Хакерскиот напад врз системот на Фондот за здравство, кој беше само еден од низата во последниов период, покрена многу прашања во јавноста за тоа кој стои зад овие напади, колку се безбедни системите на државните и јавните институции и како всушност функционираат малициозните (злонамерни) софтвери кои предизвикуваат огромни штети за општеството и за граѓаните.
За сите овие, но и за дополнителни теми, за тоа колку се стари овие напади, кои се мотивите, колку пари бараат хакерите за да им ги вратат податоците на институциите/организациите, разговаравме со Божидар Спировски, директор за информативна сигурност во компанијата Blue Dot, кој се фокусира на развој на успешен и интегриран информациски безбедносен тим што ѝ помага на организацијата да управува со безбедноста на информациите.
Како најпросто би се објаснил хакерски напад со т.н. ransomware? Што содржи и како функционира овој малициозен софтвер?
Спировски: Се работи за киднапирање на вашите податоци и барање на откуп од страна на криминалецот. Замислете дека криминалци влегле во вашиот дом додека не сте дома и ја смениле бравата. Вие никако не можете да влезете без новиот клуч, а криминалците ве уценуваат да им платите за да ви го дадат клучот.
На ист принцип работи “ransomware” нападот – криминалците уфрлаат вирус во вашиот компјутер кој ги шифрира сите податоци. Потоа криминалците ве уценуваат да им платите за да ви го дадат клучот за дешифрирање. Клучот е многу комплексен и е скоро невозможно да биде пробиен. Уште пострашно, дури и да им платите на криминалците, не сте сигурни дека клучот што ќе го добиете ќе ги дешифрира податоците или не.
Исплатата на уцената се бара да биде изведена во криптовалута – најчесто во криптовалута наречена биткоин. Криптовалутите се дигитални пари кои постојат само во компјутери меѓусебно поврзани преку Интернет. Криптовалутите се потполно независни од традиционалните финансиски и банкарски системи, и се потполно анонимни. Секој човек може да креира анонимна сметка за криптовалути, и да прима и праќа пари на други такви сметки како да испраќа e-mail пораки. Дополнително, кај ransomware нападот, не сте сигурни дали криминалците само ги шифрирале податоците или претходно веќе ги ископирале и ќе ги злоупотребат (продадат, објават, употребат за кражба на идентитет). Во аналогијата со заклучениот дом, не знаете дали криминалците ги украле вредните предмети од станот пред да платите за клучот и да се обидете да влезете.
Има ли некакви индиции кој стои зад ваквите хакерски напади? Колкава е веројатноста да се открие, или пак некогаш можеби било откриено?
Спировски: Ransomware вирус е многу чест механизам на напад и се користи како алатка од голем број на криминални групи низ светот. При анализа на програмскиот код на вирусот понекогаш може да се каже од која хакерска група е напишан вирусот. Мора да имаме предвид дека постои црн пазар на кој се продаваат и вируси, па сосема е можно сосема друга група да го купила програмскиот код, да направила мали промени и да го употреби за свој напад, независно од оригиналните автори. На овој начин анализата на програмскиот код може да доведе и до погрешен заклучок.
Еден од начините да се открие кој стои зад нападот е да се следи текот на парите исплатени како откуп. Ова е до некаде возможно и при користење на криптовалути, кои иако се анонимни, се потполно транспарентни при трансферот на средства. Преносот на криптовалута од една анонимна сметка на друга анонимна сметка е потполно видлив на интернет. Ако истражните органи се доволно трпеливи, а криминалецот направи грешка и на некој начин да ‘му се испушти’ дека анонимната сметка е негова, може да се лоцира.
Може ли да ни кажете мал историјат за овој вид хакерски напади, од кога почнуваат да се применуваат? Одговарал ли некој досега за вакви дела?
Спировски: Првиот ransomware вирус е настанат далечната 1989 година, со тројанец (вид на вирус) со име “AIDS Trojan”, кој ги шифрирал само имињата на датотеките. Понатаму, овие типови вируси доживуваат неколку еволуции, најчесто во механизамот на шифрирање на податоци.
Експлозијата на ransomware вирусите доаѓа со популаризацијата на криптовалутите, кон крајот на 2013 година со вирусот “CryptoLocker”, кој за прв пат бара откуп во криптовалута – биткоин и успева да извлече преку 27 милиони долари во откуп. Анонимноста на криптовалутите го прави следењето на криминалците многу тешко, што го прави нападот со уцена многу популарен.
Успеал ли некој досега да си ги врати украдените податоци, без да плати? Колкави суми најчесто се бараат?
Спировски: Единствен сигурен начин да се вратат податоците без да се плати откупот е да имате направено копија на податоците (бекап) на место кое не е достапно за ransomware вирусот за да ги шифрира.
Некои ransomware вируси имаат недоволно моќен механизам за шифрирање, па клучот за шифрирање може да биде пробиен, но ова е релативно редок случај и бара ангажман на специјализирани форензички тимови и потенцијално долготрајни обиди за дешифрирање.
Најинтересн случај на враќање на податоци се случи на почетокот на 2023 година кога ransomware вирус на хакерската група LockBit шифрираше систем на детска болница во Канада – инцидент кој не бил воопшто планиран од хакерите. Хакерската група се извини и јавно го објави клучот за дешифрирање на податоците, без никаква надокнада. Сите жртви на истиот вирус ги дешифрираа своите податоци.
Просечните суми барани за откуп се во драматичен пораст во последните години. На почетокот на 2018 година просечниот побаран откуп бил 6.000 долари, за до крајот на 2021 година да достигне 220.000 долари.
Често во јавноста се споменува дека овој вид напади врз системите на државни и јавни институции се последица на „хибридната војна“ во Европа, а во контекст на реалната воена инвазија на Русија врз Украина. Каква би била поврзаноста, ако постои?
Спировски: Ransomware вируси се многу чест тип на напад насекаде низ светот. Само во јануари 2023 година имаше единаесет вакви напади на многу големи организации низ светот, и сигурно неколку десетици пати повеќе такви напади, за кои медиумите не беа заинтересирани да ги објават. Ваквиот напад е најчесто потполно автоматизиран и не мора да биде поврзан со интереси на држави или воени блокови.
Сум следел неколку изјави на FBI во кои одреден ransomware напад е поврзан со некоја држава, но тие изјави се придружени со заклучоци од техничка природа со кои се појаснува корелацијата меѓу нападот, програмскиот код, специфични техники користени од тимови на држави.
Ако некоја институција има воочено ваква корелација во нашиот пример на ransomware напад, би бил благодарен јавноста да ги добие информациите за техничките заклучоци кои довеле до корелација.
Ваше мислење, зошто токму сега во Македонија се зачестија хакерските напади и падот на системите во јавните институции?
Спировски: Имавме повеќе различни типови на инциденти. Дел од нив – пријавите за бомби, хакирањето на веб страници на институции, задушување на сајтовите на банки – беа насочени кон политички активизам или исцрпување на фокусот на државата. Другиот дел – ransomware нападите и вирусите многу повеќе личат на криминален напад.
Моето мислење е дека пазарот на хакерски напади многу се прошири и дека многумина можат да стасаат до такви услуги за свој интерес. Порастот на хакерски напади не е ограничен на Македонија. Дигитализацијата и порастот на бизнис активностите во дигиталната сфера ги донесе и криминалците со себе.
Хакерските тимови кои се примарно криминални организации сѐ повеќе го организираат и прошируваат своето делување за профит. Притоа, нивните услуги ги користат сѐ повеќе интересни групи, дел од нив со криминални, дел со конкурентски па дури и политички интерес. Но, скоро совршената анонимност на овие напади ме спречуваат да оценам дали има директна корелација со некој политички контекст.
Се вложуваат ли доволно средства и ресурси кај нас во државата, за да се заштитиме од ваков вид софтверски напади?
Спировски: Компаниите со кои сум соработувал – сите од приватниот сектор – имаат голем број заштитни и превентивни механизми од вакви напади. Но, во случајот на ransomware нападот на Фондот за здравство, немаме никакви информации за самиот инцидент, кои системи се нападнати и кои заштитни механизми постоеле.
Тука би сакал да потенцирам – хакерските напади денес се реалност со која живееме. Ниедна организација не совршено подготвена да ги спречи сите напади. Денес подготвеноста на една организација се вреднува не во апсолутната непробојност, туку во брзината и леснотијата со која ќе се опорави после инцидентот.
За да може да ја подобри својата безбедносна поставеност, организациите и државата мора да практикуваат транспарентно информирање и јасни и транспарентни заклучоци што се случило, каде е настаната грешката, како можела да се превенира или корегира и што треба да се направи за да се подобри состојбата. Само со ваков пристап сите институции можат да ја подобрат својата поставеност за подобра издржливост при хакерски напади.
За жал, при последниов инцидент, добиваме само половични, недоречени изјави, капка по капка. Јавноста сè уште не знае што точно е настанато, поради што, и со кои механизми на потврда е дојдено до заклучок дека податоците не се украдени, туку се шифрирани.
На што треба да внимаваат и граѓаните и фирмите и институциите во однос на заштита на своите податоци? Можете ли да дадете, на пример, пет клучни препораки до нив?
За да се заштитиме, најпрво треба да го разбереме механизамот на дистрибуција.
Најчест начин за дистрибуција на ransomware вирус е преку email пораки кои се дизајнирани кај примачот да предизвикаат емотивна реакција (љубопитност, завист, лутина, страв) и да го убедат да симне и изврши програма во која е скриен ransomware вирусот.
Втор најчест начин за дистрибуција е преку симнување пиратирани копии на програми вo кои често е скриен ваков ransomware вирус.
Трет најчест начин за дитрибиција е преку ранливост на софтвер на компјутерот и таквиот ранлив софтвер да е видлив на интернет па вирусот да се уфрли преку ранливоста. Ова е моментално пример со еден познат производ – “VMware ESXi” кој е нападнат од ransomware вирус кој носи назив “ESXiArgs”.
Заштитата од ransomware вируси се сведува на добра дигитална хигиена, превентива и резервни копии.
- Редовно правете резервни копии на своите податоци, на медиум кој го чувате исклучен од компјутерот кога не правите резервни копии (бекап).
2. Бидете внимателни со e-mail пораките што ги добивате. Ако не очекувате порака и таа е или премногу добра да биде вистинита или ви предизвикува емотивна реакција, никако не отворајте фајлови во прилог и не ги отворајте линковите во пораката.
3. Не симнувајте пиратирани копии на програми и не ги инсталирајте.
4. Редовно ажурирајте го вашиот оперативен систем и програмите на вашиот компјутер.
5. Имајте функционален и ажуриран антивирусен софтвер на вашиот компјутер.
