PAP, za chorwackimi mediami, podała, że blokadę założyli Rosjanie, bo się do tego przyznali. Wcześniej również Rosjanie, ale już z innej grupy hakerskiej, przełamali zabezpieczenia w Ministerstwie Finansów i Chorwackim Banku Narodowym. Nie podano szczegółów dotyczących wysokości okupu i tego, w czego posiadanie weszli hakerzy.
Do takich ataków używa się oprogramowania ransomware. Grupy rosyjskie stosują LockBit 3.0, stworzone przez lidera w tej branży, rosyjskiego ma się rozumieć, LockBit. Do tej „kamandy” jeszcze wrócimy.
Z GRUBSZA O TYM, CZYM SKUTKUJE TAKI ATAK RANSOMWARE...
Tylko pozornie wyłącznie tym, że użytkownicy zaatakowanej instytucji nie mogą korzystać z zasobów własnej info-sieci (intranetu). Cyberprzestępcy żądają sporego okupu w zamian za hasło zdejmujące blokadę z zaszyfrowanych przez nich danych. Rzecz w tym, że skoro już przełamali zabezpieczenia, to są administratorami opanowanej sieci i mają pełen dostęp do jej zasobów. Mogą robić z nimi, co chcą, a na uczciwość przestępców, zaklinających się, że nie będą nimi handlować lub niecnie wykorzystywać w innych celach, nie ma co liczyć.
W Zagrzebiu włamywacze przyznali sami, że uzyskali dostęp do dokumentacji medycznej, danych dotyczących narządów i dawców, danych pracowników oraz umów podpisanych z firmami zewnętrznymi. Jeśli klinika nie miała kopii zapasowych, to Rosjanie mogą mocno skomplikować funkcjonowanie szpitala. W tym ataku przestępcy nie przedstawili politycznego manifestu. Grupa, która włamała się do systemów banku centralnego i resortu finansów i założyła „kłódki” na ich systemy, wprost oznajmiła, że atakuje i będzie atakować „cele rusofobiczne”.
Rosyjskie grupy, jak było stwierdzone, posługują się „złośliwcem” LockBit 3.0. To jest obecnie ostatnia wersja tego oprogramowania W użyciu jest od czerwca 2022 r. W czym tkwi jego potencjał?
Po prostu jest to skuteczne oprogramowanie zwane złośliwym. Więcej wyjaśniać nie będziemy, bo „obfuskacja i manipulacja pamięcią, techniki takie jak XOR i rotacja bitów do obfuskacji adresów funkcji oraz sprawdzanie obecności debuggera poprzez ocenę parametrów pamięci stosu i określonych flag”, to dla wiedza jasna dla niewielkiego grona – nawet i informatyków. To sobie można darować wymądrzanie się, gdy i tak mało do kogo ono trafi. Laicy muszą uwierzyć. To oprogramowanie jest skuteczne, szczególnie wtedy, gdy cel nie ma dobrej osłony antywirusowej i nie stosuje, między innymi, co najmniej dwupoziomowego zabezpieczania hasłami dostępu do zgromadzonych danych. Jakby ktoś był bliżej zainteresowany szczegółami dotyczącymi LockBit 3.0 i rozumie specyficzny, otwarty dla nielicznych język, to może odwiedzić te strony: SentinelOne, VMware Blogs, Palo Alto Networks...
LOCKBIT TO ŚWIATOWA CZOŁÓWKA DESTRUKCYJNYCH GRUP RANSOMWARE...
Działają w niej przede wszystkim Rosjanie, a założył ją i zarządza nią – jak podaje portal Justice – Dmitrij Juriewicz Choroszew (znanego również jako LockBitSupp), pochodzący z Woroneża w Rosji. Serwis BlackFog, firmy tworzącej oprogramowanie do ochrony prywatności i bezpieczeństwa cyfrowego, szacuje, że Choroszew i spółka odpowiadają „za setki ataków i żądania okupu na miliardy dolarów”.
