adatok publikálásával zsarolta az áldozatait.

Az egészségügyi vagy közszolgáltatási cégek esetén az adatvesztés emberi életeket is veszélybe sodorhat vagy akár több millió ember hétköznapjaira lehet hatással, és hozhatja őket balesetveszélyes helyzetekbe. Az áramszolgáltatók, vízszolgáltatók esetén teljes városokat is megbéníthat egy ilyen támadás.

Valós példa Magyarországról

Szeretnénk bemutatni, hogyan is történt és milyen következményekkel járt egy nemrég történt ransomware fertőzés egy magyar cég életében. A szóban forgó vállalkozás a feldolgozóiparban működik, és a rendszeresen frissített operációs rendszerek, tűzfalak és antivirus szoftverek ellenére mégis áldozatul esett egy ransomware támadásban.

A vírus e-mail csatolmányként érkezett az egyik irodai számítógépre, reggel 9:02-kor. A kiinduló eszközt 3 perc alatt teljesen megfertőzte, és elkezdte az adatok titkosítását, valamint a hálózaton keresztül való terjedést. Dokumentumok, tervrajzok, képek és a teljes könyvelés elérhetetlenné vált. A központi irodai szerver külön helyszínen található, ennek teljes titkosításáról 2 óra alatt gondoskodott. Minden adat, amit a helyi szerveren tároltak olyan erős kriptográfiai megoldással került elzárásra, hogy annak feloldása a kulcs ismerete nélkül teljes mértékig lehetetlen lett volna.

A kliensgépek fertőződése után a telephely összes munkafolyamata megállt, és a cégnek el kellett kezdenie a kárfelmérést.

A váltságdíj kifizetése nem volt valós opció, hiszen a vírus 7 bitcoint követelt számítógépenként (ami mai árfolyamon € 5000 körüli, azaz 1,6 millió forintos költséget jelentett volna), azonban minden egyes irodai eszközt megfertőzött.

A szakértők szerint az IT rendszer újraépítése több mint 30 extra munkaórával fog járni az IT osztály dolgozói számára, de például a teljes 2016-os könyvelés is elérhetetlenné vált. Szerencsére volt egy telephelyen kívüli biztonsági mentés, így az előző évek adatairól készült biztonsági másolatok megmaradtak, azonban az idei év összes pénzügyi és könyvelési dokumentumának újraelőállítása az első becslések szerin több mint 400 extra munkaórát jelent a vállalkozás számára.

A fenti adatvesztések mindegyike elkerülhető lett volna, ha a cég rendelkezett volna felhő alapú biztonsági mentésekkel. A felhőkörnyezetben minden zsarolóvírus hatástalan, hiszen lehetősége sincs futtatnia a kártékony kódot. Technológiai szemszögből nézve a felhő alapú biztonsági mentés tökéletes megoldást jelent erre a rendkívül komoly és fenyegető problémára is. A biztonsági másolatok minden előnye mellett (többek közt vis maior események, hardverhiba, szoftverhiba, vírusok, véletlen törlések elleni védelem) azzal, hogy a mentések naprakész állapotban tarthatók úgy, hogy azok tárolása nem a telephelyen történik, minden problémára azonnali megoldást kínál. Az adatok helyreállítása a felhő segítségével percekben mérhető (természetesen a vállalkozás számára elérhető sávszélesség és a fájlmennyiség függvényében).

A felhőben történő adattárolástól leggyakrabban azért tartanak, mert ilyenkor egy külsős cég tárolja a vállalkozás érzékeny információit. Azonban az olyan szolgáltatók esetén, akik kliens-oldali titkosítást kínálnak a felhő alapú biztonsági mentés szolgáltatásukhoz, ez nem jelent semmilyen kockázatot. Az egyedi, kliens által megadott jelszóval és helyben elvégzett mentés-titkosítás miatt garantálható, hogy a fájlokhoz és a mentés tartalmához kizárólag az férhessen hozzá, aki azokat jelszóval ellátta.

Az adatvesztést megelőzni mindig olcsóbb, mint a biztonsági másolat nélküli helyreállítás. Mint ahogy ebben az esetben is látszik, ha a cég rendelkezett volna naprakész, felhő alapú biztonsági mentéssel, a vállalkozás teljes helyreállítása megoldható lett volna az IT osztály extra munkájára számítható költség feléből (nem beszélve a leállásról, könyvelés újra elkészítéséről és egyéb költségekről).

A cégnek így el kellett kezdeni az IT rendszer felépítését, teljesen az alapoktól, valamint egy hónap alatt újra elő kell állítani a 2016-os év teljes könyvelését.