Ponedeljek, 13. 12. 2021, 22.01
2 leti, 11 mesecev
Kartel Črne mačke: nova zločinska združba, ki skrbi marsikoga
Pred mesecem dni se je po spletu začel širiti eden najbolj sofisticiranih izsiljevalskih virusov do zdaj. Zlonamerni program ALPHV, ki so mu precej zaskrbljeni strokovnjaki za informacijsko varnost nadeli vzdevek BlackCat oziroma Črna mačka, upravlja najverjetneje ruski kartel kiberkriminalcev. Ti svoje izredno zmogljivo internetno orožje posojajo zainteresiranim "strankam", ki z njimi nato delijo delež milijonskega izplena od izsiljevanja žrtev.
Izsiljevalski virusi so zlonamerni skupki programske kode, ki po okužbi žrtvinega računalnika zašifrirajo vse podatke. Žrtev ključ za ponoven dostop do podatkov dobi šele, ko zanje plača odkupnino. Takšna je vsaj prvotna obljuba: za izsiljevalce je izmenjava namreč pogosto enostranska, kar pomeni, da kršijo lastna pravila igre in po prejetju denarja prekinejo komunikacijo.
Izsiljevalski virusi so postali prava industrija. Strokovnjaki za informacijsko varnost ocenjujejo, da bodo žrtve izsiljevalskih virusov samo v letu 2021 kiberkriminalcem izplačale za več kot 20 milijard ameriških dolarjev odškodnin. Mnoge svojih podatkov kljub temu ne bodo dobile nazaj.
V preteklih letih je uporabnike ogrožalo precej izsiljevalskih virusov, toda malo je bilo tako naprednih, kot je ALPHV BlackCat, ki zadnjih nekaj tednov straši strokovnjake za informacijsko varnost.
Glede na to, na katerih podzemnih spletnih forumih ga najbolj oglašujejo, gre najverjetneje za ruski izdelek, v ozadju tako imenovane Črne mačke pa je po dozdajšnjih ugotovitvah organizirana združba kiberkriminalcev, ki izsiljevalski virus tržijo kot storitev oziroma ga oddajajo v najem.
Cena? Če stranka hekerskega kartela z izsiljevalskim virusom iztrži poldrugi milijon ameriških dolarjev, ji ostane 80 odstotkov izkupička. Ob izplenu treh ali več milijonov dolarjev si kartel medtem vzame le 90 odstotkov provizije.
Izsiljevalskega virusa in posredno tudi kriminalne združbe, ki ga "oddaja v najem", se je ime Črna mačka oprijelo zaradi emblema, ki ga žrtve izsiljevanja najdejo na spletni strani, kjer so podatki za plačilo odkupnine. Storilci sicer uporabljajo še en simbol, okrvavljeni nož. Ta krasi arhive ukradenih datotek, s katerimi kiberkriminalci svojim žrtvam pokažejo, da mislijo resno.
Zneski so tako visoki, ker izsiljevalski virus BlackCat ni namenjen napadom na povprečnega uporabnika ali uporabnico. Črna mačka je trnek za velike ribe: premožna podjetja in javne institucije, ki si lahko privoščijo visoke odkupnine.
Črna mačka lahko povsem onesposobi tudi računalnik, ki je pripravljen na takšen napad
ALPHV BlackCat je lahko pravo orožje za nekoga, ki dobro ve, kaj dela. Izsiljevalski virus je, tako so ugotovili pri računalniškem portalu Bleeping Computer, izredno prilagodljiv in skoraj strašljivo sofisticiran.
Med drugim omogoča različne načine šifriranja podatkov na računalniških sistemih žrtev, zelo hitro lahko okuži vse naprave v lokalnem omrežju, aktivno pa tudi onesposablja varovalke, ki so namenjene prav zaščiti pred izsiljevalskimi programi. Ob začetku operacije lahko tako izklopi virtualne naprave, zapira procese in pobriše aktualne varnostne kopije računalniških sistemov, s čimer prepreči povrnitev računalnikov v stanje pred okužbo. Blokira lahko tudi izvajanje izhodov v sili, kot sta ponovni zagon ali izklop sistema.
