A héten egy különösen tanulságos – és egyben riasztó – kiberbiztonsági incidens látott napvilágot: ransomware támadás érte a román Nemzeti Vízügyi Hatóságot, azaz az Administrația Națională Apele Române szervezetet. A támadás BitLocker-alapú módszerrel zajlott, és bár a vízinfrastruktúrát vezérlő OT rendszerek végül nem sérültek, az IT-környezetben bekövetkezett károk önmagukban is súlyos működési és jogszabályi kockázatot jelentenek.
A rendelkezésre álló információk szerint nagyjából 1000 munkaállomás vált használhatatlanná, és 11 regionális irodából 10 érintett volt. Leálltak a GIS rendszerek, adatbázisok, e-mail szolgáltatások és webszerverek, miközben a támadók váltságdíjat követeltek. Ez az eset ismét világosan megmutatta, hogy egy kritikus infrastruktúrát üzemeltető szervezetnél az IT-rendszerek kiesése önmagában is elegendő ahhoz, hogy az alapfeladatok ellátása veszélybe kerüljön.
A történet egyik legfontosabb tanulsága azonban nem maga a támadás ténye, hanem az, ahogyan megtörtént. A támadók nem egy klasszikus, könnyen felismerhető zsarolóvírussal dolgoztak, hanem egy legitim rendszerfunkciót – a BitLocker meghajtótitkosítást – használtak fel fegyverként. A behatolás után laterálisan mozogtak a hálózatban, majd lokálisan aktiválták a titkosítást. A hagyományos antivírus és EDR megoldások ebben a helyzetben gyakorlatilag tehetetlenek: nem „látnak” valódi malware-t, hiszen egy beépített Windows-funkció fut.
Ez pontosan az a forgatókönyv, amelyre a reaktív, szignatúra-alapú védelem nincs felkészítve. Mire az EDR riaszt, addigra az adatok már titkosítva vannak, az üzletmenet leállt, és a szervezet válaszút elé kerül: fizet, vagy hosszadalmas helyreállításba kezd. Egy NIS2 alá tartozó, kritikus infrastruktúrát működtető intézmény esetében ez nemcsak technikai, hanem szabályozási és felelősségi kérdés is.
És itt jön a valódi „mi lett volna, ha” kérdés. Egy valóban preventív, AI-alapú végpontvédelem ebben az esetben már jóval korábban közbelépett volna. A Deep Instinct deep learning technológiája például nem viselkedésminták vagy ismert szignatúrák alapján dönt, hanem a kód matematikai jellemzőit elemzi, és a támadást még a végrehajtás előtt blokkolja. Ez azt jelenti, hogy az ismeretlen, 0-day ransomware-ek – beleértve a BitLockerrel operáló támadásokat is – egyszerűen nem jutnak el addig a pontig, hogy kárt okozzanak.
A megoldás további előnye, hogy NGAV és EDR egyben, rendkívül alacsony téves riasztási aránnyal, ami nem terheli túl a SOC csapatokat, és offline környezetben is képes döntést hozni. Ha mindezt egy Stellar Cyber alapú XDR platformmal egészítjük ki, akkor nemcsak a végpontokon, hanem hálózati és szerveroldalon is teljes képet kapunk a támadási kísérletekről.
A román vízügyi hatóság esete tökéletes példája annak, hogy ha a BitLocker már titkosít, akkor már késő. Ilyenkor nincs adat, nincs rendszer, nincs működés – csak válságkezelés van. Egy preventív megközelítés mellett viszont nincs adatvesztés, nincs váltságdíj, és nincs kényszerű leállás.
A kérdés ma már nem az, hogy ér-e támadás egy szervezetet. A kérdés az, hogy észrevesszük-e időben – vagy meg sem történik. Kritikus infrastruktúráknál, NIS2-érintett szervezeteknél ez nem technológiai luxus, hanem alapkövetelmény.