Zsaroló vírussal támadták meg a Canont

2020.08.08

A különféle képalkotó-eszközöket, nyomtatókat és fényképezőket gyártó Canon vállalat a legutóbbi jelentős áldozata annak a kiberbűnözői csoportnak, akik a Maze nevű zsarolóvírus (ransomware) mögött állnak. A támadások során a hackerek nem csupán titkosítják és zárolják a fertőzött eszközökön található fájlokat a kártevővel, de egyben el is lopják az adatcsomagokat.

A kiberbiztonsági történésekkel foglalkozó BleepingComputer forrása szerint a Canontól több mint 10 terabájt adatok sikerül elszipkázni. A cikk írásának pillanatában az incidens körülbelül 25, a gyártóhoz köthető doméncímet és pár belsős alkalmazást érint, többek közt levelező-, és kollaborációs-szolgáltatásokat.

A Canon szóvivője a Computer Weekly számára megerősítette, hogy a vállalat amerikai részlegének belsős rendszerét és weboldalait érinti a támadás. A Canon még vizsgálja az ügyet, arról további részleteket nem közölt.

(Kiemelt kép: GettyImages)

/Forrás: https://24.hu/tech/2020/08/07/canon-zsarolovirus-tamadas-ransomware/

Nemrég a Garmint, előtte pedig a Hondát támadták meg kiberbűnözők zsarolóvírussal: 

Kibertámadás érte a Honda rendszerét júniusban, a belsős hálózatok megbénultak, és több gyárban is le kellett állítani a termelést. Nagy valószínűséggel célzott akció történt, és bár a tokiói székhelyű vállalat csak kevés részlettel szolgált, úgy tűnik, egy fiatal zsarolóvírus okozta a problémát. A szakértők szerint a jövőben egyre inkább fel kell készülni a hasonló esetekre.

A Honda június 8-án erősítette meg a Twitteren, hogy kibertámadás áldozatává vált, így hálózatának egyes részei megbénultak, Japánban nem tudtak hozzáférni a belső szerverekhez, emailekhez. Az incidens kihatással volt a termelési, értékesítési és fejlesztési tevékenységekre is, le kellett állítani az Ohióban, Törökországban, Olaszországban lévő gyártósorokat.

Múlt hét pénteken még akadályba ütközött az új alkatrészek rendelése, a szervizes számlák készítése - tudtuk meg a Honda bécsi központjától, ahová kérdéseinkkel fordultunk. A kereskedők csak készletről tudtak új autókat értékesíteni, de a forgalomba helyezésükhöz szükséges dokumentumokat egyelőre nem tudták a vásárlók rendelkezésére bocsátani. A hálózati problémákat már megoldották, a központi rendszerek ismét működnek és elérhetők. A világ egyik legnagyobb gyártója (ami a gépkocsik mellett motorokat, generátorokat, munkagépeket, kísérleti gépeket és sok más mindent készít) még nem tudja felbecsülni az okozott kár mértékét. Állításuk szerint személyes adatok, ügyfelekkel kapcsolatos információk nem szivárogtak ki.

Miért pont a Honda?

A Honda központja egyelőre azt is vizsgálja, kik lehetnek az elkövetők - tájékoztatta a 24.hu-t a cég. Egyelőre csupán feltételezéseket lehet megfogalmazni az alapján, hogy jellemzően milyen szereplőknek és miért lehet vonzó célpont egy autógyártó.

Az ilyen ipari jellegű rendszerek ellen korábban intézett támadások mögött főleg állami szereplőket lehetett sejteni, melyeknek hátterében általában a stratégiai, politikai, geopolitikai vagy gazdasági aspektusok domináltak. Ez az eset a különlegesebbek közül való, mert ma úgy tűnik, hogy a rendszer titkosításával és ezen keresztül a leállításával a zsarolóknak közvetlen anyagi haszonszerzés is a céljuk lehetett

- mondta el megkeresésünkre Keleti Arthur, a kiberbiztonsági szakmában jelentős Informatikai Biztonság Napja (ITBN) fórum alapítója. A szakértő szerint a támadás egyértelműen célzott volt, mert a (feltehetően zsarolóvírus, azaz ransomware) kórokozó csak akkor terjed, ha konkrétan a megtámadott rendszerben találja magát, egyébként nem aktív.

Jelen pillanatban még nem tudni, hogy a támadók a fertőzés előtt mennyi ideig tartózkodhattak a rendszerben (ha egyáltalán benne voltak), és elloptak-e adatokat a gépek titkosítása előtt. A támadás viszont nagyon hatékonynak bizonyult, mert a jelek szerint a kórokozó eljuthatott a gyártó rendszerekig is, ezek között pedig akadt olyan, amelyet az üzemeltetők hosszabb időn át nem akartak vagy tudtak újraindítani.

A támadást az anyagi haszonszerzésen túl a kiváltott gazdasági hatás is motiválhatta.

