Néhány napja került nyilvánosságra. Először egy zárt facebook csoportban (CyberThreat.Report), majd azóta már több hírportál is (pl. Telex, ATV) foglalkozott az esettel, így szinte biztosan mindannyian találkoztatok vele: egy magyar szervezetet zsarolóvírus (ransomware*) támadás ért.
Amiért ez most nagyobb nyilvánosságt kap, az az, hogy az érintett szervezet a Védelmi Beszerzési Ügynökség Zrt. (VBÜ Zrt.), mely Magyarországon a védelmi és biztonsági feladatokkal kapcsolatos beszerzéseket végzi (honvédség, rendőrség, minden egyéb biztonsági szerv részére), a ruházattól kezdve a fegyvereken át, akár a vadászrepülőgépekig. Ezekhez a beszerzésekhez kapcsolódó levelezések, dokumentumok, adatbázisok, stb. kerülhettek most a nemzetközi „INC Ransom” zsarolásokra „specializálódott” hackercsoport kezébe.
Egy ransomware típusú támadás során a támadók – ha az anyagi haszonszerzés az elsődleges céljuk – először „felajánlják”, hogy a titkosított tartalmakat bizonyos összeg fejében – a jelen esetben ez 5 millió US dollár (!) – visszaállítják. Viszont, ha a fizetés nem történik meg határidőre, akkor elkezdik kis csomagokban nyilvánosságra hozni a megszerzett, letöltött anyagokat. Ennél a pontnál fedezte fel egy internetes hírszerzéssel foglalkozó csoport a kiszivárogtatott információkat. Az elérhető képernyőmentések alapján, a támadás 2024 október 15. után történhetett. (Az eddig látott információk alapján. Tehát 1 hónapja!)
A VBÜ Zrt. honlapján néhány nappal ezelőttig csak egy októberi üzemzavarról adtak tájékoztatást, viszont tegnap óta már nyilvánosan elismerték a támadás tényét.
A vizsgálat jelenleg tart, a támadás pontos módja még nem ismert. A rendszerbe való behatolás történhetett egy meglévő (és nem javított) sérülékenység kihasználásával is.
Mit tanulhatunk mi az esetből?
„Az én cégem túl kicsi.” – Nem a méret számít!
A VBÜ Zrt.-t – a ceginformacio.hu alapján – 2019-ben alapították, utolsó létszám adata 97 fő, az előző évi (2023.) nettó árbevétele (kerekítve) 28.000.000 HUF volt. Ezek alapján bármelyik középvállalkozás is lehetne. Ehhez képest most 5 millió USD „váltságdíjat” kér a zsarolócsoport az adatok visszaállításáért. A nettó 28 millió forintos éves árbevétel szerintetek sok, vagy kevés egy vállalkozás életében? Néhány vállalkozás árbevételére rákeresve, lehet akár egy webshopnak, vagy pl. fémmegmunkálással foglalkozó cégnek is hasonló, vagy jóval több bevétele.
„Ki akarna engem megtámadni?” – Bárki.
Bár a jelen esetben a behatolás pontos módja még nem ismert, de korábbi, nyilvánosságra hozott támadásokból sokat megtudhatunk a módszerekről. Egy hacker, vagy hackercsoport motivációja erősen befolyásolja, hogy kik lesznek a támadás célpontjai. Az indíték nagyon sokféle lehet, az anyagi hasznoszerzéstől, a hírnév „megtépázásán” át, akár a konkurencia, vagy haragos volt munkatársig, bárki/bármii. Mi vajon érintettek lehetünk bármelyikben is? Ezt soha nem tudjuk megmondani biztosan, így a legkevesebb amit tehetünk, hogy felkészülünk.
„Magyar cégeket nem szoktak megzsarolni.” – Biztos ez?
A közelmúltban csak néhány esetről értesühettünk, ahol magyarországi cégeket ért ransomware támadás. Viszont nem tudhatjuk, hányan vannak, akik szintén így jártak, de rövid időn belül fizettek, így senki nem hozta nyilvánosságra a támadás tényét. Vagy nem fizettek, de senki nem vette észre/hozta nyilvánosságra a támadást. Zsarolás esetén – azt mondják – az első szabály, hogy nem fizetünk a zsarolónak, mert azzal csak „éltetjük” ezt az „ipart”, és ha ennek híre megy, könnyen szembe találhatjuk magunkat egy újabb zsarolóval. Mi feltennénk a cégünk vagyonát arra a hitre, hogy úgysem fognak megtámadni?
Jó néhány kérdés feltehető még a témában. Álljon itt néhány gondolatindítónak…..
Mekkora anyagi kárt tudna okozni – személy szerint neked -, ha a rendszered elérhetetlenné válna, és elvesznének az online tárolt adataid? És a munkatársaidnak? Vagy a vevőidnek? És a hírneved vajon hogyan változna e miatt?
Egy támadás esetén mekkora fennakadás keletkezne az üzletmenetedben? Pl. ha napokra leállna a beszerzés/kiszállítás mekkora károd keletkezne?
Van terved, hogy mit tennél ilyen esetben?
Az ingatlanodat, autódat is folyamatosan karbantartod, mert így kevesebb időbe, pénzbe kerül. Nem lenne egyszerűbb ugyanezt tenni a vállalkozásod rendszereivel is?
A te céged felkészült már?
A fenti kérdésekre a válaszokat te tudod, viszont ha szeretnél többet megtudni a váratlan incidensekre, kibertámadásokra való felkészülésről, keress bennünket, és beszélgessünk róla.
*zsarolóvírus, vagy ransomware támadás: A támadók a szervezet informatikai rendszereibe bejutva, saját maguknak letöltik, és/vagy az eredeti rendszerben titkosítják a megtalált tartalmakat (adatbázisok, dokumentumok, stb.). A titkosítást megszüntető kódot csak bizonyos pénzösszeg („váltságdíj”) kifizetése után adják át a szervezetnek. /megj.: Soha nem lehetünk biztosan benne, hogy fizetés után tényleg megkapjuk a feloldó kódot! Az illetéktelenül megszerzett összes információt a támadók nyilvánosságra hozhatják, eladhatják; az abban található információk alapján vevőink, beszállítóink, alvállalkozóink ellen is felhasználhatják.