Realnost kripto izsiljevalskih virusov

Scenarij iz nočne more

Vir: Bloctopus Intelligence

Scenarij, ki preganja vsakega sodobnega podjetnika: pozno zvečer zazvoni telefon. Na drugi strani se oglasi direktor za informacijsko varnost (CISO) ali vodja IT oddelka: vaše datoteke, sistemi ali celotna omrežja so šifrirana, dostop do njih pa je popolnoma onemogočen.

Na vsakem zaslonu se pojavi enako obvestilo. Navodila so preprosta: “V 72 urah morate nakazati 3 Bitcoine v navedeno denarnico. V primeru, da zamudite tridnevni rok, se zahtevana vrednost plačila podvoji. Če ne plačate v enem tednu, bodo napadalci javno objavili občutljive podatke in interno komunikacijo.”

Čas za preventivno ukrepanje je mimo. Če nimate nespremenljivih varnostnih kopij, ločenih od omrežja, so vaše možnosti omejene. 

Kaj se je pravzaprav zgodilo?

Izsiljevalski virusi (ang. “ransomware”) so sofisticirana kategorija zlonamerne programske opreme, primarno zasnovane za finančno izsiljevanje. Vstopne točke vključujejo “phishing”, ciljno usmerjeno e-pošto z zlonamernimi prilogami ali povezavami, okužene oglase ali na videz legitimne povezave, ki pa preusmerijo na spretno stran z vgrajeno zlonamerno programsko opremo.

Kako deluje? Programska oprema uporablja napredne algoritme za šifriranje, kot sta AES-256 in RSA-2048. Razvita je bila za šifriranje ključnih datotek na napravi ali po celotnem omrežju, edini način za dešifriranje pa je unikaten numerični ključ, ki ga imajo izključno napadalci. Ta ključ žrtvi prodajo v zameno za določeno denarno vrednost, nakazano v obliki kripto valut.

Zapleti, ki nastanejo

Napad z izsiljevalsko programsko opremo ni omejen zgolj na računalniški oddelek: prinaša pravne in finančne posledice ter vpliva na ugled podjetja.

• Pravno tveganje

  V sodobnem regulativnem okolju so podjetja odgovorna za izgubo nadzora nad podatki svojih strank. Mednarodni akti, kot so Splošna uredba o varstvu podatkov (GDPR), NIS-2 in Uredba o digitalni operativni odgovornosti (DORA) od podjetij zahtevajo izpolnjevanje strogih standardov. Nepooblaščen dostop napadalcev do podatkov lahko privede do finančnih sankcij regulatornih organov, civilnih tožb zaradi malomarnosti in kompleksnih zahtev po skladnosti z akti, ki določajo stroge časovne okvire za poročanje o kršitvah.

• Finančni vplivi

  Plačilo odkupnine je pogosto še najmanjši del finančnega bremena, ki ga prinaša tak napad: dejanski strošek običajno predstavlja prekinitev poslovanja. Šifriranost ključnih podatkov pomeni motenost vsakodnevnih operacij, kar neposredno vpliva na produktivnost in izgubo prihodkov. Vsaka minuta, ko podjetje ne more poslovati, se kaže v izgubi prihodkov, zato je hitro ukrepanje ključnega pomena. Poleg tega predstavljajo del finančnega bremena tudi stroški odziva na incident in stroški obnove sistemov.

• Vpliv na ugled

  Novica o vdoru in kraji podatkov lahko povzroči odliv strank h konkurenci, vpliva na ugled podjetja in lahko organizaciji dolgoročno škoduje.

Načrt ukrepanja

Če se znajdete sredi aktivnega napada je ključno takojšnje ukrepanje.

Vir: Bloctopus Intelligence

• Izolacija in omejitev

  Prvi koraki po identifikaciji prizadete naprave in strežnikov vključujejo izolacijo prizadetih sistemov in odklopitev slednjih iz omrežja, da se prepreči širitev virusa.

