Bandiții digitali iau prizonieri în viața reală. Cât ne costă pandemia atacurilor cibernetice

• Atacurile cibernetice de tip „ransomware” au explodat în ultimul an. Costul mediu al unui astfel de atac a ajuns la aproape 5 milioane de dolari, iar companiile-victimă au plătit în ultimul an 350 de milioane de dolari ca răscumpărări către hackeri, pentru a-și redobândi accesul la sisteme și la datele furate.
• Cel mai afectat sector este cel medical, iar în pandemie atacurile asupra lui s-au întețit. Nu e ferit însă nimeni, de la infrastructură critică din domeniul energiei, până la companii, spitale sau școli.
• Securitatea cibernetică scăzută, dar și supraevaluarea arogantă a propriilor puteri fac din companii și instituții publice niște victime sigure ale noilor bandiți digitali.

În paralel cu pandemia care macină lumea sub ochii tuturor, în spațiul digital are loc o altă pandemie: cea a atacurilor cibernetice de tip ransomware. În ultimii doi ani, ritmul în care grupări de criminali cibernetici au ajuns să ia ostatice sisteme informatice ale companiilor și instituțiilor de stat sau computerele simplilor cetățeni care se uită la Netflix în propriile sufragerii a crescut amețitor.

Odată cu atacurile, au crescut și munții de bani produși de pe urma lor. Sumele de bani câștigate de acești bandiți moderni ai spațiului digital, pe post de răscumpărare (ransom) ca să deblocheze accesul la sistemele informatice pe care le-au luat prizoniere sau ca să nu publice datele sensibile pe care le fură, au ajuns în sfera sutelor de milioane de dolari.

Oricât de întunecată ar fi ironia sorții, în pandemia de coronavirus, sectorul cel mai afectat de astfel de atacuri a fost tot cel al instituțiilor medicale. Doar că acum a fost cu vârf și îndesat: hackerii au știut că presiunea pusă de criza sanitară pe spitale va fi un atu care va funcționa în favoarea lor, făcând instituțiile-victime mai predispuse să plătească banii ca să-și recupereze sistemele IT și datele blocate de atacatori.

Până nu demult, un atac cibernetic era pentru cei mai mulți dintre noi ceva abstract. Făcea vâlvă undeva departe, în lumile IT-iștilor, pasionaților de tehnologie sau agențiilor de securitate, iar buba exploda în văzul marelui public mai ales atunci când atacul avea valențe de spionaj sau chiar de război, fiind executat de un stat asupra unor ținte externe, cu motivație politică.

Nu mai e cazul azi. De când atacurile de tip „ransomware” au devenit vedeta criminalității cibernetice, loviturile din spațiul digital sar pârleazul tot mai des în viața noastră de zi cu zi. Cel mai puternic și recent exemplu s-a petrecut în această vară, în SUA, când americanii din 13 state s-au trezit fără benzină la pompe, pentru că cea mai mare conductă de combustibil din America, Colonial Pipeline, a fost închisă aproape o săptămână, în urma unui atac „ransomware”. Gruparea rusă Dark Side a blocat accesul la sistemele IT ale conductei și i-a forțat astfel pe cei de la Colonial Pipeline să le plătească 5 milioane de dolari, în Bitcoin, pentru a le decripta sistemul luat ostatic (ulterior FBI a recuperat aproape jumătate din bani).

„Este o industrie de miliarde de dolari pe an”, povestește pentru Panorama Alexandru Bălan, director de cercetare în securitate informatică la Bitdefender. O industrie care a explodat în ultimul an.

„Ransomware sunt atacurile care aduc cei mai mulți bani, cel mai repede. Din punctul de vedere al hackerilor, ceva ce funcționează nu are sens să nu-l folosești”, mai spune Bălan. Pagubele nu se măsoară doar în răscumpărările plătite hackerilor, în criptomonede precum Bitcoin sau Ethereum, pentru a fi perfect anonimizate. La ele se adaugă și costurile ridicate pentru repunerea pe picioare a sistemelor IT atacate și mai ales daunele comerciale produse prin blocarea activității unor companii sau instituții și prin pierderea unor date confidențiale.

