Přímá zkušenost s hackery. Jak se vyjednává výkupné?


10:43 • 25. května 2020

Tagy: ČR, Svět, Kyberútok, kriminalita

Celosvětová pandemie koronaviru je aktuálně středobodem politického a ekonomického dění. To ale neznamená, že se nic dalšího neděje, že například kyberkriminalita spí. V temných místnostech, ozářeni světlem monitorů sedí v mikinách s kapucí anonymní lidé, kteří se snaží na chaosu a nejisté době přiživit. Nebo alespoň taková je obecná představa, jak průměrný hacker vypadá. Bez organizační struktury, na vlastní pěst, random útoky za účelem okamžitého zisku. Odpovídá ale tato představa skutečnosti? Jsou hackeři organizováni do skupin s profesionálním vedením? Jak ve skutečnosti komunikují se svou obětí? Platí firmy výkupné, které je finančně ruinují? Zkusme si tyto otázky a odpovědi na nastínit konkrétněji.

V naší „cybersecurity“ profesi jsou hlavním problémem stále útoky kyberzločinců na firemní sítě. Stávají se neustále, jen se o nich moc nepíše. Soukromé firmy, jejichž zabezpečení je prolomeno, se totiž snaží situaci řešit potichu a mimo medializace, aby neutrpěla jejich pověst.

Díky tomu, že nám firmy důvěřují a často se na nás obrací s prosbou o pomoc, máme v problematice ransomware přehled. Na přelomu roku vylepšili kyberútočníci svou taktiku vydírání. Původně obětem „pouze“ zašifrovali data (častokrát včetně záloh) a za jejich „navrácení“ (odšifrování) vyžadovali výkupné. Část obětí si však data obnovila ze záloh a výkupné neplatila. To útočníky vedlo k eskalování výhružky, že pokud oběť nezaplatí, nejen že ji data nevrátí, ale část dat zveřejní na internetu. Nově útočníci zjistili, že část obětí data vracet nepotřebuje, protože má zálohovaný systém, ale rozhodně si nepřeje, aby byla data zveřejněna. Obětem tak nově nabízí možnost zaplatit zvlášť za „navrácení dat“, „nezveřejnění dat“ anebo „výhodný kombi balíček“.

Výše výkupného

Velmi zajímavý je vývoj ceny výkupného. Na internetu je spousta statistik. Například podle „Datto’s European State of the Channel Ransomware Report“ byla průměrná výše požadovaného výkupného 2.300 EUR. Zatímco podle článku „Average Ransomware Payments More Than Doubled in Q4 2019“ byla v Q4 2019 průměrná výše výkupného 84.000 USD. Mezi částkami je více jak 10 násobný rozdíl.

Z mého pohledu se útočníci naučili otipovávat napadené firmy – zjistit si o nich informace a zkusit odhadnout, kolik bude firma ochotna zaplatit.

Zároveň u útočníků sledujeme patrný nárůst dravosti ve vyjednávání s obětí svých útoků. Tam, kde jsme se dříve bavili o výkupném v řádu desetitisíců, se nyní bavíme o statisících. Některá výkupné pak dosahují astronomických částek. Například na přelomu roku 2019/2020 zaplatila firma Travelex výkupné ve výši 2,3 milionů amerických dolarů za to, že dostala svá data zpět.

V dubnu tohoto roku byla napadena hackerskou skupinou Ragnarok největší energetická společnost v Portugalsku„Energias de Portugal“ a požadované výkupné za ukradených 10TB citlivých dat činilo 10 milionů euro.

Sofistikovanější útočníci si uvědomují, že přidaná vrstva hrozby se promítá do větších zisků. Útočníci nyní mají větší pákový efekt ve vyjednáváním o výkupném. Oběť útoku se tak ocitne v situaci, kdy jí hrozí ztráta citlivých dat a zároveň s jejich zveřejněním i tučná pokuta od státních institucí za zveřejnění důvěrných obchodních informací, osobních údajů zaměstnanců a zákazníků apod.

Vyřešení situace dále nenahrává ani fakt, že dle zprávy „The state of ransomware 2020“ zaplatí výkupné 26 % obětí. Přičemž 94 % z těchto plateb bylo uhrazeno ze „cybersecurity“ pojistky, kterou měli oběti uzavřenou. To celé opět přiživuje tento podivný „byznys“. V podstatě útočníci mohou zvyšovat cenu výkupného, dokud bude nižší než cena za „obnovu dat ze záloh“. Pro pojišťovnu je výhodnější zvolit tu levnější variantu.

Jak se vyjednává výkupné

Z ransomware je již regulérní „byznys“. Kriminálníci jsou profesionalizovaní a organizovaní. Mají mezi sebou organizační strukturu (nadřízení/podřízení), pro své „zákazníky“ jsou dostupní 24x7 a snaží se vám „pomoc“ získat data zpět.

Běžné jsou i samoobslužné „e-shopy“. Zde může oběť zaplatit skrze kryptoměnu (nejčastěji bitcoin) a hned si stáhnout program na dešifrování dat. Pro případné dotazy je k dispozici i chat s „operátorem“, stejně jako u dobrého e-shopu.

 

RSS

Martin Haller je spoluzakladatel společnosti PATRON-IT a celým srdcem technik. IT se profesionálně věnuje již 15 let a za tu dobu získal prestižní certifikace MCSE, CCNP, ECSA, CHFI, OSCP. Jeho vášní je etický hacking a „řešení neřešitelných“ problémů. Martina baví zkoumat nové technologie a poznatky sdílet na IT konferencích, ve firmách nebo na blogu MartinHaller.cz

 



Přejít na diskusi

Přihlašte se, nebo zaregistrujte


Přihlásit se


Zapomněli jste heslo?




Pokud nemáte ještě účet, můžete si ho vytvořit zdarma.

Přihlašte se, nebo zaregistrujte

Tato sekce je dostupná zdarma pouze přihlášeným uživatelům.



Přihlásit se

Zapomněli jste heslo?




Pokud nemáte ještě účet, můžete si ho vytvořit zdarma.