A régi és az új zsarolóvírus kéz a kézben pusztít
Sokan elbízzák magukat, ha ismerős zsarolóvírusokról van szó, viszont a védelmek gyorsan romolhatnak, ha nem tesztelik és nem tartják azokat naprakészen. Eközben a zsarolóvírus-fejlesztők folyamatosan módosítják a programkódokat, fejlesztik a kikerülési módszereket, így ami tegnap még működött, ma már könnyen hasztalanná válhat.
A legfrissebb (Blue Report 2025) adatok szerint a tíz legnehezebben megfogható zsarolóvírus fele vadonatúj vagy feltörekvő, ám ugyanolyan eredményesen kerüli meg a védelmet, mint a régiek.
A régi nevek sem veszítettek élükből: a LockBit (második éve a legnehezebben megelőzhető), a BabLock (34%-os sikerráta), vagy a Maori (41%) még mindig áttörik a védelmet, fájlok nélkül terjednek, vagy épp régiós kampányokkal támadnak. Az új generáció – FAUST, Valak és Magniber, nagyjából 44–45%-os sikerrátával – naprakész registry-módosításokkal, moduláris támadásokkal jut túl a védelmen. A BlackKingdom (48%), Black Basta (49%) és Play (50%) hamisított bejelentkezésekkel, folyamatátfedésekkel és távoli szolgáltatásokkal operálnak, dacolva a részletes dokumentációval is.
Ebből kifolyólag a „régi” és „új” kategóriák már elmosódnak. Egyik sem tekinthető magától értetődően kisebb vagy nagyobb veszélynek, ha a védelmet nem tesztelik folyamatosan: mindkettő átcsúszik a réseken, ha hagyják.
Hol buknak el leggyakrabban a védelmek?
A zsarolóvírus-csoportok ritkán támaszkodnak egyetlen trükkre. Lépésről lépésre fűzik össze a támadási módszereket – ráérezve, hol lazult el leginkább a védelem.
Mindezek ellenére a megelőzés és az észlelés hiányosságai jelentik a fő támadási felületet:
Elavult letöltésvédelem: a rosszindulatú programokat terjesztő eszközök megelőzése mindössze 60%-os (2024: 71%). Vagyis klasszikus belépési pontokon a betöltők még mindig át tudnak csúszni.
Riadóhiány: az esetek 54%-ában a naplózott támadásokból mindössze 14% küldött riasztást – így maradhattak észrevétlenek mind a régiek (BlackByte), mind az újak (FAUST, Magniber).
Az adatlopás megelőzése katasztrofális, 3%-ra esett vissza. Ez az oka annak, hogy a dupla zsaroló támadásokban exponenciálisan nő az adatszivárogtatás, hiszen a kiszivárgott információkkal könnyedén lehet tovább zsarolni a cégeket.
Eszközvédelem: a végpontok ugyan 76%-ban blokkoltak támadást, de oldalirányú mozgás, jogosultságbővítés negyedrészben még így is sikerrel járt (például a Black Basta és a Play családok esetében).
Összességében a támadók nem azért diadalmaskodnak, mert forradalmian új technikákat vetnek be, hanem mert a védelmi lánc régi, be nem foltozott résein törnek át újra és újra. Az öt legaktívabb család régóta ismert, mégis megkerülik a legtöbb automata védelmet.
Mi az, ami tényleg működik: zsarolóvírus-szimuláció (Breach and Attack Simulation)
A BAS (automata szimulációs rendszer) segíthet áthidalni a szakadékot, amely a vélt és a valódi védelmi állapot között tátong. A hagyományos behatolástesztekkel szemben ez folyamatos, automatikus tesztelést biztosít – így minden nap pontosan látható, hol tartanak a szervezet saját védelmei.
A BAS előnyei:
– Folyamatos szimuláció: valós zsarolóvírus-technológiákat (TTP-ket) utánoz, a teljes támadási láncot szimulálja, rámutatva, hol törik át a védelmet.
– Naprakész: naponta frissíti a veszélylistákat, így mindig aktuális, akár friss, akár régi variáns ellen tesztel.
– Gyakorlati javaslat: ha szimulált támadás sikeres, konkrét (gyártóspecifikus vagy független) javítási lépésekkel segít.
– Mérhető bizonyíték: pontos adat a védelem hatékonyságáról, az észlelésről, a beavatkozás sikerességéről, amit a vezetőség és az auditor is elfogad.
A védelem ott kezdődik, hogy bizonyítani is tudod
Az egyik legveszélyesebb hiedelem, hogy „eddig működött”, vagy „a megfelelő termék van nálunk”. A legfrissebb adatok rámutatnak: a támadások fele átjut, és csak töredéke vált ki riasztást. A BAS mindezt tényszerűen igazolja vagy cáfolja.
Kérdések, amelyekre választ ad:
– Valóban megállítja-e a DLP-rendszer az érzékeny adatok kiszivárgását?
– Ha átjut a zsarolóvírus, riaszt-e időben a SIEM?
– Megfelelő védelmet nyújt-e az e-mail gate a BabLock vagy a Play által használt adathalász mellékletek ellen?
– Átcsúszhatnak-e észrevétlenül olyan új családok, mint a FAUST vagy a Magniber?
BAS mellett már nem kell találgatni – pontosan tudható az eredmény.
Következtetés
A 2025-ös Blue Report egy dolgot egészen világosan mutat: a zsarolóvírus nem a trükkjeivel győz, hanem a védelmi gyakorlat hiánya miatt. Ugyanazok a rések, védelmi hiányosságok évről évre újra megnyílnak; a megelőző rendszerek gyengülnek, az észlelés késlekedik, az adatlopás pedig szinte akadálytalan.
A BAS az, ami igazán hiányzott eddig: ez a biztonságos, teljes körű zsarolóvírus-szimuláció lépésről lépésre megmutatja, mi működik, és mi nem, továbbá ellenőrzi azt is, hogy a javítások valóban célba értek-e. Így a védekezés új szintre léphet: nem feltételezni, hanem konkrétan bizonyítani az ellenálló képességet – ez az egyetlen mód, amellyel valóban lépést lehet tartani a támadásokkal.