Ko Črna mačka enkrat okuži računalniški sistem, samodejno ustvari besedilno datoteko z nadaljnjimi navodili. Žrtev mora obiskati spletno povezavo, za kar potrebuje anonimni brskalnik Tor, tam pa najde naslov, kamor mora nakazati odkupnino. Izsiljevalci sprejemajo kriptovaluti bitcoin in monero.
Sporočilo, ki ga prejmejo žrtve izsiljevalskega virusa BlackCat. Kiberkriminalci jih med drugim pozivajo, da naj ne poskušajo obnoviti zašifriranih datotek, saj jih bodo uničili sami. | Foto: Bleeping Computer.
Impresivno je, poudarjajo pri Bleeping Computer, da je bil izsiljevalski program BlackCat napisan tako rekoč od začetka, torej brez uporabe ene od predlog, po katerih se praviloma zgledujejo kiberkriminalci. Gre za veliko redkost in glede na naprednost Črne mačke dokaz, da ima svet opravka z zelo sposobnimi hekerji.
V Sloveniji smo v preteklih letih imeli že kar nekaj (poskusov) napadov z izsiljevalskimi virusi.
Leta 2019 je bila napadena Lekarna Ljubljana, delovanje poslovalnic je bilo nekaj časa močno ohromljeno. Oktobra 2017 je med uporabniki spleta krožila e-pošta z nevarno priponko, ki je zlorabila ime znanega slovenskega podjetja, januarja 2017 se je pod podobno sporočilo nekdo podpisal v imenu Finančne uprave RS, pozimi in spomladi leta 2016 pa sta tudi Slovence strašila zloglasna izsiljevalska virusa TeslaCrypt in Locky. Na enega prvih izsiljevalskih virusov, Ukash, so slovenski strokovnjaki za informacijsko varnost prvič opozorili leta 2013.
Kako zmanjšati tveganje za okužbo z izsiljevalskim virusom?
To svetujejo kibernetski strokovnjaki slovenske policije:
- bodite izredno pazljivi pri odpiranju elektronske pošte neznanega pošiljatelja in neznanih priponk,
- če ste v dvomu, ali je datoteka avtentična, se še pred klikom na priponko posvetujte s pošiljateljem (če ta seveda obstaja),
- v podjetjih poskrbite, da se vam za vaše baze podatkov vsakodnevno izdelajo arhivske baze, ki naj bodo ločene od živega informacijskega sistema (naj ne bodo povezane v lokalno mrežo), saj se bodo v nasprotnem primeru zakodirale tudi te,
- fizične osebe, ki po podlegle izsiljevalskemu virusu in nimajo denarja za plačilo odkupnine, naj zakodirane diske in ostale nosilce podatkov nekam shranijo, saj se za nekatera čez čas najde programska oprema, ki jih odkodira.
V konkretnem primeru, torej v primeru izsiljevalskega virusa BlackCat oziroma Črna mačka, storilci žrtvam pošljejo e-poštne priponke, ki so na prvi pogled videti kot slikovne datoteke, saj imajo imena 1.jpeg, 2.jpeg in tako dalje. Toda v resnici so to zgolj poimenovanja datotek in ne dejanski datotečni formati - končnica datotek je v resnici .bzeakde.
Dodajamo še, da moramo biti pri prejetih datotekah pozorni tudi na arhivske datoteke (format .zip, .rar ali .7z) in pa še posebej na besedilne dokumente, ki jih odpremo v Microsoftovem Wordu, na primer. Ti dokumenti lahko, če jih prejmemo od neznanca, namreč vsebujejo tako imenovane makre, zaporedja ukazov, ki se ob odprtju izvršijo in nam računalnik okužijo z virusom.
Preberite tudi:
5