“Napadaju” petkom, do ponedjeljka su svi računari zaključani

Naime, direktor jedne velike firme iz Goražda prijavio je kako je neko hakovao i zaključao glavni server firme. On je nakon toga od hakera primio mail poruku u kojoj mu je traženo da uplati otkupninu kako bi serveri firme nastavili sa radom. Prema nezvaničnim informacijama, haker je za to tražio 5.000 dolara.

U ovakvim situacijama istragu najčešće vode istražitelji Odsjeka za cyber kriminal Federalne uprave policije. Kako nam je objasnio Saša Petrović, istražitelj ovog odsjeka, u konkretnom slučaju radi se o ransomwareu.

– Žrtva obično primi maliciozni kod u svoj računar. Razne su tehnike kako se računar može inficirati, ali je to najčešće putem maila. U takvim situacijama uglavnom se radi o nezaštićenim računarima, odnosno serverima. Ti napadi najčešće se izvode petkom, kada u firmi nema niko i niko ne koristi računare. Kada se prihvati malware (maliciozni kod, zloćudni softver, op.a.), do ponedjeljka su svi folderi zaključani. Nakon toga stiže email poruka, koja je poslana sa darkweba, u kojoj se, između ostalog, traži otkupnina u virtuelnoj valuti – kazao je Petrović, dodavši kako dnevno sigurno bude zaprimljena bar jedna takva prijava, kako u FUP-u, tako i u kantonalnim MUP-ovima.

Sve je kriptovano

Prema njegovim riječima, hakeri nerijetko, ukoliko je neko “sa druge strane” neupućen, pošalju i upute kako da se kreira virtuelni novčanik, gdje se mogu kupiti bitcoini i slično.

– Takve enkripcije gotovo je nemoguće razbiti, osim u slučajevima kada je upotrebljena neka stara varijanta tog malicioznog koda, odnosno virusa. Što se tiče nas, nakon prijave mi evidentiramo događaj i preuzimamo sve mjere i radnje koje su u našoj nadležnosti, zajedno sa međunarodnim agencijama, poput EUROPOL-a, INTERPOL-a, FBI-a i slično – istakao je Petrović.

Naš sagovornik je dodao kako se u ovom konkretnom primjeru iz Goražda, u suštini, ne može uraditi skoro ništa.

– Prikupljamo tragove koji su nama bitni za istragu. Sve je to kriptovano. Kriptovan je računar, zatim “tunel” koji je napravljen između računara i napadača. Tehnički je neizvodivo da se, ako je nova vrsta virusa, to dekriptuje – istakao je istražitelj.

Objasnio je kako je među tragovima koji se izuzimaju i virtuelni novčanik, preko kojeg je u 50 posto slučajeva moguće upratiti trag novca i ko je korisnik walleta sa druge strane. U sklopu istrage se prati trag novca, te se sve to pokušava uporediti sa podacima iz drugih baza podataka, korištenim mail adresama i slično.

– Mi smo u realnom vremenu uvezani sa svim agencijama u svijetu koje se bave borbom protiv kompjuterskog kriminala i razmjenjujemo podatke. Ako je neko, naprimjer, uhapšen u Indoneziji, pratimo da li je kod njega pronađen ključ za dekripciju. Kada pronađemo dekript ključ, pronašli smo i izvršioce. Ima tu milion tehnika. Kao što hakeri traže žrtvu, tako i mi tražimo njih – istakao je Petrović.

Procjene rizika

U skoro svim slučajevima hakiranja ove vrste, na zaraženim računarima nije postojao antivirus, a ako i jeste – u pitanju je bila krekovana verzija antivirusa. Te krekovane verzije su, dodao je istražitelj, veliki paradoks, jer se od njih očekuje da štite, a njima samima su “skinute” zaštite.

– Besplatni antivirusi imaju svoja ograničenja. U većini firmi kod nas ne postoji sigurnosna politika o upotrebama informacionih tehnologija. Ljudi se toga sjete tek kada se nešto desi. Misle da je to bespotrebno ulaganje u firmu, ali kada se nešto desi, onda izgube sve. Sigurnosna svijest za opasnosti od kompjuterskog kriminala nije razvijena na nivou na kojem bi trebala biti. Tačno ima propisano kako se radi procjena sigurnosnog rizika, kreiranje sigurnosne politike, te su firmama koje tako rade možemo vidjeti kako se u računare ne smije staviti USB, kako se back up fizički drži 70 kilometara od firme zbog drugih opasnosti, naprimjer poplave i slično. Međutim, kod nas privredni subjekti to ne rade, ali bi u biti trebalo biti propisano šta se na računaru smije raditi, a šta ne. Više je nego moguće one koji ne shvataju da postoji opasnost na internetu navesti da kliknu nešto i prevariti ih – kazao je Petrović.

Naš sagovornik ističe kako se na stranici www.nomoreransom.org mogu pronaći ključevi za dekripciju. Vlasnik stranice je EUROPOL, ali u njenom administriranju učestvuju sve svjetske policijske agencije prenosi Faktor.

– Ja savjetujem žrtvama da disk koji je kriptovan ostave sa strane i za šest mjeseci do godinu na toj stranici provjere je li objavljen ključ. Tu možete uploadovati vaše kriptovane fajlove, vidjeti o kojoj verziji kriptlokera se radi. Ako postoji dekripcija, ako je ključ nađen u nekim pretresima ili se na drugi način došlo do njega, fajlovi se mogu dekriptovati – naglasio je.

Kako bi se preventivno djelovalo, pripadnici Odsjeka za borbu protiv cyber kriminala FUP-a ranije su dali preporuke kako bi se smanjila krivična djela iz oblasti kompjuterskog kriminala:

• procjena rizika i kreiranje pravilnika/sigurnosne politike u vezi s korištenju informacionih sistema u firmama,
• korištenje licenciranih operativnih sistema, redovan update istih,
• korištenje antivirusnih programa i redovan update istih,
• kontinuiran nadzor mrežnih događaja od strane administratora i prijavljivanje anomalija na istom,
• obraćanje pažnje na instalaciju računalnih programa,
• poštivanje protokola upotrebe elektronskog bankarstva,
• prilikom “on-line” plaćanja, uključivanje dodatnih mjera autentikacije, (npr. novi klijent, prva transakcija, obavezna dodatna autentikacija),
• redovna provjera analitičke kartice kretanja po računu, provjera sumnjivih transakcija,
• pažnja prilikom ostavljanja ličnih podataka na internetu,
• provjera izvora pošiljaoca e-mail poruka, redovno ažuriranje postavki e-mail korisničkog računa, servera,
• kreiranje tzv. “back-up” podataka u skladu sa politikom sigurnosti firme, (na trećim lokacijama i sl.),
• redovna edukacija privatnih korisnika i uposlenih u firmama u vezi sa mogućnostima zloupotrebom informacionih tehnologija, odnosno prijetnjama na internetu.