ilustračná fotka
Ochrana - prevencia

Je radosť pracovať s profesionálmi. Vzácny pohľad do zákulisia e-zločinu

alibaba

Loading

Záznam internetového rozhovoru v nasledujúcom boxe by ľahko mohol byť súčasťou vyjednávania medzi dvoma obchodnými spoločnosťami. Ak opomenieme čiastočne chýbajúce interpunkciu, chýbajúce veľké písmená a tiež trochu zlovestne znejúci poslednú vetu, nesie sa v duchu bežného vyjednávania.

A: Oceňujem tu zľavu a milé slová, ale aby som bol úprimný, dúfali sme v niečo, na čo by sme mohli mať skutočne k dispozícii hotovosť. Úplne chápem, že toto je podnikanie pre vás, ale momentálne mám za úlohu pokúsiť sa udržať naše podnikanie nad vodou. Úprimne povedané, 8 miliónov dolárov nás stavia na miesto, kde by sme potrebovali zdvojnásobiť súčasné príjmy, aby sme udržali dvere otvorené. Boli by sme ochotní vám dnes získať 3,7 milióna dolárov, ak by sme našli spoločnú reč. Nechcem tu znižovať prácu vás a vášho tímu, iba sa snažím pomôcť zabrániť ďalšiemu prepúšťaniu na našej strane.

B: Vážime si vašu ponuku, ale pochopte nás tiež, toto je trh a bola vám ponúknutá primeraná cena. suma, ktorú ste ponúkli, bohužiaľ nestačí na to, aby sme s vami uzavreli obchod, dali sme vám 20% nie preto, že by sme boli pripravení na veľké vyjednávanie, ale pretože vidíme vášho obchodného ducha a okamžite sme vám poskytli dobrú zľavu, môžeme ponúknuť viac zľava a platba na splátky. Napríklad za 4 milióny dolárov získate Decryptor a po doplatení zvyšnej sumy odstránime všetky súkromné ​​údaje. 

Ako ste asi pochopili z poslednej vety, v skutočnosti ide o rokovania o výkupnom. Zverejnil ho novinár Jack Stubbs pracujúci pre agentúru Reuters. Objavil stále nezmazané záznam chatu, v ktorom profesionálny hackeri vyjednávali so svojou obeťou.

Identitu zločincov známa nie je, ich obeťou bola v tomto prípade veľká cestovné agentúry Carlson Wagonlit Travel (CWT), ktorá sa špecializuje predovšetkým na firemnú klientelu. Išlo o útok pomocou tzv. “Ransomware”. To je cynicky povedané škodlivý softvér s najlepším “obchodným modelom” a práve z tohto dôvodu v posledných rokoch tiež veľmi rýchlo rastúci segment počítačovej kriminality.

V tejto chvíli stačí povedať, že v princípe ide o “únos” dát. Útočník nejakým spôsobom prenikne do systému obete a nájdené dáta (dnes často vrátane prípadných záloh) zašifruje. Kľúč od zašifrovaných súborov potom ponúkne obete.

Podobné rokovania sú pochopiteľne skrytá očiam verejnosti a my nemáme predstavu o tom, ako vyzerajú. Avšak v prípade CWT sa Jack Stubbs dostal ku konverzácii, ktorú viedli nemenovaní zástupcovia oboch strán v anonymnom chatroomu (presnú adresu Stubbs neuviedol a nie je jasné, či konverzácia nebola už zmazaná). Časť zmienil v správe k udalosti, viac ukážok z rozhovoru zverejnil na svojom Twitteri.

Adresa chatroomu sa objavila priamo na počítačoch firmy po ich zašifrovaní. Zástupca CWT sa do nej prihlásil menej ako dva dni po útoku. Nevieme, kto to bol, podľa svojich slov spadá priamo pod finančného riaditeľa firmy.

Ozval sa mu zástupca útočníkov, ktorý sa v rozhovore označuje ako “Podpora” (Support). V skutočnosti ide o zástupcov “prevádzkovateľov” ransomwaru, ktorý dostal názov RagnarLocker, ktorý bezpečnostné firmy prvýkrát zaznamenali v decembri 2019 (viac o ňom napr. Na tejto stránke). Ide o pomerne sofistikovaný nástroj, ktorý sa používa podľa všetkého k cieleným útokom. Výzva na zaplatenie, ktorá je súčasťou kódu malwaru, obsahuje údaje pre tú či inú spoločnosť.

Platba

Reklamy

Ako to u ransomwaru býva, zaplatenie výkupného prebehlo v kryptomena. A to 28. júla do bitcoinové “peňaženky” útočníkov. CWT najprv približne 14 minút po polnoci 28. júla svetového času poslala na adresu vydieračov jeden Bitcoin (a zvyšok sebe do inej peňaženky). O nejakých 25 minút neskôr, zrejme potom, čo dostala potvrdenie, že transakcia prebehla, poslala do rovnakej peňaženky aj zvyšok sumy, ktorá pri vtedajšom kurze predstavovala celkom 414 Bitcoin (to je táto transakcia).

Potom nasledovalo “vypranie” Bitcoin, ktoré stopovali analytici spoločnosti Zeng. Výkupné si páchatelia počas 20 minút od obdržania čiastky rozdelili na dve časti (v tejto transakcii), do dvoch rôznych peňaženiek smerovalo zhruba 102,5 a 310,5 Bitcoin.

