Storilci potem zahtevajo odkupnino za odklepanje podatkov, ki lahko znaša od 100.000 za manjša do več milijonov evrov za velika podjetja.

Izsiljevalski virusi so mora sistemskih administratorjev že vsaj dobro desetletje, pravi Tadej Hren iz SI-CERT-a. Prvih izsiljevalskih virusov se spominja iz leta 2012, ko so se širili z napadom v mimohodu, ki je danes redek – zašifriral je datoteke in poslal obvestilo s svojimi zahtevami. Na srečo je za šifriranje uporabil precej lahek algoritem in vsakič isti šifrirni ključ, ki ga je bilo mogoče uporabiti za različne okužbe. Pol leta pozneje pa se je pojavil precej bolj množični in znani virus U-cash, ki je zaklenil računalnik in poslal sporočilo, da vas preiskuje policija in da je treba za odklepanje kupiti posebne kode. Na srečo pa ta virus ni povzročal druge škode. Le zaklenil je računalnik, tako da ga ni bilo težko povrniti v prejšnje stanje. Takrat so imeli pri SI-CERT-u veliko dela, saj je bilo zelo veliko okužb, ki so jih pomagali odstranjevati.

Pravi virus ransomware – ransom cript

Pojavil se je leta 2013 in je že vseboval kombinacijo simetričnega in asimetričnega šifriranja. Imel je poseben šifrirni ključ za vsako posamezno žrtev, zato niso mogli vsem odkleniti računalnika z istim ključem, ki so ga kupili. Kriminalci so celo na temnem spletu vzpostavili spletno stran za podporo. Podobni modeli izsiljevalskih virusov krožijo še danes in tudi pomoč na temnem spletu se še vedno najde.

Danes napadi merijo na storitve za oddaljeni dostop

Najprej so bili izsiljevalski virusi usmerjeni na domače uporabnike, zato so bili napadi številni. Potem pa so napadalci ugotovili, da ta model ni najboljši, in so se usmerili na podjetja, ki imajo več denarja kot posamezniki in so veliko bolj odvisna od dobrega delovanja informacijskega sistema. Najpogosteje se napadalci usmerjajo na mala in srednja podjetja, saj ta ne namenjajo veliko sredstev za informacijsko varnost in so zato precej ranljiva ‒ v njihov informacijski sistem je lahko vdreti. Njihovo poslovanje pa je kljub vsemu zelo odvisno od delujočega informacijskega sistema. Zamislimo si računovodsko podjetje, ki mu virus zašifrira vse podatke, celo varnostne kopije. Dokler so zaklenjeni, je podjetje paralizirano in ne more delati.

Kar nekaj slovenskih podjetij je bilo žrtev napada z izsiljevalskimi virusi

Načini vdorov so podobni. Najbolj znani primeri so vdori v Ljubljanske lekarne, univerzo v Mariboru in HSE, vendar pa je v resnici takih napadov veliko več, le da ne pridejo v javnost. V večini primerov dobijo dostop z zlorabljenega računa katerega izmed uporabnikov. Po navadi gre za tako imenovani dostop VPN, tako da okužijo delovno postajo enega izmed zaposlenih in dobijo geslo oz. poverilnico za dostop. Po tej poti pridejo v omrežje in od tam razširijo svoje dejavnosti. Pogosto gre za slabo zaščiten oddaljen dostop.

Tudi zaposleni je kolateralna žrtev

Geslo je ukradeno, ne da bi zaposleni kar koli vedeli o tem. Namen napadalcev je zaklepanje podatkov podjetja. Ko pridejo v sistem, se razgledajo. Preverijo dejavnost podjetja in njegov letni prihodek in uporabijo hekerske tehnike, da bi pridobili pravice administratorja. Njihov cilj so domenski administratorji oz. računi, ki imajo dostop do vsega. V zadnjem času poskušajo priti v sistem, ki nadzoruje vse virtualne sisteme v okolju. Ko dobijo pravico do dostopa, lahko zašifrirajo vse strežnike, delovne postaje in varnostne kopije ter poskusijo storiti vse, da bi podjetje prisilili k plačilu odkupnine.

Višina odkupnin raste

Ko so z izsiljevalskimi virusi okuževali računalnike običajnih uporabnikov, so bile odkupnine temu primerno nizke, saj tudi vrednost njihovih podatkov ni bila visoka. Ko so ti kriminalci začeli napadati podjetja, pa so odkupnine začele rasti. V večini primerov ob vdoru v sistem preverijo velikost podjetja in temu prilagodijo znesek odkupnine. Pri manjših podjetjih zahtevajo odkupnine 100 tisoč evrov, pri večjih pa tudi več milijonov.

Ogrožena so tudi podjetja, ki prodajajo informacijsko varnost

Zanesljive zaščite proti izsiljevalskim virusom ni. Ogroženi so tudi največji in celo podjetja, ki prodajajo informacijsko varnost. Zavedati se moramo, da so v današnjih časih informacijski sistemi velikanski, in težko je poskrbeti za prav vse varnostne luknje. Napadalcem za vdor zadostuje, da najdejo le eno, ki je ostala pozabljena.

Podjetje mora sprejeti tehnične in organizacijske ukrepe

Najpomembnejši tehnični ukrep je varnostno kopiranje. Neredko se zgodi, da v podjetju verjamejo, da je varnostno kopiranje vzpostavljeno, ko pa se zgodi vdor in želijo restavrirati podatke, se izkaže, da sistem že nekaj let ne deluje. Z dobrim sistemom varnostnega kopiranja napadalcem otežimo delo, sebi pa veliko prihranimo. Pomembno je tudi, da imamo vzpostavljeno dvofaktorsko preverjanje za vse zunanje dostope, požarni zid in protivirusne programe. Osnovni organizacijski ukrep je vnaprej pripravljen načrt odzivanja na kibernetske incidente. Ko se začne napad, moramo že imeti scenarij ukrepanja.

Kako ukrepati, ko doživimo vdor

Včasih se dajo datoteke restavrirati, ne da bi plačali odkupnino, vendar pa se na to ne smemo preveč zanašati. Ko podjetje vdor prijavi na SI-CERT, tam poskusijo najti rešitev, če je le mogoče; če pa ni, je edina rešitev restavriranje podatkov. Zavedati se moramo, da je lahko v takih primerih podjetje paralizirano več dni ali celo ves teden. To se je zgodilo tudi v naših najbolj znanih podjetjih, primeri so prišli v javnost. Podjetja tako utrpijo veliko škodo.

Prva pomoč

Ob okužbi nekaterih vrst izsiljevalskih virusov lahko najdete orodje za povrnitev datotek na spletnem mestu projekta "No more ransom". Za nekatere viruse pa takega orodja ni. Pri naprednih izsiljevalskih virusih se lahko zanesete le na ustrezno izdelane varnostne kopije. Ker virusi po navadi zašifrirajo tudi omrežne mape, vam preprosto kopiranje datotek na zunanji ali omrežni disk ne bo vedno pomagalo. V poslovnih okoljih je nujna centralizirana izdelava varnostnih kopij.