• Obvestitev organov

  V Sloveniji je potrebno o napadih obvestiti policijo, Nacionalni odzivni center za kibernetsko varnost (SI-CERT), ki nudi svetovanje in spremlja grožnje na nacionalnem nivoju, ter Informacijskega pooblaščenca v primerih, ko so ogroženi osebni podatki.

• Analiza in ocena vpliva

  Nadaljne postopanje je odvisno od rezultatov temeljite analize in ocene učinkov napada s pomočjo strokovnjakov za kibernetsko varnost. To pogosto vključuje oblikovanje strategije za komunikacijo z javnostjo ter odločitev o tem, ali je smiselno plačati odkupnino.

Onkraj plačila

Čeprav številni strokovnjaki za kibernetsko varnost odsvetujejo plačilo odkupnine zaradi tveganj, ki ga spremljajo, se prizadeta podjetja [1] zanj pogosto odločijo, saj predstavlja zasilni izhod in preprečitev popolnega operativnega propada. Na spletu je pogosto izpostavljen mit, da je kripto valuta za vedno izgubljena, ko enkrat zapusti vašo denarnico. V resnici pa ravno trajna in javna narava blockchain transakcij omogoča njihovo sledenje.

• Blockchain forenzika

  Čeprav je sledenje transakcijam na blockchainu zahtevno, ni nemogoče. Vsaka transakcija je nespremenljiva, javna in ji je mogoče slediti z ustreznimi forenzičnimi orodji. Cilj napadalcev je prekiniti sledi z metodami, kot so mešalniki in premikanje sredstev med različnimi kripto valutami. Odkupnino bodo po napadu skušali razdeliti na tisoče drobnih transakcij, da bi skrili končni cilj, torej svojo denarnico. Tu si lahko pomagamo s forenzično analizo, ki z najnovejšo tehnologijo analizira poti transakcij in identificira destinacijo sredstev.

  
  

  Na neki točki morajo napadalci kripto valuto pretvoriti v valuto, kot so evri in dolarji. To se običajno zgodi na centraliziranih menjalnicah, ki predstavljajo največjo točko ranljivosti napadalcev.

• Strateški pritisk na ključne točke

  Centralizirana menjalnica je ena redkih točk, kjer je sredstva mogoče zaseči. Ko sredstva izsledimo, je potrebno na institucijo pritisniti, da zamrzne račune, preden uspejo napadalci dvigniti premoženje. To storimo s pomočjo primernih pravnih mehanizmov. Ko so sredstva zamrznjena, je potrebno sodelovanje z organi pregona, forenzičnimi in pravnimi ekipami, da se razkrijejo identitete posameznikov, ki stojijo za ključnimi denarnicami, in se izvedejo pravne sankcije. Vračilo sredstev je možno, vendar zahteva kombinacijo tehnične vztrajnosti in pravne pismenosti.

Kako lahko povečamo možnosti za uspešno vrnitev sredstev?

• Poudarek na hitrem ukrepanju: Hitreje ko se začne forenzično sledenje, manj časa imajo napadalci za skrivanje sledi.

  
  

• Uporaba profesionalne forenzike: Amaterski poskusi sledenja sredstev lahko opozorijo napadalce, zaradi česar ti premaknejo sredstva preden jih uspemo zamrzniti. Sodelovanje s strokovnjaki pomaga preprečiti takšne napake.

• Sodelovanje s pravnimi strokovnjaki: Digitalna sredstva urejajo kompleksni mednarodni pravni akti: za uspešno povrnitev je treba pravni pritisk uporabiti v skladu z mednarodno regulacijo, ob pravem času in v pravi jurisdikciji.

Zaključek

Čeprav ima napad z izsiljevalsko programsko opremo lahko uničujoč vpliv na podjetje, ga je mogoče obvladati s kombinacijo hitrega odziva na incident, napredne blockchain forenzike in pravnih strategij. Najboljši pristop je sprejetje preventivnih ukrepov, vendar je, ko do napada enkrat pride, čas glavni faktor, ki določa uspeh. Strukturiran načrt ukrepanja in sodelovanje s strokovnjaki sta odločilna za uspešno obvladovanje krizne situacije.