„Actorii amenințărilor devin din ce în ce mai preciși, punctuali în atacuri, iar gradul de implicare și timpul dedicat pregătirii și desfășurării atacurilor este din ce în ce mai mare. Un volum semnificativ de timp este alocat infiltrării etapizate a diferitelor elemente sau componente ale rețelei vizate (un proces care poate dura săptămâni sau luni) înainte de a declanșa atacul propriu-zis de ransomware, făcând astfel de atacuri să semene mai mult cu atacuri de tip APTs (advanced persistent threats)”, explică pentru Panorama Raluca Săceanu, COO al firmei de securitate cibernetică Smarttech247.

Săceanu citează date care arată că până la sfârșitul anului 2021 impactul criminalității cibernetice asupra economiei mondiale este estimat să coste circa 6 trilioane de dolari, urmând ca până în 2025 să depășească 10,5 trilioane de dolari.

Scurta istorie a „ransomware” în România

Nimeni nu e ferit de atacurile „ransomware”. Parcă pentru a întări o zicală preferată în lumea IT, că cel mai sigur calculator din lume este unul scos din priză, Centrul Cyberint al SRI arată într-un răspuns pentru Panorama că „în esență, orice infrastructură IT&C poate deveni ținta unor atacuri cibernetice, inclusiv de tip ransomware” și că „nicio instituție nu este pregătită 100% în fața amenințărilor provenite din spațiul cibernetic”.

Grupările de hackeri care folosesc acest tip de atac au reușit să blocheze de-a lungul timpului operațiunile unor infrastructuri critice energetice sau militare, spitale, centre medicale, companii din toate domeniile, școli și universități, primării sau departamente de poliție din întreaga lume.

În România, când atacurile „ransomware” nu îmbracă forma unei glume, așa cum s-a petrecut la Cluj, când hacker-ii Meowless și Garfield au blocat site-ul Consiliului Județean și i-au furat bazele de date, cerând în schimb o recompensă de 100 de dolari, de la adăpostul amenințător a două poze de motani, victimele sunt de același calibru ca oriunde în lume, mai puțin sumele plătite hackerilor, despre care deocamdată nu există informații publice.

Zilnic, în România au loc între 300.000 și 800.000 de incidente cibernetice, „din care undeva în jur de 20.000-30.000 sunt semnificative, sunt atacuri care se concentrează pe câteva sute de componente cheie de infrastructură”, spune Dan Cîmpean, șeful fostului CERT-RO, transformat de curând în Directoratul Național de Securitate Cibernetică.

Au căzut victime primului mare virus-vedetă de tip ransomware, WannaCry, uzinele Dacia-Renault sau compania de asigurări Astra, în 2017. În 2019, patru spitale românești („Victor Babeș” din București și cele din Huși, Dorohoi și Cărbunești) au fost blocate cu virusul de tip ransomware Bad Rabbit, în contextul unui nivel redus de securitate cibernetică existent la nivelul acestora, după cum au explicat reprezentanții centrului Cyberint al SRI: „Stațiile afectate nu aveau implementate soluții antivirus”.

În 2021, spitalul bucureștean „Witting” și-a pierdut accesul la servere și date după ce a fost atacat cu aplicația ransomware Phobos. De data aceasta, spre norocul spitalului și pacienților, hacker-ii s-au lovit de înapoierea digitală care caracterizează multe instituții de stat românești: spitalul s-a descurcat cu activitatea folosind registrele pe hârtie și evitând astfel blocada digitală.

Spaima cea mare: cât de protejată este infrastructura critică de tipul centralei de la Cernavodă?

