Câţi bani au făcut şi cum acţionează hackerii care lansează atacuri de tip Ransomware

Un grup de hackeri capabil să blocheze sisteme, să fure date, să şantajeze companii şi persoane fizice. Un grup periculos a folosit pentru prima dată strategia „name&shame”. La 1 noiembrie 2020, grupul a declarat proiectul „închis” în mare măsură, printr-un comunicat de presă publicat online în care a subliniat că nu vor exista succesori. Dar, nu a dispărut. Dimpotrivă.

Deja cu câteva luni înainte de predare, o altă trupă, mai capabilă şi mai puternică, apăruse pe scenă: Egregor. Într-un an, a lansat peste 200 de atacuri. Şi apoi sunt multe altele, pentru că această Mafie Ransom, aşa cum a fost definită, urmăreşte lumea criminală „analogică”: indivizi care se reunesc în bande, formează şi dizolvă alianţe, se grupează în carteluri.

Un raport confidenţial al serviciilor de informaţii care reconstituie strategiile acestor criminali cibernetici, obiectivele lor, originile lor, spune povestea războiului care a devenit acum global.

Trebuie să plăteşti cheia criptografică

Dar, mai presus de toate, raportează o cifră care arată clar ce este în joc: în 2019 s-au plătit 9,7 miliarde de euro pentru a preveni ca aceşti ”criminali cibernetici” să blocheze sistemele companiei şi să disemineze informaţii confidenţiale. În primul trimestru al anului 2021, această cifră a ajuns deja la 17 miliarde de euro.

Un atac ransomware foloseşte viruşi pentru a „restricţiona accesul la sistemele de informaţii ale utilizatorilor şi a cripta hard diskul”. Fişierele devin ilizibile de către proprietarul legitim, care are nevoie de o anumită cheie criptografică, pentru a le debloca.

În acest moment începe şantajul. În general, pe ecranul computerelor atacate apare un avertisment care vă invită să deschideţi o pagină în care puteţi găsi instrucţiunile de plată, mai ales în criptomonede. Pentru cei mai puţin experimentaţi, există şi asistenţă multilingvă.

Până anul trecut, atacurile ransomware implicau aproape exclusiv criptarea datelor care erau indisponibile pe termen nelimitat. În ultimul an, s-a adăugat divulgarea datelor pe dark web. Aceasta este „revoluţia”, „dubla extorcare”: dacă nu plăteşti cheia criptografică sau încercaţi să ocoliţi răscumpărarea, vă punem datele online.

De la brevete la informaţii despre clienţi sau utilizatori, o mulţime de informaţii sensibile riscă să devină publice. Astfel, se estimează că între 50 şi 70% dintre victime plătesc în cele din urmă.

Până în prezent, atacurile ransomware au afectat operatorii de reţele energetice şi telefonice, şcolile şi spitalele, precum şi companiile cotate la bursă. Au şantajat companiile mici şi mijlocii că publicarea datelor ar fi anihilat şi giganţii industriali dispuşi să plătească pentru a asigura informaţii confidenţiale. Dar, mai presus de toate, s-au ocupat direct de guverne, la fel cum se întâmplă atunci când formaţiunile teroriste capturează ostatici.

Atacurile vin din Rusia, China, Coreea de Nord

Conform celui mai recent raport al lui Sophos The State of Ransomware 2021, majoritatea atacurilor provin din Rusia, China şi Coreea de Nord, dar există alte ”focare” în Vietnam, Ucraina şi India.

Cele mai spectaculoase au fost lansate de grupul REvil în 2021. În martie, au cerut gigantului taiwanez Acer 42 de milioane de euro.

În aprilie, aceeaşi sumă a fost cerută unui partener Apple, pentru a nu răspândi secretele comerciale. Imediat după aceea, au vizat JBS Foods, care a primit o cerere de 9,3 milioane de euro, iar în iulie, prin furnizorul Kaseya, au intrat în sistemele a numeroase companii, cerând în total 59,5 milioane de euro.

Unele firme au recunoscut public atacurile. În luna mai, Colonial Pipeline, conductă care alimentează coasta de Est a Statelor Unite, a plătit 3,7 milioane de euro grupului DarkSide pentru a-şi recupera datele şi, cu intervenţia FBI, a recuperat apoi 1,9 milioane.

În urmă cu câteva săptămâni, Pay2Key, care are o origine iraniană, a publicat o postare cu lista companiilor afectate în Israel: Portnox, Israel Aerospace Industries, Habana, InterElectric, Mt, InfiApps.

Pe de o parte, bandele joacă, de asemenea, un rol în relaţiile internaţionale. După cum a raportat New York Times, dispariţia bruscă a ruşilor REvil în iulie, imediat după ce a dat foc Statelor Unite, se poate datora unui acord vizat între Joe Biden şi Vladimir Putin.

Pe de altă parte, se mişcă precum nişte companii reale. Recompensează inovaţia şi lucrează pentru a menţine reputaţia ridicată: când cineva reuşeşte să recupereze datele fără să le plătească este o problemă, nu devii prea credibil. Sunt organizaţii bine structurate, cu zeci de dezvoltatori şi utilaje şi astfel, pentru a amortiza costurile, au creat Ransomware ca serviciu (Raas), „o variaţie a modelelor de afaceri în comparaţie cu cei care vând software legal”, aşa cum explică analiştii.