Hogyan működik az adatzsarolás – és miért váltotta le a zsarolóvírusokat
Az adatzsarolási támadások teljesen kihagyják a titkosítást, érzékeny fájlokat lopnak el, és azzal fenyegetőznek, hogy nyilvánosságra hozzák azokat, ha az áldozatok nem fizetnek. Az incidensek tizenegyszeres növekedésével ez a taktika gyorsan felülmúlja a hagyományos zsarolóvírusokat.
A kiberfenyegetés új fajtája
Évekig a zsarolóvírusok uralták a kiberbűnözés világát: a támadók titkosították az áldozat fájljait, majd fizetést követeltek a visszafejtő kulcsért. De egy csendesebb, hatékonyabb taktika felülmúlta ezt. Az adatzsarolás során a bűnözők teljesen kihagyják a titkosítást. Érzékeny fájlokat – üzleti titkokat, alkalmazotti nyilvántartásokat, ügyféladatbázisokat, belső e-maileket – lopnak el, és azzal fenyegetőznek, hogy nyilvánosságra hozzák vagy eladják azokat, ha az áldozat nem fizet.
A változás drámai. Az Arctic Wolf 2025-ös fenyegetési jelentése szerint a csak adatokra irányuló zsarolási incidensek tizenegyszeresére nőttek az előző évhez képest, az összes incidensre adott válaszintézkedés 2%-áról 22%-ra ugrottak. Az olyan csoportok, mint a ShinyHunters, a Silent Ransom és az újonnan alakult PEAR most már kizárólag adatok lopására összpontosítanak a rendszerek zárolása helyett.
Hogyan zajlik a támadás
Egy tipikus adat zsarolási támadás felismerhető mintát követ. Először a támadók kezdeti hozzáférést szereznek – gyakran social engineering segítségével. A ShinyHunters például hangalapú adathalász kampányairól ismert, amelyekben az üzemeltetők informatikai támogatónak adják ki magukat, és ráveszik az alkalmazottakat, hogy hozzáférést biztosítsanak az egyszeri bejelentkezési platformokhoz, mint például az Okta vagy a Salesforce.
Miután bejutottak, a támadók oldalirányban mozognak a felhőkörnyezetekben, és a magas jogosultságú mérnöki fiókokat, a Git tárolókat, a CI/CD csatornákat és a felhőalapú tárolókat célozzák meg. Csendben kiszivárogtatnak több száz gigabájtnyi adatot – e-maileket, szerződéseket, hitelesítő adatokat, adatbázis-mentéseket –, mielőtt az áldozat észrevenné a behatolást.
Aztán jön a zsaroló üzenet. Az áldozatok követelést kapnak, amelyben meghatározzák az ellopott adatokat, a váltságdíjat (amely nagy szervezetek esetében gyakran meghaladja az 1 millió dollárt), egy kriptovaluta-pénztárca címet és egy határidőt – általában 72 órát. Ha az áldozat megtagadja, a támadók közzéteszik az adatokat a dark web szivárgási oldalakon, vagy eladják azokat a versenytársaknak és más bűnözőknek.
Miért részesítik előnyben a támadók a zsarolóvírusokkal szemben
A titkosítás alapú zsarolóvírusoktól való elmozdulást a hideg gazdasági számítások vezérlik. Egy teljes hálózat titkosítása összetett rosszindulatú programok telepítését, a visszafejtő infrastruktúra fenntartását és a végponti biztonsági eszközök általi észlelés kockázatát vonja maga után. Az adatok kiszivárogtatása ezzel szemben gyorsabb, olcsóbb és nehezebben megállítható.
A szervezetek emellett egyre jobban felépülnek a titkosítási támadásokból. A robusztus biztonsági mentési stratégiák és az incidensre adott választervek azt jelentik, hogy sok áldozat fizetés nélkül is helyre tudja állítani a rendszereket. De az ellopott adatokat nem lehet "visszalopni". Ha az ügyféladatok vagy az üzleti titkok egyszer egy támadó kezébe kerülnek, egyetlen biztonsági mentés sem tudja helyrehozni a kárt. Ahogy a BlackFog kutatása megjegyzi, ez sokkal tartósabbá teszi a befolyást.
A számok megerősítik ezt a tendenciát. A VikingCloud jelentése szerint a zsarolóvírusok a 2025-ös adatvédelmi incidensek 44%-ában voltak jelen, ami növekedés a 32%-hoz képest, de ezen incidensek egyre nagyobb hányada zsarolást is magában foglalt titkosítás nélkül – egyetlen év alatt a 3%-ról 6%-ra duplázódott.
Ki van veszélyben
Az adatzsarolás célpontjai minden ágazatot felölelnek. Az egészségügyi szervezetek a betegadatok nyilvánosságra kerülésével néznek szembe. A pénzügyi cégek a tranzakciós adatok kiszivárgását kockáztatják. A technológiai vállalatok elveszíthetik a saját forráskódjukat. Még a kormányzati intézmények is sebezhetőek – az Európai Bizottság 2026 márciusában megerősítette, hogy a ShinyHunters több mint 350 GB adatot szivárogtatott ki az Europa.eu felhőinfrastruktúrájából, beleértve az e-mail archívumokat és a belső hitelesítő adatokat.
A kis- és középvállalkozások különösen ki vannak téve. Gyakran hiányoznak a dedikált biztonsági csapatok, ami puhább célponttá teszi őket, kevesebb erőforrással a behatolások korai észlelésére.
Hogyan védekeznek a szervezetek ellene
Mivel az adatzsarolás megkerüli a hagyományos zsarolóvírus-védelmet, a védelem más gondolkodásmódot igényel. A CISA a következő alapvető stratégiákat javasolja:
- Zéró bizalmi architektúra – alapértelmezés szerint feltételezze, hogy egyetlen felhasználó vagy eszköz sem megbízható, és érvényesítse a legkisebb jogosultság elvét minden rendszeren.
- Adatvesztés-megelőzés (DLP) – telepítsen beépített eszközöket, amelyek figyelik és blokkolják a szokatlan adatátviteleket, mielőtt a kiszivárogtatás megtörténne.
- Hálózati szegmentálás – korlátozza az oldalirányú mozgást, hogy egyetlen feltört fiók ne érhesse el a teljes adatállományt.
- Alkalmazotti képzés – mivel a social engineering továbbra is a legfontosabb belépési pont, a rendszeres adathalász-tudatossági programok kritikus fontosságúak.
- Incidensre adott választervezés – tartson fenn és gyakoroljon egy válaszforgatókönyvet, amely kifejezetten az adatlopási forgatókönyvekkel foglalkozik, nem csak a titkosítással.
A nagyobb kép
Az adatzsarolás a kiberbűnözés alapvető fejlődését jelenti. Kihasználja azt az egyetlen dolgot, amit a szervezetek nem tudnak visszafordítani: az információk nyilvánosságra kerülését. Ahogy a felhőalapú megoldások elterjedése felgyorsul, és a vállalatok egyre több érzékeny adatot tárolnak online, a támadási felület is növekszik. A biztonsági szakértők arra figyelmeztetnek, hogy amíg a szervezetek nem kezelik az adatlopást olyan komolyan, mint a rendszerzárolásokat, a zsaroló csoportok továbbra is virágozni fognak.
