Najmanje 2.207 bolnica, škola i vladinih institucija u SAD bile su tokom 2023. godine direktno pogođene rensomver napadima, navode iz kompanije za sajber bezbjednost Emsisoft. U svom godišnjem izvještaju o rensomveru, oni napominju da su Amerikanci zbog toga bili lišeni pristupa ključnim uslugama, da su njihove lične informacije bile kompromitovane, a „to je vjerovatno i ubilo neke od njih“.
Prilikom rensomver napada hakeri zaključavaju podatke u računarskim sistemima žrtava, te im onemogućavaju funkcionisanje. Potom traže visoke iznose novca da bi podatke otključali i da ukradene informacije ne bi objavljivali ili prodavali na dark vebu - dijelu interneta koji nije dostupan preko običnih pretraživača
„2023. je bila godina u kojoj su ponašanje i agresija onih koji predstavljaju prijetnju i njihove agresivne taktike iznuđivanja, zaista zaprepastili. Vidjeli smo sve, od prijetnji smrću, slanja buketa cvijeća na adrese direktora javnih kompanija (…), objavljivanje fotografija rukovodilaca i njihovih porodica na stranicama na dark vebu“, kaže za Glas Amerike Meredit Grifanti, globalna direktorica za sajber bezbjednost i komunikacije njujorške konsultantske kompanije „FTI Consulting“.
Ukupan broj napada u 2023. bio je znatno veći od 2.207 jer mnoge kompanije ne prijavljuju kada im se problem dogodi, a ne postoji ni jedinstvena evidencija rensomver incidenata.
Iz Emsisofta navode da u tu cifru ne ulaze ni hiljade privatnih kompanija, kao ni organizacije koje su pretrpjele indirektne posljedice od rensomvera kroz lance snabdijevanja – kada su kriminalci ulazili u sisteme žrtava preko dobavljača usluga i partnerskih kompanija.
Primjerice, polovinom prošle godine dogodio se napad za kojeg Emsisoft procjenjuje da je pričinio štetu veću od 15 milijardi dolara. Kriminalna rensomver grupa je tada preko platforme za transfer podataka „MOVEit“ ukrala podatke od više od 2.750 organizacija, čime je pogođeno gotovo 100 miliona korisnika – od toga oko 80% u SAD.
Bret Kelou, analitičar Emsisofta za sajber prijetnje, kaže da je najznačajniji trend iz 2023. korištenje socijalnog inženjeringa za zaobilaženje bezbjednosnih procedura. U tim slučajevima hakeri ne pokušavaju provaliti šifre ili pronaći ranjivosti u softveru, već su im meta ljudi koje nastoje izmanipulisati kako bi preko njih pristupili sistemu neke organizacije.
„Vidjeli smo ogroman porast u napadima socijalnog inženjeringa“, kaže Grifanti, objašnjavajući da kriminalci, na primjer, zovu korisnički servis kompanije, pretvarajući se da su njeni radnici i da imaju određeni tehnički problem. Ukoliko na prevaru ubijede korisnički servis da na interni računarski sistem kompanije registruje nove uređaje, bez hakovanja dobijaju pristup važnim informacijama.
Agencija za sajber bezbjednost i bezbjednost infrastrukture (CISA) jedna je od američkih institucija koje se bave zaštitom vitalne infrastrukture, te kroz svoje programe pomaže organizacijama da postanu otpornije na napade i da se brže oporave od incidenata.
Gabrijel Dejvis iz Odjela za obavještajne podatke o rizicima i operacije u CISA, kaže za Glas Amerike da kriminalci postaju sve smjeliji i da je CISA u 2023. poslala oko 3.000 notifikacija o rensomveru – pri čemu su se mnoge odnosile na zdravstvo i obrazovanje.
Škole su ranjive na rensomver jer često nemaju dovoljno resursa za adekvatnu zaštitu, a kriminalcima su atraktivne jer raspolažu velikim brojem važnih informacija. Prema podacima Emsisofta, u 2023. godini je u SAD napadnuto najmanje 1.899 škola za učenike osnovnih i srednjih škola.
U napadu na državne škole u Mineapolisu ne samo da je otežano izvođenje nastave, već je ukradeno i javno objavljeno oko 200.000 dokumenata, koji su sadržavali podatke o slučajevima seksualnog zlostavljanja – uključujući imena i datume rođenja učenika, zatim optužbe o lošem ponašanju nastavnika, psihološke izvještaje o učenicima, matične brojeve i niz drugih osjetljivih podataka.
Napadi koji ubijaju
U 2023. godini žrtve su kriminalcima u prosjeku plaćale 1,5 milion dolara, što je ogroman porast u odnosu na 2018. kada su prosječne isplate rensomver napadačima iznosile oko 5.000 dolara, navodi Emsisoft u svom izvještaju:
„Što više novca rensomver akteri imaju (…) mogu više da investiraju u širenje svojih aktivnosti (…) To otežava njihovo zaustavljanje, a ako isplate nastave da se povećavaju, biće ih još teže zaustaviti“.
Kao jedino rješenje za rensomver krizu „koja nikada nije bila veća“ Emsisoft predlaže potpunu zabranu plaćanja.
