Újfajta zsarolóvírusos támadás a Ranstadnál
2020. decemberében jelent meg az UpGuard weboldalán a hír, hogy zsarolóvírusos támadás érte a világ egyik legnagyobb munkaerő-közvetítő cégét, a Ranstadot. A mostani támadás annyiban különbözik a korábban látott hasonló esetektől, hogy egy újfajta, Egregor névre hallgató vírus segítségével követték el.
Az Egregor új szereplőnek számít a zsarolóvírusok piacán, de máris számos cég esett neki áldozatul. A Ranstad csupán a legutóbbi támadás célpontja volt, korábban az Egregor segítségével sikeres támadást hajtottak végre a vancouveri TransLink tömegközlekedési rendszer, a chipeket gyártó Foxconn és a Kmart ellen is. Az áldozatok között szerepelnek még olyan nagynevű cégek, mint a Cencosud, a Crytek és az Ubisoft.
De mégis miben különbözik az Egregor a korábban alkalmazott támadásoktól? Ez az új variáns, az úgynevezett „kettős zsarolás” (double extortion) módszerét használja. Ennek a lényege, hogy a hagyományos vírusokhoz hasonlóan titkosítja az adatokat, melyekhez hozzáfér, és feloldásukért váltságdíjat követel. Ezen felül azonban azzal is fenyeget, hogy az ellopott adatokat a határidő lejártával elkezdi közzétenni.
A módszert első alkalommal idén júniusban használta egy hackercsoport, aztán a többiek is hamar elkezdték őket másolni. Nem nehéz látni, miért – hagyományos esetekben a megfelelő biztonsági másolattal rendelkező cégek visszaállíthatták elveszett adataik nagy részét, azonban nincs olyan cég, aki szeretné, hogy ügyfeleire, partnereire, vagy hosszútávú stratégiai terveire vonatkozó információk nyilvánosan elérhetők legyenek.
Az Egregor működtetői ráadásul szolgáltatásszerűen hajtanak végre támadásokat, ahol a tippet adó megbízó 70%, ők pedig 30% részesedést kapnak a kifizetett váltságdíjból. Ami általában nem is kevés, a Foxconn esetében például tudunk pontos számokat is mondani: a támadók 34 millió dollárt (~10,1 milliárd Ft) követelnek a támadás beszüntetéséért és az adatok visszaszolgáltatásáért.
És sajnos egyáltalán nem biztos, hogy a Foxconn megússza a fizetést: a gyártás leállítása ennél jóval nagyobb veszteséget okozhat a cégnek, nem is beszélve az esetlegesen kiszivárgó érzékeny adatokról. A Ranstad esetében a támadók egyelőre egy 32Mb méretű állományt tettek közzé a sikeres akció bizonyítására, a cég beszámolója szerint az összes tárolt adat 1%-át érinti az incidens, ezen belül is a cég amerikai, lengyel, francia és olasz ágazatát.