Keleti említi, hogy az elemzésekben felmerül egy iráni szál is, amelyre közvetett bizonyítékok vannak például a zsarolólevélben meghagyott email cím és egyéb technikai elemek formájában, de ez ma még nem egy megalapozott feltételezés. A Honda elleni támadás ráadásul pár nappal előbb történt, mint a bahreini Bapco olajcéget ért, iráni eszközzel végrehajtott támadás.

Fiatal kártevőre gyanakodnak a szakértők

A Hondának még nincs szakértői vélemény a birtokában, a vizsgálatok jelenleg is folynak, ezért nem tudtak hivatalos választ adni arra a kérdésre, melyik kártevő okozta a problémát. Minták alapján külsős szakértők azt tartják valószínűnek, hogy az incidens az EKANS/SNAKE zsarolóvírus-családhoz kötődhet, amit tavaly év végén detektáltak először.

Erre gyanakszik Morgan Wright, a Sentinel One kiberbiztonsági cég szakembere is, aki szerint ugyan a Honda még nem tudja, miként jutott be a kártevő a rendszerbe, de szerepet játszhatott a támadás során az is, hogy a hackerek az új koronavírus témájához kapcsolódó trükkökkel nagyobb eséllyel tudják rávenni a dolgozókat arra, hogy kártékony dokumentumokat és fájlokat töltsenek le. A számok is erről árulkodnak: a Beazley biztosító 25 százalékos növekedést mért a zsarolóvírusok által megkárosított ügyfelei számában 2020 első negyedévében az előző évhez viszonyítva.

Kiemelt kép: Xinhua / AFP (Fotó: GettyImages)
Kiemelt kép: Xinhua / AFP (Fotó: GettyImages)

Keleti szerint a Honda ellen bevetett eszköz rokonságot mutat egy 2019 közepén felfedezett MEGACORTEX nevű kártevővel, amiben szintén voltak ipari rendszereket célzó elemek. Az EKANS a hálózatra bejutva - ha az adott gépen még nem "járt" - leállítja az ott működő szolgáltatásokat (beleértve a védelmi rendszereket, adatbázis-kezelőket is), majd titkosítja a gépen található állományokat, egyúttal egy zsarolólevélben közli: egy adott email címen lehet érdeklődni, ha a cég vissza szeretné kapni az adatait.

A legnagyobb érdekessége az EKANS-nak az, hogy ugyan nem túl fejlett módon, de egyértelműen célozza a hagyományos infrastruktúrák mellett az ipari rendszerek gépeit, szolgáltatásait is. Ez kiolvasható a leállítandó ipari szolgáltatások széles listájából, amelyeket a szoftver beépítve tartalmaz 

- részletezte számunkra a kártevő működését Keleti. Mind a Honda, mind pedig egy másik EKANS-szal megfertőzött áldozat esetében található például az interneten nyitva hagyott RDP port (a távoli gép adminisztrációjára), ami egy lehetséges behatolási pontként szolgálhatott. De lehetett egy korábban állami szereplők által használt bonyolultabb behatolási technika is. Ezt azonban pontosan nem tudni.

Ipari rendszerek a célkeresztben

A szakértő szerint az incidens rámutat arra, hogy ma már számíthatunk olyan támadásokra, amelyek egyszerre veszélyeztetik az irodai és az ipari rendszereket, terjedhetnek a két rendszer között. Elhárításuk komolyabb figyelmet követel a gyártási, ipari rendszerek üzemeltetőitől is, mert például az EKANS bizonyos tekintetben (nem aláírt szoftver, még soha nem látott állomány) elkülöníthető lehetett volna,

azonban sok hivatalos ipari rendszer használata és azok frissítése sem megfelelően ellenőrzött követelmények között történik.

A védekezést tovább nehezíti, hogy a támadások nagyon gyorsan zajlanak le, Keleti szerint korábbi esetekben megfigyelhető volt, hogy 24 óra alatt akár 20-30 eszközzel hajtottak végre összetett támadást ipari rendszerek ellen. Mind a hálózaton, mind a gépeken van már lehetőség fejlettebb védekezésre, valamint igénybe lehet venni SOC-ok (biztonság incidensi kezelő központok) szolgáltatásait is, de ezt akarni is kell.

Eljött az idő, amikor az ipari rendszerek üzemeltetőinek is fókuszálniuk kell a kiberbiztonságra, most már ők is a célkeresztben vannak 

- összegezte Keleti.

Az Interpol Kiberbűnözés Elleni Igazgatóságának vezetője, Craig Jones is erre hívta fel a figyelmet pár hónapja. Szerinte a három évvel ezelőtt történt WannaCry-járvány kitörése óta a kiberbűnözők tovább diverzifikálták a zsarolóvírus-támadások indításához használt támadási vektoraikat. A fókuszuk és a támadásaik sokkal célzottabbá váltak, és áthelyeződtek a vállalkozásokra, a kormányzati és az egészségügyi szervezetekre, ahol az adatok kritikus fontosságúak, így nagyobb összegű váltságdíjat kérhetnek értük.

/Forrás: https://24.hu/tech/2020/06/16/honda-japan-gyar-zsarolovirus-tamadas-leallas-benitas-ransomware/