„Zabrana je apsolutno izvodiva. Zapravo, većina argumenata protiv zabrane su prilično slabi“, kaže Kelou za Glas Amerike. „Često se kaže da bi zabrana gurnula rensomver u tajnost. Ali realnost je da je već u tajnosti, jer samo oko 20% organizacija prijavljuju incidente. Da, zabrana bi mogla kratkoročno izazvati problem za žrtve, ali nije li to bolje nego da rensomver izaziva svima probleme dugoročno.“
Ne postoji konsenzus stručnjaka ni institucija oko potpune zabrane plaćanja.
„Svakako je preporuka da se ne plaća rensomver jer jednom kad je neko bio u vašem sistemu, morate da smatrate da je već sve kompromitovano i da preduzmete sve mere od tog momenta kao da je sve kompromitovano“, kaže Ivan Marković, ekspert za sajber bezbjednost.
„Totalna zabrana, uvođenje nekih zakona i slično, bila bi dobra sa jedne strane, ali postoje neki ekstremni slučajevi koji moraju da uđu u javne debate i da stručnjaci raspravljaju o njima“, dodaje Marković, navodeći kao primjer situacije u kojima mora brzo da se djeluje jer su životi ljudi ugroženi.
Grifanti, ekspertkinja za krizne komunikacije, kaže da ne misli da je to izvodivo jer je svaki slučaj drugačiji. Objašnjava da je radila sa nekim od najvećih kompanija čije funkcionisanje zbog napada je bilo ozbiljno poremećeno, pa su pristajale na plaćanje.
„A radili smo i na slučajevima za male bolničke sisteme, sa nekoliko desetina kreveta, gdje se morala obaviti isplata kako ključne usluge, poput hitne pomoći, ne bi morale biti preusmjeravane u ruralni distrikt udaljen 160 kilometara“, navodi Grifanti.
Prema evidenciji Emsisofta, u 2023. godini je u SAD rensomverom napadnuto 46 bolničkih sistema sa ukupno 141 bolnicom. U najmanje 32 sistema ukradene su informacije, uključujući i povjerljive zdravstvene podatke.
Bolnički sistem „Arden zdravstvene usluge“, kojeg čini 30 bolnica, saopštio je u novembru 2023. da su zbog rensomver napada morali otkazivati zahvate, te preusmjeravati u druge zdravstvene ustanove pacijente hitne pomoći iz čak tri savezne države.
Osim gužvi i sporijeg pružanja medicinskih usluga, među problemima koje rensomver izaziva su zaključani zdravstveni kartoni - zbog čega doktori ne znaju da li pacijenti imaju alergije i koje lijekove uzimaju, kao i nemogućnost testiranja i snimanja pacijenata.
Sve to može dovesti do fatalnih ishoda. Stručnjaci Škole za javno zdravlje Univerziteta Minesota procjenjuju da su između 2016. i 2021. godine rensomver napadi ubili između 42 i 67 pacijenata Medikera – američkog zdravstvenog osiguranja namijenjenog uglavnom starijim od 65 godina.
Emsisoft podsjeća i na slučaj iz 2022. kada je trogodišnjem pacijentu data „megadoza opioidnog lijeka protiv bolova zbog toga što je bolnički kompjuterski sistem bio isključen“.
Globalni problem, nije pošteđen ni Balkan
Grifanti objašnjava da rensomver često dolaze sa područja Istočne Evrope, ali dodaje da mnoge hakerske grupe rade po modelu „rensomver kao usluga“, pa ih je teško geografski locirati.
To takođe podrazumijeva da grupe funkcionišu kao korporacije u kojima su različiti timovi specijalizovani za različite segmente procesa: jedan tim razvija maliciozni softver, drugi je nadležan za upad u nečiji sistem, treći za prikupljanje i izvlačenje podataka, dok je, na primjer, četvrti tim zadužen za pregovore i iznuđivanje novca.
Rensomver u Crnoj Gori
U avgustu 2022. godine velikom rensomver napadu su bile izložene i crnogorske institucije. Grupa Kuba rensomver je napala državnu administraciju, zbog čega su zaraženi računari morali biti isključeni sa sistema, nisu radile veb stranice nekih od institucija, dok građanima nisu bile dostupne usluge preko interneta.
„Nama je traženo oko 2 miliona dolara kako bi se izvršilo otključavanje tih fajlova koji su bili zaraženi“ kaže za Glas Amerike Dušan Polović, generalni direktor Direktorata za infrastrukturu, informacionu bezbjednost, digitalizaciju i e-servise u Ministarstvu javne uprave Crne Gore.
Polović navodi da otkupnina nije plaćena i da se sa kriminalcima nije pregovaralo, te da napad nije pričinio finansijsku štetu, s obzirom da je stotinjak računara bilo blokirano, od kojih su mnogi bili stariji, bez finansijske vrijednosti. Dodaje da nijedan podatak nije izgubljen jer su imali rezervne kopije.
“Ključna šteta bila je u reputaciji same Vlade i u nedostupnosti elektronskih usluga koje su u tom nekom periodu postojale za naše građane”, navodi Polović.