Până să îți faci griji pentru milioanele de dolari plătite de companiile care pică victime ale atacurilor cibernetice, pentru a-și recăpăta datele furate și accesul la servere, o întrebare mai presantă ar putea să te sâcâie în background: ce se întâmplă dacă o astfel de grupare de bandiți digitali preia controlul asupra unei infrastructuri critice – adică o instituție care „este esențială pentru menţinerea funcţiilor vitale ale societăţii, a sănătăţii, siguranţei, securităţii, bunăstării sociale ori economice a persoanelor”, conform definiției date de STS, serviciul secret care se ocupă printre altele și de protejarea infrastructurii cibernetice a statului român.

Este imaginabil un astfel de atac care să scoată din joc și să pună în pericol puncte precum centrala nucleară de la Cernavodă, un baraj hidrotehnic, o bucată din rețeaua națională de distribuție a energiei electrice sau a gazului, de exemplu? Ar fi bine să fie imaginabil pentru instituțiile de securitate care protejează cibernetic aceste infrastructuri, de la STS și SRI, până la Armată, dă de înțeles Alexandru Bălan, expertul în securitate de la Bitdefender.

„Atâta vreme cât hackerii au motivație și creativitate, nimic nu este în siguranță”, spune Raluca Săceanu, directorul operațional al Smarttech 247. „Judecând prin prisma incidentelor internaționale de notorietate publică, din care face parte și atacul asupra Colonial Pipe din SUA sau HSE – sistemul public de sănătate din Irlanda, este de presupus că există și vulnerabilități ale infrastructurilor critice din România”.

Dintre toate țintele posibile ale hackerilor, infrastructura critică este însă cea mai grea misiune și de aceea nici nu prezintă o atractivitate ridicată: riscuri prea mari, bani prea greu de obținut.

Cosmin Radu, consultant în securitate cibernetică, explică pentru Panorama că în principiu sistemele IT ale infrastructurilor critice sunt izolate, nefiind accesibile prin internetul public: „Sunt sisteme de tip SCADA și sunt comandate altfel. De exemplu, la centrala Cernavodă, cel puțin partea aceasta electrică este ‘locked down’”.

Asta nu înseamnă că aceste sisteme nu sunt penetrabile. „În Iran, când au fost atacate acele centrale, au fost atacate pentru că cineva a adus înăuntru virusul, deci tot componenta umană a fost de vină. Atacatorii ‘targhetează’ oameni care sunt angajați în sectoarele respective, construiesc o relație, e un phishing mai avansat”, îți explică omul al cărui job de zi cu zi e să testeze vulnerabilitatea sistemelor și aplicațiilor digitale, pentru a le găsi portițe pe unde hackerii ar putea pătrunde.

Tocmai de aceea, spune Cosmin Radu, când un astfel de atac are totuși loc, iar o infrastructură critică a unui stat pică victimă, de obicei în spatele atacului se află un actor statal: „În principiu, dacă sunt atacuri în zona aceasta, nu sunt făcute de un băiat din subsolul părinților sau dintr-o garsonieră din Rusia. Mai mult ca sigur sunt făcute de un stat. Resursele să faci așa ceva sunt greu accesibile”.

Reprezentanții SRI spun, pentru Panorama, că în cazul unor astfel de atacuri cibernetice asupra unor instituții de stat, „principalul spațiu de proveniență a atacurilor cibernetice asupra României este reprezentat în continuare de Federația Rusă, aspect cauzat în special de interesele politice ale statului rus pe teritoriul statelor membre UE și NATO”. SRI amintește de operațiunea masivă de tip APT (advanced persistent threat), desfășurată de grupul Fancy Bear (APT28/Sofacy), care a fost atribuită oficial de mai multe state, inclusiv de România, serviciului de spionaj militar al Rusiei, GRU.

Fără să vorbească public despre cât de atacabile sau nu sunt infrastructurile critice ale României, SRI desfășoară anual exercițiul Cydex, alături de restul serviciilor secrete, dar și de Comandamentul pentru Apărare Cibernetică al Armatei, unde sunt derulate exerciții și scenarii practice de atac cibernetic. În 2021, la Cydex au fost rulate șase scenarii, fiind „simulate atacuri live care au vizat compromiterea datelor din organizații virtuale, atacuri asupra unor infrastructuri SCADA, cât și asupra unor elemente critice din sistemul de sănătate publică”.

