Továbbra is sebezhetők a Távoli Asztali Protokoll kapcsolatai


2020.11.10.

A zsarolóvírusok történetében először vizsgáltak egy támadást emberölésként, miután meghalt egy megtámadott kórház betege

Bár a világ egy járvány sújtotta télre készül, úgy tűnik, hogy a koronavírus legalább a számítógépes bűnözés közegében kezd veszíteni az erejéből. Mivel a koronavírushoz kapcsolódó csalik, átverések az idő múlásával hatásukat vesztették, a bűnözők szemmel láthatóan visszatértek az alapokhoz 2020. harmadik negyedévében. Van azonban egy terület, amire a járvány továbbra is hatással van: ez pedig az Otthoni munkavégzés és azon belül is a Távoli Asztali Protokoll (Remote Desktop Protocol, RDP) sebezhető kapcsolatai, annak számos biztonsági kihívásával együtt. Megérkezett a legfrissebb, harmadik negyedévet összegző kártevőkörképünk.

A vírusészlelési adataink szerint a céges hálózatok esetében a Távoli Asztali Protokoll (Remote Desktop Protocol, RDP) sebezhető kapcsolatai jelentik a fő kockázatot: az áldozatok érzékeny adatainak ellopása és a feloldókulcsért, valamint a nyilvánosságra hozatal megelőzéséért követelt váltságdíj nagyon jövedelmező támadástechnika lett. Így nem csoda, hogy az RDP-támadások száma folyamatosan növekedett már az év első felében is, a harmadik negyedévben pedig az ilyen jellegű támadási kísérletek további 37%-kal emelkedtek a megcélzott egyéni ügyfelek tekintetében. A nagyarányú emelkedés vélhetően annak a következménye, hogy a világjárvány idején egyre több, nem megfelelő biztonsági védelemmel rendelkező homeoffice rendszer csatlakozott az internethez, és a bűnözők valószínűleg a zsarolóvírus-bandáktól merítettek ihletet az RDP támadásokhoz.

A jelentésből az is kiderül, hogy a zsarolóvírusok történetében ebben a negyedévben találkoztak először olyan esettel, amikor egy támadást emberölésként vizsgáltak, miután meghalt egy zsarolóvírus által megtámadott kórház betege. Már a korábbi támadásoknak is drasztikus hatásai voltak: a lekapcsolt levelező szerverek miatt csak telefonon és faxon folyhatott a kommunikáció, csak személyesen lehetett leleleteket átvenni, akadozott a betegfelvétel, illetve a leállások miatt műtéteket is el kellett halasztani, de halálesetek az előző incidenseknél korábban még nem történtek.

Egy másik meglepő fordulat pedig a kriptobányászat újjáéledése volt, mely korábban hét egymást követő negyedévben is csökkenő tendenciát mutatott.

Sok más is történt a harmadik negyedévben: az Emotet újbóli színrelépése, az androidos kéretlen reklámok és a banki kártevők számának folyamatos növekedése mellett nem csitult, sőt folyamatosan növekedett a kéretlen e-mail támadások száma is. Ezeknél közismert csomagkézbesítő és logisztikai vállalatok nevével visszaélve küldenek megtévesztő üzeneteket, melyeknél vagy a melléklet vagy a hivatkozott link tartalmaz rosszindulatú, legtöbbször valamilyen Microsoft Office állomány sérülékenységét támadó programot.

A negyedév azonban kutatási eredményekben is gazdag volt: az kutatóink egy kriptovaluta-kereskedelemi alkalmazással megtoldott Mac kártevőt lepleztek le, és felfedezték a Linux VoIP szoftveres kapcsolóberendezéseit célzó CDRThief-et valamint elmélyedtek KryptoCibule, a kriptovaluták tekintetében háromszoros fenyegetésnek számító kártevő vizsgálatában. Emellett újabb, a korábbi Kr00k sérülékenységnek kiszolgáltatott Wi-Fi-chipet azonosítottak be. Az említett Kr00k router sebezhetőség, amely a WPA2 titkosítást használók adatait szolgáltatja ki illetéktelenek számára, úgy tűnik további fejtörést okoz, ugyanis a korábban listázott típusokhoz képest még többféle eszköz érintett, tehát sikerrel támadható. Az új, biztonságosabb WPA3 szabványú eszközök megjelenése idővel majd biztató lehet ezen a téren, ám e technológia tömeges elterjedése sajnos még több évet is várathat magára.

Áttekintve az összesített kártevőlistát, a harmadik negyedévben a lista élén tíz darab olyan trójai kártevőt találunk, melyek elsősorban social engineering (felhasználói megtévesztés) technikával kombinált támadásokhoz kapcsolódnak: állítólagos nyereményjátékok, lottónyereményekről szóló értesítések, amelyek hivatalos szervek, pénzintézetek nevében érkeznek.

Az IoT eszközök továbbra is jelentős kockázatokat rejthetnek: itt a sebezhetőségek javítására megjelent firmware frissítések elmulasztása, illetve a könnyen törhető, alapértelmezett vagy gyenge admin jelszavak használata jelenthet kiemelt veszélyt. A kiberbűnözők ezeket a távolról könnyen támadható eszközöket botnethálózatba szervezik, és így követnek el további támadásokat.