Zsarolóvírusok folyton megújuló ostroma

Csaknem ötmillió kártevőmintát azonosítottak tavaly a német G Data kibervédelmi szakemberei. A bűnözők a legtöbb esetben az internet-használók jelszavait és bizalmas adatait szeretnék megszerezni, hogy pénzért továbbadják őket. A kártevők élén egy merevlemezeket titkosító zsarolóvírus áll.

Tavaly a G Data naponta 13,5 ezer új változatát fedezte fel az ismert kártevőcsaládoknak. Közülük a legaktívabb a GrandCrab zsarolóvírus volt: naponta több mint 1100, összesen pedig 408 ezer változatát azonosították a szakemberek. Ráadásul a kártevő annak ellenére terjedt tovább, hogy a fejlesztői már nem aktívak, ez pedig egyben azt is jelenti, hogy fertőzés esetén hiába fizet a megzsarolt, nem fog működő kulcsot kapni adatainak visszanyeréséhez.

A második helyezett az njRAT kártevő 208 ezer, a harmadik pedig a BlackShades 190 ezer változattal. Mindkettő a távoli elérésre alkalmas trójai kártevők családjába tartozik. A bűnözők arra használják őket, hogy bejussanak a rendszerbe, ahol átveszik a számítógép ellenőrzését.

A legismertebb kártevőcsalád, az Emotet ezalatt csupán a hatodik a listán, 70 800-féle változattal. (Tavaly „csupán” 28 ezer változatát ismerték.) A eredetileg banki trójaiként működött kártevő a múlt év végén lépett újra a figyelem középpontjába, Németországban rengeteg közigazgatási intézmény, egyetem és kórház esett áldozatául. A támadások kiindulópontjául szolgáló e-mailek egyre hihetőbbek, mivel személyre szabottak, a címzett nyelvén, nyelvtanilag is helyesen íródnak. Így még a szakavatottak is nehezen szúrják ki, hogy adathalászatról van szó, és sok használó kattint a fertőzött csatolmányok elindítására.

Double exposure of hacker man working on laptop and cityscape on white background

A tíz legaktívabb kártevőcsaládból egyébként öt trójai (Remote Acces Trojan – RAT). Az ilyen kártevőket a bűnözők arra használják, hogy távolról ellenőrizzék és irányítsák a megfertőzött gépeket, így ellophatják a jelszavakat, hozzáférhetnek a bizalmas adatokhoz, akár titkosíthatják a merevlemez tartalmát. Aktívak továbbá a Tinba és a Shifu banki trójaiak is, amelyek a böngészőkbe épülve próbálják meg kiolvasni az internetbankokhoz tartozó adatokat és a hitelkártyaszámokat.

A kártevők nagy része évek óta jelen van a számítástechnika világában. A SakulaRAT és Tinba kártevőket először nyolc éve, 2012-ben fedezték fel, a Nanocore 2013-ban, az njRAT 2014-ben, a GrandCrab pedig 2018-ban jelent meg.

Ez jelzi, hogy teljesen új kártevőket a bűnözők ritkábban fejlesztenek ki, mivel nagy munka. Inkább a meglévőket csomagolják újra és újra különböző módokon, majd nagy mennyiségű variánssal próbálnak meg minél több számítógépet megfertőzni. Mivel így a kártevők mellett a különféle csomagolási technikákat is fel kell ismerni, ez a védekezésben is új módszereket követel.

Ransomware – Close up of Your Files Are Encrypted on the Screen

A G Data szakértői szerint a megoldás a mesterséges intelligencia használata. A német szakemberek tanulásra képes neurális hálózatot építettek, amely 150-féle jellemző – például a fájl mérete, vagy annak eredeti programozási környezete – alapján „füleli le” a különféle álcázási technikákat, amelyeket a bűnözők az egyes variánsok előállításához használnak.

Ez a megközelítés az eddiginél jobb felismerési arányokat eredményezhet a jelenlegi környezetben, mert az egyes variánsok elkészítésére használt álcázási technikák jól tipizálhatók.