Kelou kaže da su SAD zemlja koja trpi najviše posljedica zbog rensomvera, ali da je to globalni problem „koji utiče na organizacije u svim sektorima, svuda“.
Marković, jedan od osnivača foruma Bezbedan Balkan, na kojem se analiziraju i objavljuju informacije o rensomver i drugim sajber incidentima, kaže da su na Balkanu česta meta državne institucije. Dodaje da je u balkanskim državama drugačije to što građani ne dobijaju informacije o zloupotrebi njihovih podataka i da se ne radi na edukaciji, dok je problem i korupcija u institucijama koje treba da se bave takvim stvarima.
Elektroprivreda Srbije (EPS) je 19. decembra objavila da „se oporavlja od nezapamćenog hakerskog napada, kripto tipa, koji ni na koji način nije ugrozio proizvodnju, niti snabdevanje električnom energijom“. U kratkom saopštenju se dodaje da su preduzete „sve zaštitne mere u cilju očuvanja sistema i zaštite bezbednosti podataka“.
„Moram da napomenem da smo mi već oko 6. decembra upozorili da se na dark vebu prodaju informacije vezane za EPS i sa računara ljudi koji koriste EPS servise“, kaže Marković. „Tako da je neko već imao pristup i pripremao je ovaj napad i na kraju je vjerovatno našao osobe koje treba da targetira sa tih nekih kompromitovanih naloga, da im pošalje neki virus ili neki trojanac ili bilo kakve maliciozne softvere, koji bi mogli dalje da eksploatišu sistem".
Objašnjava da su na crnom tržištu bili dostupni imejl nalozi radnika EPS-s, ali i podaci sa internih sistema te kompanije, kojima se inače ne pristupa preko interneta.
Napad je izvela grupa Qilin za koju Marković navodi da je kompromitovala institucije po celom svetu, da je neka od svojih obaveštenja objavljivala na ruskom jeziku, te da je objavila da ne napada članice Zajednice nezavisnih zemalja (zemlje okupljene oko Rusije). Dodatno, grupu karakteriše agresivan pristup, a nerijetko svoje usluge iznajmljuje trećim stranama.
Qilin je na dark vebu objavio nekoliko dokumenata EPS-a, te je postavio 34 gigabajta podataka za preuzimanje.
Marković objašnjava da zbog težine dokumenata i velike zainteresovanosti skidanje podataka ide sporo i da do sada nije poznato da li je neko u tome uspio. Dodaje da je na osnovu uvida u nazive i metapodatke nekih od dokumenata uočio da neki nose oznaku „povjerljivo“, te da dolaze sa računara osobe u EPS-u koja ima pristup čitavom sistemu.
„Tako da ako su takvi računari bili kompromitovani, onda možemo samo da zamišljamo šta je sve bilo kompromitovano“, kaže Marković.
EPS se nije mnogo oglašavao o incidentu, a u ovom trenutku nije poznato da li su i kako tekli pregovori sa kriminalcima, kao ni da li je plaćeno da se određene informacije ne objavljuju. Saopštili su da nadležni državni organi „preduzimaju mere iz svoje nadležnosti“.
Saradnja za sprečavanje
U SAD istrage o rensomveru vodi Federalni istražni biro (FBI), ali je za privođenje kriminalaca pravdi nerijetko neophodna međunarodna saradnja.
U februaru 2024, FBI je sa evropskim agencijama učestvovao u razbijanju grupe Lokbit koja je od hiljada žrtava širom svijeta iznudila najmanje 120 miliona dolara. Prema podacima kompanije za sajber bezbjednost „Palo Alto Networks“ grupa je bila odgovorna za četvrtinu evidentiranih napada u 2023. Uhapšena je po jedna osoba u Poljskoj i Ukrajini, dok su podignute dvije optužnice protiv ruskih državljana.
Grifanti kaže da saradnja žrtava rensomvera sa organizacijama kao što su FBI i CISA može umanjiti ukupnu štetu, pomoći u pronalasku kriminalaca, pa i vraćanju novca.
Primjer za to je slučaj iz 2021. godine kada je najveći američki naftovod Kolonijal pajplajn bio izložen napadu koji je poremetio snabdijevanje gorivom u SAD. Kompanija je iznuđivačima platila 4,4 miliona dolara u Bitkoin valuti. FBI je kasnije preuzeo nazad većinu tog novca, ali pošto je Bitkoinu pala vrijednost, vraćeni iznos je vrijedio oko 2,3 miliona dolara.
„Nažalost, nećemo moći sve spriječiti“, kaže Dejvis iz CISA. „Ipak, kada se stvari dogode, želimo minimizirati i konsolidovati štetu i posljedice. I ako to možemo učiniti i nastaviti to činiti iz godine u godinu, kao i smanjivati izloženost ovih organizacija i ranjivih uređaja, počećemo da uočavamo značajno smanjenje ovih napada.“
Dejvis napominje da će CISA u godini američkih predsjedničkih izbora biti fokusirana na zaštitu lokalne izborne infrastrukture u saveznim državama.