„Multe din sistemele critice sunt ținute în centrele de date ale STS, deci acolo au protecții”, arată consultantul în securitate cibernetică Cosmin Radu. Există însă multe alte instituții publice care nu beneficiază de protecții atât de ridicate – de la cele de taxe locale, la sistemul de management al semafoarelor sau la spitale. Ca peste tot în lume, ele sunt cele mai vulnerabile.

Cum au ajuns spitalele victima preferată de „ransomware” în pandemie

În 2021, pentru al 11-lea an la rând, instituțiile din domeniul medical au fost cel mai greu lovite de atacurile cibernetice care presupun spargeri de date, conform raportului IBM Security.

„Peste 93 % din structurile sanitare și de sănătate publică la nivel global au raportat cel puțin un incident de securitate cibernetică în ultimii trei ani”, explică Raluca Săceanu, COO al Smarttech247.

Pandemia de Covid-19 nu a făcut decât să întețească atacurile „ransomware” asupra instituțiilor medicale, tocmai pentru că hackerii știau că au un element de presiune în plus – criza sanitară care sufoca spitalele, și deci șanse mai mari ca victimele să plătească rapid și mult pentru a ieși din blocajul cibernetic.

Unele grupări criminale de hackeri s-au arătat binevoitoare în timpul pandemiei, povestește Alexandru Bălan, de la Bitdefender: „Pe la începutul anului 2020, când era cea mai mare panică în toată lumea legată de pandemie, au fost infectate din greșeală câteva spitale. Și atunci atacatorii au spus că ei nu vor să contribuie la pandemie și le-au dat cheile de decriptare gratuit spitalelor”.

Totuși, câteva cazuri izolate de mărinimie banditească nu trebuie să deformeze tabloul complet, după cum arată Raluca Săceanu, de la Smarttech247: „Sub incidența pandemiei de Covid 19 și în pofida declarațiilor pacifiste ale grupărilor principale de hackeri care promiteau non-beligeranță în această perioadă, numărul mail-urilor malițioase și nocive a crescut cu 600%, iar timpul de reoperaționalizare a unei companii/instituții după un atac ransomware este astăzi de circa 21 de zile”.

Companiile pierd milioane pe „ransomware”, dar își țin nasul apărării cibernetice pe sus

Grosul banilor în lumea atacurilor „ransomware” provine însă mereu din țintele high-profile care au de unde să plătească. „Organizațiile mari sunt țintite agresiv de grupările de infracțiuni cibernetice, pentru că potențialul de generare de venituri mari dintr-o singură lovitură este mult mai mare”, spune Alexandru Bălan, de la Bitdefender.

Expertul în securitate cibernetică explică cum grupările de criminalitate cibernetică își „profilează” țintele, chiar și atunci când e vorba de atacuri în masă, unde nu se pleacă la atac cu o țintă precisă în minte: „În momentul în care este infectat un sistem, virusul studiază sistemul și mediul din jurul lui. Vede dacă este într-o gospodărie, de exemplu, care poate nu are foarte multe resurse financiare, și atunci va cere 500-600-800 de euro recompensă. Dacă vede însă că este pe un server, vede adresa și vede că este într-o infrastructură cu un potențial foarte mare, atunci va cere o sumă de bani proporțională cu organizația pe care a infectat-o”.

Un raport al companiei de securitate IT Sophos arată că în ultimul an 37% din companii au fost victimele unui atac de tip „ransomware”, iar eșantionul pe care s-a făcut sondajul nu este deloc unul de neglijat: peste 5.400 de companii din 30 de țări. Peste jumătate din aceste companii și-au pierdut datele în mâinile hackerilor, iar costul pentru recuperarea lor s-a ridicat în medie la 1,85 milioane de dolari.