Ile z nich było skutecznych, czyli zakończonych uzyskaniem haraczu, tego nie wiadomo, bo „cele” tym się nie chwalą. Według raportów Chainalysis w roku 2021 cyberprzestępcy zarobili 766 mln USD, a rok później już to tylko 457 mln dolarów. Dane są rozbieżne, bo i materia – z wielu powodów – jest trudna do precyzyjnego określenia. BleepingComputer szacuje, że od lipca 2022 r. do lutego 2024 r., grupie Choroszewa udało się uzyskać w charakterze okupu 125 mln USD. Co ważne: Choroszew udziela dostępu do tego softu zaprzyjaźnionym grupom w zamian za procent od uzyskanych haraczy!
A oto dwa przykłady z ogromu ataków; bez pistoletów maszynowych, bez podkładania bomb i temu podobnych archaicznych, w dzisiejszym zinformatyzowanym świecie, metod:
• atak na info-zasoby koncernu Boeing, w listopadzie 2023 r. LockBit zażądał okupu w wysokości 200 mln USD;
• atak na Industrial and Commercial Bank of China (ICBC): w listopadzie 2023 r. LockBit zaatakował amerykańską jednostkę broker-dealera tego banku (U.S. Department of the Treasury).
Czy LockBit to GRU pod tzw. przykrywką, albo ekipa pod patronatem rosyjskiego wywiadu wojskowego? Jak na razie nie ma twardych dowodów na takie związki, acz – szczególnie w obecnej sytuacji – trudno sobie wyobrazić, by Choroszew i jego ekipa działali wyłącznie z własnej woli na na własny rachunek.
Amerykańskie agencje rządowe (w tym FBI i Departament Skarbu USA) raportują, że LockBit i im podobne grupy często działają z terytorium Rosji, gdzie mogą korzystać z pewnej swobody działania, jeśli tylko nie biorą na celownik instytucji rosyjskich. To zjawisko jest często określane jako „bezpieczna przystań” dla cyberprzestępców...
CZASEM UDA SIĘ NAMIERZYĆ HAKERÓW I WSADZIĆ ICH ZA KRATKI...
Walka z cyberprzestępczość jest wielokroć trudniejsza od klasycznej, kinetycznej walki na wojnie z jakimś przeciwnikiem. W tym drugim przypadku wystarczy dobrze trafić (np. rakietą) w centrum dowodzenia, by posłać kilku generałów na tamten świat. W cyberwalce nie jest to takie proste i dlatego, jeśli służby kajdankują takich przestępców, to nie są to liderzy takich grup, ale zwykli tzw. żołnierze.
W lutym 2024 w Polsce i na Ukrainie służby, razem z Europolem, przeprowadziły operację „Cronos”. Dwóch hakerów aresztowano. Wydano międzynarodowe nakazy aresztowania oraz oskarżenia przeciwko kilku innym członkom grupy. Skonfiskowano serwery, zamrożono ponad 200 kont kryptowalutowych. Operacja ta była koordynowana przez Europol, Eurojust oraz agencje ścigania z wielu krajów, w tym FBI i brytyjską Narodową Agencję Kryminalną (NCA). Dzięki tej akcji udało się także opracować narzędzie deszyfrujące, które umożliwia ofiarom ataków odzyskanie danych bez konieczności płacenia okupu (BleepingComputer). Czy jednak długo będzie ono skutecznym? Wątpliwe. Cyberbandy nie śpią. Nie wywieszą białej flagi. To zbyt lukratywny biznes. Podobno przynoszący lepsze zyski, przy niewielkim ryzyku, od handlu narkotykami. A gdy do tego jeszcze wchodzi polityka...
PS. Tytułem wyjaśnienia: pojęcie „haker” w tym tekście odnosi się wyłącznie do tych, którzy włamują się i infiltrują systemy komputerowe w przestępczych zamiarach. Hakowanie niekoniecznie musi oznaczać działanie niezgodne z prawem. Nie wszyscy hakerzy, to z automatu – cyberprzestępcy.