Zeng sa domnieva, že išlo o delení medzi dvoma spolupracovníkmi či spolupracujúcimi skupinami. Napríklad z toho prostého dôvodu, že v jednej z cieľových peňaženiek Bitcoin zostali niekoľko hodín, z druhej hneď zamierili k “vypranie”. Možno si ľahko predstaviť napríklad to, že majitelia každej z nich sú v inom časovom pásme. Je to však iba dohad.

“Čistenie” prebehlo relatívne jednoducho. Bitociny sú dobre sledovateľné, pretože zoznam všetkých vykonaných operácií je verejne dostupný (táto otvorená “účtovná kniha” slúži v podstate ako doklad pravosti). Ktokoľvek sa tak môže pozrieť, koľko je v tej ktorej bitcoinové peňaženke práve Bitcoin, a z ktorej peňaženky prišli. Nemožno si ich teda poslať na “tajný účet vo švajčiarskej banke”, také účty Bitcoin z princípu neumožňuje.

bitcoin transakcie

Ale je možné “špinavé Bitcoin” rozpustiť v nejakej zdieľanej peňaženke, kam si peniaze môže vložiť každý. Z nej si potom zločinci vytiahnu peniaze v podstate čisté na nejakú ďalšiu pripravenú adresu. Ak majitelia “spoločné peňaženky” svoj nárok preukážu inak ako adresou svoje pôvodné peňaženky, v bitcoinové “účtovnej knihe” už pôvod ich Bitcoin nie je zaznamenaný.

Ovšem veľké čiastky rádovo v stovkách Bitcoin (a teda miliónov dolárov) budí pozornosť, a tak je najprv vydierači peaces na viac menšie súm. Podľa Zeng v tomto prípade väčšiu časť výkupného (tj. Cca 310,5 Bitcoin) bola najprv rozdelená na dve polovice. Jednu polovicu postupne páchatelia poslali v menší obnos na bitcoinovou burzu Binance. Druhou rozdelili nerovnomerne medzi niekoľko ďalších búrz.

Čo sa s peniazmi stalo ďalej, už nie je jasné. Páchatelia si ich mohol napríklad vymeniť za úplne anonymné kryptomena (tj. Napríklad ZCash), či vybrať inak. Alebo si ju nevybrali vôbec, pretože v čase písania článku bola časť prostriedkov stále v peňaženkách, kam smerovali priamo po zaplatení výkupného, napríklad 10 Bitcoin v tejto peňaženke ..

Platí sa častejšie?
Najčastejšia rada obetiam ransomware, ktorá verejne zaznieva, je neplatiť. Avšak ako v prípade pravidla “únoscom nikdy neplatíme”, aj toto pravidlo sa v praxi zjavne často nedodržiava. To konieckoncov naznačuje skutočnosť, že ransomware je stále rozšírenejšie. Evidentne sa vypláca.

FBI síce vo svojej správe o vývoji internetovej kriminality za rok 2019 uvádza, že má v databáze prípady s celkovou škodou iba 8,9 milióna dolárov, ale to je s najväčšou pravdepodobnosťou štatistika skreslená tým, že väčšina obetí prípady nenahlašuje. Buď dáta odpíše, alebo sa pokúša s páchateľmi dohodnúť.

Z jedného jediného prípadu by sme rozhodne nemali robiť trend, platenie výkupného avšak zrejme nie je tak výnimočnou udalosťou. Napríklad spoločnosť Garmin, ktorú postihol na konci júla rozsiahly výpadok, sa tiež podľa všetkého stala cieľom ransomwaru. A podľa informácií serveru BleepingComputer vyděračům za kľúč zaplatila (hoci to oficiálne poprela).

Reklamy

Novinári získali aj kópiu kryptografického programu, ich informácie vyzerá vierohodnejšie než vyhlásení vedenia firmy. Vydierači údajne žiadali pôvodne 10 miliónov dolárov, teda rovnako ako v prípade CWT, žiadne vierohodne vyzerajúce informácie o tom, koľko Garmin nakoniec mal zaplatiť, avšak zverejnené neboli.

Spoľahlivé štatistiky o tom, ako často obete pristupujú na požiadavky útočníkov a za dešifrovanie svojich dát zaplatí, k dispozícii nie sú. Opis vývoja v oblasti ransomwaru však naznačuje, že páchatelia našli cieľovú skupinu, ktorá je ochotná platiť. Nie sú to jednotliví individuálne užívatelia, ale skôr inštitúcie, ktoré zhromažďujú viac dát než jednotlivci. Či už ide o obchodné spoločnosti či trebárs nemocnice, vrátane tých českých.

 Udržať bezpečnú siet v rámci veľkej organizácie nie je celkom lacná záležitosť, vhodných cieľov bude zrejme k dispozícii dosť. Ako nasvedčuje vzácny pohľad do zákulisia, minimálne niektorí vydierači si zrejme snaží vytvoriť povesť “spoľahlivých partnerov”, ktorí plnia svoje sľuby aj hrozby. Prečo by to robili, keby “v odbore” nechceli zostať? A prečo by v ňom chceli zostať, keby sa im zločin nevyplácal? Prípad CWT zrejme nebude tak výnimočný.

 Zdroj: idnes.cz

Reklamy

Podobné príspevky:

  1. Rozložili Silk Road v USA, Bitcoin mena sa zakolísala

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *