Dušan DINGARAC

1. mart 2024.

Koliko truda, raznih sistema pa, čak, i celih preduzeća može da ode u vetar sa samo jednim pogrešnim klikom miša. Nasamaren, neobučen korisnik, upecan preko prevarantske e-mail poruke i jedan pogrešan klik.

Računarske prevare nisu novitet, ali ransomware je svakako novija stvar. Kažu ljudi da je najgori proizvod blokčejna i kriptovaluta ucena putem ransomvera. Specijalni zlonamerni programi se uvuku u mrežu žrtve, tiho počnu da se šire mrežom i da šifriraju fajlove, bekape i sve što im je dozvoljeno privilegijama nasamarenog korisnika. I, kada je posao šifriranja poodmakao i kada su gigabajti fajlova tajno otišli i samom organizatoru napada, dolazi do ucene. Neki put, u fajlu koji se nađe u svakom šifrovanom folderu, dok neki put iskoči na ekranu, dolazi obaveštenje da su fajlovi preuzeti i u sistemima korisnika šifrovani. Ako korisnik želi da dobije ključ za dešifrovanje svojih fajlova, mora da plati određenu sumu u kriptovalutama. Da, kripto valute su anonimne, tako da ovaj način ucene veoma dobro skriva napadača.

Nije tajna, i mi smo već pisali o tome, da su iza ransomware napada grupe koje posluju slično kao nekakva preduzeća. Posebno je zanimljivo da pojedine grupe imaju sistem affilliate saradnika. Zapravo, reč je o posredovanju u transakciji uz zadržavanje procenta od zarade. Model koji je vekovima prisutan u trgovini i koji je podignut na viši nivo krajem dvadesetog veka sa raznim MLM shemama. U konkretnom slučaju, grupa preko svog portala na dark netu obezbedi kripto softver sa sistemom za otkup u kripto valuti i sistemom dešifrovanja. Saradnici koji uspeju da nađu žrtvu, ubace joj kripto softver i dočekaju uspešno ostvarenu transakciju plaćanja ucene dobijaju lep deo kolača. Naravno, i ovaj procenat „prodavca usluge” se isplaćuje u kripto valutama. Time je sasvim moguće da se članovi grupe i spoljni saradnici nikada ne upoznaju, čak i ne stupe u kontakt sa spoljnim saradnicima, osim na njihovoj platformi.

Šta to, zapravo, znači u praksi? Pa, da napadu kripto softvera može da kumuje ne samo neko zlonameran van kompanije, već i neko unutar kompanije ili neki bivši zaposleni koji je kivan na kompaniju. Takvi saradnici imaju dodatna znanja o slabosti sistema i ljudi koji su pogodni za fišing prevare unutar kompanije. Nije čak isključno da i sami unesu zlonamerni softver unutar sistema kompanije!

Prema pisanju na internetu, upravo ovakav sistem saradnika ima i grupa Qilin, čiji je kripto softver vršljao u mreži EPS-a krajem prošle godine. O ovom slučaju nema previše detalja u javnosti. Zna se da je portal za plaćanje bio nedostupan gotovo mesec dana i da je bilo problema sa radom šaltera. Kolike su bile razmere štete, nije tačno poznato. Zvanično, sistemi su oporavljeni, a napad nije uticao na proizvodnju i distribuciju električne energije. Nezvanično, tražen je otkup od više miliona evra u bitkoinima da bi se dobila lozinka za otključavanje šifrovanih fajlova. Druga verzija je da je traženo dva ili tri bitkoina po svakom zaključanom računaru, da je računara preko hiljadu, što uz trenutnu cenu bitkoina od preko pedeset hiljada evra dovodi do još višeg iznosa.

Bilo kako bilo, Qilin je saopštio da je preuzeo podatke i dao uzorak od tridesetak fotografija dokumenata, koji nam se nisu činili preterano bitnim. Nakon isteka zadatog roka, objavljen je i prvi deo arhive veličine 34 gigabajta. No, preuzimanje tog fajla na dark netu je bilo izuzetno sporo, prekidalo se i ubrzo je postalo i nemoguće započeti proces preuzimanja. Najavljeni drugi deo arhive do danas nije objavljen. Prema tome, izgleda da EPS nije platio ucenu, mada je pomalo čudna ova nedoslednost da se fajl nije mogao preuzeti i da nema drugog dela arhive.

Gledajući taj blog sajt Qilina na dark netu, videli smo da je ranije već bilo napada na neke poznate privatne firme u Srbiji. Nije tajna da je raznih ransomware zaključavanja fajlova bilo po Srbiji i ranije. Po forumima se piše da su neki platili ucene i time spasili svoj biznis. Mnogi su delimično oporavili svoje sisteme, uglavnom iz bekapa i nastavili dalje. No, u javnosti su najpoznatiji slučajevi javnih preduzeća (RGZ, Informatika Novi Sad...).

Nikada se ne možete zaštiti u potpunosti od svih vrsta napada, pa i ovih ransomware napada. No, dobrom postavkom sistema, prava pristupa, korišćenjem različitih sistema za detekciju napada (na različitim nivoima) i, verovatno najvažnijom stavkom, dobrom politikom kreiranja bekapa na različitim nivoima i mestima skladištenja bekapa, kritični resursi mogu da se oporave od ovakvih napada.

Godišnji obrt ovog biznis modela u svetu je na nivou procena. Prema proceni Chainalysis, u 2023. godini je plaćeno preko 1,1 milijarde dolara ucena kako bi se podaci dešifrovali. Tokom 2020. i 2021. godine, iznosi su bili preko 900 miliona dolara, ali je u 2022. godini došlo do pada na 567 miliona dolara. Razlog tome je onesposobljavanje grupe Hive od strane FBI i preuzimanja ključeva za dešifriranje fajlova za preko 1300 žrtava ove grupe. I mnoge firme koje se bave zaštitom ponudile su sisteme za dešifrovanje mnogih verzija ransomware napada, pa je ovaj biznis model bio manje uspešan. No, ono što niko ne pominje je indirektna šteta nastala od ovih napada. Neki biznisi su se ugasili, mnogi pretrpeli gubitke usled zastoja u radu, a tu štetu niko ne može sa sigurnošću da proceni.