Manapság bárki vásárolhat magának zsarolóvírust a hozzá tartozó szolgáltatáscsomaggal együtt mindössze 400 dollárért. A vírussal aztán a bűnözők számítógépeken tárolt adatokhoz férnek hozzá, amelyeket kódolnak és a feloldásért cserébe váltságdíjat követelnek.

A szakértelem mértékétől függetlenül egyre könnyebbé válik zsarolóvírusok létrehozása és terjesztése. Nincs másra szükség, csak rossz szándékra és a dark webhez való hozzáférésre, egy olyan kereskedelmi színtérre, ahol úgy árulják a zsarolóvírusokat, mint a cipőket vagy játékokat az Amazonon. Az új trend a ransomware-szolgáltatás, eredetileg ransomware-as-a-service, vagy rövidítve RaaS. Egyik kiváló példa rá a könnyen elérhető és személyre szabható Philadelphia – hívja fel a figyelmet az IT-biztonsággal foglalkozó Sophos.

A Philadelphia zsarolóvírus-szolgáltatás alkotói – a The Rainmaker Labs – olyan kereskedelmi stratégiát építettek ki, mint amit a legitim szoftvercégek alkalmaznak a termékeik vagy szolgáltatásaik eladására. Magát a Philadelphiát elsősorban a dark weben rejtőző felületeken keresztül értékesítik, ugyanakkor a Youtube-on egy kereskedelmi színvonalú bemutatót találhatunk, amelyben a kit alapvető működési elvét és a személyre szabási lehetőségeket részletezik.

A zsarolóvírus-szolgáltatás nem számít ismeretlen dolognak, viszont a „csináld-magad” jellegű támadóeszköz nyílt és kifinomult reklámstratégiája újszerű. A zsarolóvírusok döntő többségével ellentétben a Philadelphiával kapcsolatos tudnivalók nyíltan elérhetőek az interneten és nem csak a dark web eldugott és titkos részein. Ez sajnos jól mutatja azt is, hogy mire számíthatunk a jövőben-véli a Sophos.

Az áldozatok követése és az opcionális kegyelem

A marketing mellett más extrákkal is rendelkezik a szolgáltatás. Számos beállítási lehetőség áll a vásárlók rendelkezésére, amellyel személyre szabhatják a támadási formát. Ilyen például az áldozat Google Maps segítségével történő követé , vagy a kegyelmi opció, amely segítségével a támadók fizetés nélkül is feloldhatják az áldozat titkosított adatait.

A támadókampány felépítéséhez, a vezérlőszerver kialakításhoz és a pénzbegyűjtéshez is kapnak tanácsokat a felhasználók. Minden ott van. Ironikus módon a kegyelmi opció nem feltétlenül az áldozatok érdekében került bele a Philadelphiába, hanem azért, hogy a kiberbűnözők megmenekülhessenek bizonyos zűrös helyzetekből.

Extra szolgáltatások

A Philadelphia kegyelmi opciója, a Google Maps követés, illetve számos további funkció egyre inkább kezd elterjedni a zsarolóvírusok között és jól mutatja, hogy az ilyen típusú szolgáltatás piaca egyre inkább a legitim szoftverek kereskedelméhez kezd hasonlítani.  A szoftver tudásához mérten kedvezőnek nevezhető 400 dolláros árcímke folyamatos frissítéseket és korlátozás nélküli hozzáférést, illetve korlátozás nélküli támadásmennyiség biztosít a vásárlók számára. Mintha csak egy teljesen átlagos, legális szoftverszolgáltatás lenne terméktámogatással és állandó frissítésekkel.

Az „Orosz rulett” is az opciók között szerepel, amely egy meghatározott időintervallum letelte után töröl néhány fájlt. Ennek célja, hogy a felhasználót pánikhelyzetbe kényszerítse a gyorsabb fizetés érdekében.

Lopott kód

Bizonyos kiberbűnözők feltörték és kalózverziót hoztak létre a Philadelphiából, majd a saját lopott verziójukat árulják tovább az eredetinél olcsóbb áron. Míg maga a feltörés nem új dolog, a mértéke az. A késztermékként kínált támadóeszközök, amelyek nem kívánják meg, hogy a használójuk tisztában legyen azzal, mit is csinál, könnyen hozzáférhetőek és folyamatosan fejlődnek. A Sophos szerint hamarosan nőni fog a tét és a csalók is a támadások célpontjaivá fognak válni.

Nem szokatlan dolog, hogy a kiberbűnözők más kódját lopják el, vagy egy ransomware korábbi verziójára építkeznek. Ezt láttuk a közelmúltban lezajlott NotPetya támadásnál is. Itt kombinálták a Golden Eye-t, a Petya egy korábbi verzióját az Eternal Blue exploittal, melynek következtében globális szinten terjedt el a számítógépeket megfertőző szoftver.

Defenzív eljárások

A Sophos a zsarolóvírusok elleni védekezéshez azt javasolja, hogy a rendszeresen készített biztonsági mentést és az aktuális biztonsági másolatot külön helyen tároljuk. A ransomware-en túl több tucatnyi oka lehet annak, hogy a fájlok elvesznek, mint például tűzeset, áradás, lopás, egy elejtett laptop, vagy akár egy véletlenszerű törlés. A biztonsági másolat titkosításával elkerülhető, hogy az adatok rossz kezekbe kerüljenek.

Ne engedélyezze az emailen keresztül érkezett csatolt dokumentumok makróit! A Microsoft biztonsági intézkedésként évekkel ezelőtt kikapcsolta a makrók automatikus végrehajtását. Számos zsarolóvírus arra akarja rávenni az áldozatot a fertőzés folyamatának megkezdése érdekében, hogy kapcsolja be a makrókat.

Figyeljen a kéretlen csatolmányokra! A bűnözők gyakran arra a dilemmára alapoznak, hogy nem kellene megnyitnia egy dokumentumot, amíg nem tudja megállapítani, hogy valóban arra van e szüksége, de ezt nem tudja megmondani, amíg meg nem nyitotta. Ha kétségei vannak, ne nyissa meg!

Időben és gyakran frissítsen! Azok a zsarolóvírusok, amelyek nem dokumentumok makróira épülnek, gyakran más népszerű alkalmazások biztonsági hiányosságait próbálják kihasználni. Ilyen lehet például az Office, a böngésző, a Flash és még számos más szoftver. Minél korábban frissít, annál kevesebb nyílt biztonsági rés áll bűnözők rendelkezésére, amit kihasználhatnak. Támadás esetén a felhasználónak meg kell bizonyosodnia arról, hogy legfrissebb verziójú PDF olvasót, illetve Word alkalmazást használja.

Használjon speciális szoftvereket, mint amilyen például a Sophos Intercept X, amely megállítja a zsarolóvírusokat azáltal, hogy letiltja az engedély nélkül fájltitkosítást.