Amerikai figyelmeztetés

Az Egyesült Államok Kiberbiztonsági és Infrastrukturális Biztonsági Ügynöksége (CISA) közzétett egy közszolgálati közleményt a #Stopransomware bannerje alatt.

Hamarabb hazahozná az uniós pénzeket egy Tisza-kormány, mint az Orbán-kormány?
Maradt még szövetségese Magyarországnak Európában?

Online Klasszis Klub élőben Szent-Iványi Istvánnal!
Vegyen részt és kérdezze Ön is a neves külpolitikai szakértőt!

2025. július 30. 15:30

A részvétel ingyenes, regisztráljon itt!

A közlemény a Royal néven ismert zsarolóvírus-családra összpontosít, a CISA nyíltan fogalmazó közérdekű közleményének legfontosabb tanulságai a következők:

Ezek a csalók bevált módszereket használnak a behatolásra. Ezek közé tartozik az adathalászat (a támadások kétharmadánál), a nem megfelelően konfigurált RDP szerverek felkutatása (a támadások egyhatodánál), a javítatlan online szolgáltatások keresése a hálózatodon vagy egyszerűen megvásárolják a hozzáférési hitelesítő adatokat a hálózatodat korábban meghackelő bűnözőktől. Azokat a kiberbűnözőket, akik megélhetési célból hozzáférési adatokat adnak el jellemzően adattolvajoknak és zsarolóvírus csoportoknak, a szakzsargon IAB-ként említi, amely az önleíró "initial access broker" kifejezés rövidítése.

A bejutást követően a csalók megpróbálják elkerülni olyan programok használatát, amelyek nyilvánvalóan malware-ként jelenhetnek meg. Vagy a meglévő adminisztrációs eszközöket keresik, vagy sajátot hoznak, tudva, hogy könnyebb elkerülni a gyanút, ha úgy "öltözködnek, beszélnek és viselkednek, mint egy helyi" - a zsargon kifejezésével élve "if you live off the land". A támadók által káros célra alkalmazott legitim eszközök közé tartoznak a hivatalos távoli hozzáféréshez, adminisztrációs parancsok távolról való futtatásához vagy tipikus rendszergazdai feladatokhoz gyakran használt segédprogramok. Példák:

  • PsExec a Microsoft Sysinternalstól;
  • az AnyDesk távoli elérési eszköz;
  • a Microsoft PowerShell, amely minden Windows-számítógépen előtelepítve van.  

A fájlok titkosítása előtt a támadók megpróbálják megbonyolítani a helyreállításhoz vezető utat. Megsemmisítik a volume shadow másolatokat (live Windows "visszaállítási" mentések. Saját nem hivatalos adminisztrátori fiókjukat is hozzáadják, így visszajuthatnak, ha el is távolítják őket a hálózatról, módosítják a biztonsági szoftver beállításait a riasztások elnémításához, átveszik az irányítást olyan fájlok felett, amelyeket egyébként nem tudnának titkosítani és összezavarják a rendszernaplóidat, hogy később nehezedre essen kinyomozni, mit változtattak meg.

Véleményvezér

Végleges, nem lesz Kneecap a Szigeten

Végleges, nem lesz Kneecap a Szigeten 

Kitoloncolják őket, ha mégis jönnének.
Szijjártó Péter meghívott egy homoszexuális házaspárt Budapestre

Szijjártó Péter meghívott egy homoszexuális házaspárt Budapestre 

Szijjártó Péter szerint szabad a szerelem Magyarországon.
Hűtlen kezeléssel vádolja Pokorni Zoltán volt fideszes polgármestert utóda

Hűtlen kezeléssel vádolja Pokorni Zoltán volt fideszes polgármestert utóda 

Pokorni Zoltán annak idején kéz levágást ígért azoknak, akik lopnak.
Az Orbán-kormányt gyanúsítják a kárpátaljai templom elleni támadással

Az Orbán-kormányt gyanúsítják a kárpátaljai templom elleni támadással 

Orosz-magyar közös titkosszolgálati akció?
A kárpátaljai templom elleni támadás mögött az orosz titkosszolgálat is állhat

A kárpátaljai templom elleni támadás mögött az orosz titkosszolgálat is állhat 

Gyanús körülmények a kárpátaljai templom felgyújtási kísérlete körül.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo