A zsarolóvírusok az utóbbi években elég népszerűek lettek a kiberbűnözők körében. Ezek titkosítják az áldozat féltett fájljait, majd a készítői pénzt kérnek a dekódolásért. A „váltságdíj” kifizetése sajnos nem minden esetben jelenti azt, hogy a titkosítás feloldhatóvá válik, a fájlok újra elérhetőek lesznek, így az esetek többségében nem érdemes kifizetni az összeget, amit a támadók kérnek – érdemesebb inkább előrelátóan védekezni és a fontos állományokról elkülönített biztonsági mentéseket készíteni.
A veszély fokozódik?
Az átlagfelhasználókat és az üzleti felhasználókat egyaránt támadó zsarolóvírusok már eddig is nagyon sok kárt okozta, gondoljunk csak a WannaCry, a Petya és a NotPetya névre keresztelt digitális kártevőkre. A Palo Alto Networks Unit 42-es részlegének biztonságtechnikai kutatói nemrégiben egy új zsarolóvírust fedeztek fel, amely az Xbash nevet kapta. Különlegessége abban rejlik, hogy nem csak zsarolóvírus modullal rendelkezik, hanem bot net készítő, illetve kriptobányász modullal is, célkeresztjében pedig nem csak Windows, hanem Linux alapú szerverek is szerepelnek. És olyan „alvó modul” is van benne, ami csak a fejlesztők aktiválására vár, hogy megkezdhesse a károkozást a különböző cégek és szervezetek belső hálózatain (intranet), amelyek rendszerint sokkal csekélyebb védelemmel rendelkeznek, mint a külső kapcsolatokat kezelő rendszerek.
A kutatók szerint az új kártékony kód a NotPetya alapjaira épül, de sokkal veszélyesebb annál, hiszen többféle modult is egyesít egyetlen csomagban. Az Iron Group által fejlesztett malware először idén májusban bukkant fel, azóta viszont több egyéb variánsa is megjelent, amelyek különböző időbélyegekkel és kóddal rendelkeznek, vagyis a csapat jelenleg is aktívan fejleszti az Xbash-t.
Mint az összes többi zsarolóvírus, úgy az Xbash is titkosítja a megtámadott rendszer különböző fájljait, amelyek után váltságdíjat kér. Cserébe a támadók azt ígérik, megadják a titkosítás feloldásához használható kulcsot, vagy éppen távolról kikapcsolják a titkosítást. Igen ám, de az Xbash moduljai között csak adattitkosításra alkalmas szoftverrészek lapulnak, olyan funkció eleve nincs beépítve, amely az adatok visszaállítását célozná. Éppen ezért az a 48 áldozat, akik eddig kifizettek összesen nagyjából 6000 dollárnyi váltságdíjat, feleslegesen költötték a pénzüket, hiszen az adataikat nem kapták vissza. A kifizetés természetesen Bitcoin alapon történt, ezt a tranzakciós formát ugyanis nehéz visszakövetni, így a kiberbűnözők számára minden ilyen esetben vonzó választásnak bizonyul.
Az Xbash a sokoldalúsága mellett azért veszélyes, mert mind a Windows, mind pedig a Linux szervereket támadni tudja – mindkét tábor számára eltérő „kellemetlenségeket” tartogat. A Linux szervereket a zsarolóvírus modul támadja, ami a szerveren található állományok titkosításával és váltságdíj kérésével operál. Ezzel együtt úgynevezett bot netet, vagyis zombihálózatot is létre tud hozni a megtámadott Linux szerverekből, amelyet újabb támadási formákhoz használhatnak fel a készítők. A Windows szerverek esetében sikeres támadáskor aktiválódik a kártevő kriptobányász algoritmusa, ami a szerver erőforrásait felhasználva bevételt generál készítőinek. A Windows szervereket ezzel együtt arra is használja az Xbash, hogy terjessze magát. A kifinomult kártevő a fenti tulajdonságoknak köszönhetően egészen komoly felfordulást tud okozni.
További aggodalomra ad okot, hogy a csomag tartalmaz egy különleges modult is, ami a belső hálózatokat (intranet) támadja. A belső hálózatokon keresztül további lehetőségek nyílnak a támadók előtt, például hozzáférhetnek a különböző cégek és szervezetek belső szolgáltatásaihoz, illetve a bizalmasabb adatokhoz is. Az „intranet modul” a jelek szerint még fejlesztés alatt áll, azaz egyelőre inaktív, így csak idő kérdése, mikor lép akcióba. Tehát erősen valószínű, hogy a folyamatosan fejlődő malware hallat még magáról az elkövetkező hetek és hónapok során.
Némi elővigyázatossággal minimalizálható a kár
Hogy miként lehet ellene védekezni? Folyamatosan frissített rendszerekkel, a megfelelő biztonsági előírások betartásával (nem nyitunk meg gyanús mellékletet, nem kattintunk gyanús levelek linkjeire, stb…), valamint a fontos adatok gyakori mentésével és külső adattárolón történő tárolásukkal, hogy egy esetleges támadás esetén minél kisebb kár érjen minket. A legfontosabb: a váltságdíjat egyáltalán nem szabad kifizetni, hiszen ezzel az adatok titkosítása nem oldódik fel, a fejlesztőket azonban támogatják az áldozatok, akik így vérszemet kapnak és még több erőforrást fordítanak a kártevő fejlesztésére.