27% dintre companiile-victimă aleg să plătească recompensa cerută, iar sumele medii variază de la 1,18 milioane dolari în regiunea Asia-Pacific, la 1,06 milioane dolari în Europa, Africa și Orientul Mijlociu și 0,99 milioane dolari în SUA, conform raportului Ransomware Task Force, făcut în SUA după atacul asupra conductei Colonial.

Cu toate acestea, de multe ori companiile își supraestimează capacitățile de apărare și securitate cibernetică, conform unor studii făcute de Deloitte. În Danemarca, firmele din sectorul financiar au cel mai mult această tendință, evaluându-și în medie cu nota 7 din 10 securitatea cibernetică.

„Companiile din sectorul financiar au o imagine destul de pozitivă despre sine, când vine vorba de cât de aproape sunt de idealul securității cibernetice. Poate că un pic prea pozitivă, dat fiind faptul că doar una din 10 organizații au implementat ceea ce e considerat minimul măsurilor de securitate cibernetică”, arată raportul Deloitte consultat de Panorama.

„Din nefericire, acesta este un fenomen des întâlnit și foarte popular în România”, povestește pentru Panorama Raluca Săceanu, de la Smarttech247.

„Există o stare de siguranță pe care eu nu o recomand”, spune și Alexandru Bălan, directorul de cercetare în securitate cibernetică de la Bitdefender, din postura omului care a văzut că orice apărare are slăbiciunile sale.

El explică de ce este important ca firmele să aibă audituri de securitate cibernetică externe. „Să zicem că o firmă își ia toate măsurile de siguranță cunoscute. Dar destul de des vor lăsa niște zone moarte, pe care nu le văd, nu știu de ele. De aceea o componentă adițională este testarea acestor ‘blind spots’, pentru a le identifica – și aici intervin programele de evaluare externă a securității. Faptul că noi ne-am uitat, ne-am dat cu părerea și am zis – gata, am făcut tot ce putem face pentru securitate, nu e de ajuns. E foarte important ca apoi să vină și altcineva să își dea cu părerea. Care îți va spune că ai uitat anumite chestii”.

Puține companii acceptă acest lucru în România, (un audit extern sau „gap analysis”) spune Raluca Săceanu, iar atitudinea unor companii de a se considera autosuficiente într-ale securității cibernetice „poate avea consecințe dezastruoase”.

Alexandru Bălan vine cu exemplul unei alte abordări defectuoase din partea unor companii din România: „Dacă aveți broască la ușă și ați încuiat-o pe toate părțile, aveți impresia că e bună. Eu pot să vă demonstrez că acel butuc de la ușă poate fi desfăcut în 80% din cazuri fără nicio urmă lăsată pe el. Dar chiar și atunci, foarte multe firme spun – îmi asum, pentru că numai tu poți să faci chestia asta. Au impresia că numai eu am capacitatea de ‘lockpick’. M-am întâlnit cu această atitudine. Cineva mi-a spus – păi da, doar tu ai reușit să spargi chestia aia. Și i-am zis nu, dacă eu am putut, or să poată încă 10.000 de oameni care au aceleași competențe ca mine”.

Companiile ar trebui să țină minte un paradox al securității cibernetice, pe care Raluca Săceanu îl enunță astfel: „Echipele de cybersecurity trebuie să aiba o acuratețe de 100% - virtual imposibil -  în abordarea fiecărui eveniment de securitate, inclusiv pe vectorul terților colaboratori/parteneri în supply chain) pe când agresorii cibernetici e suficient să găsească o singură portiță de acces pentru a avea succes”.

Șefa de la Smarttech247 amintește în acest sens exemplul atacului ransomware asupra rețelei FireEye și a mai multor agenții federale din SUA, care au fost sparte nu direct, ci prin intermediul unor clienți care foloseau o aplicație a SolarWinds, unde hackerii au găsit o breșă.

Principalele vulnerabilități și lacune pe care companiile și instituțiile publice din România le au în managementul securității cibernetice sunt, în opinia Ralucăi Săceanu, „lipsa prioritizării și a înțelegerii riscurilor și comunicarea deficitară între IT, securitate IT și management”. La ele se adaugă o a treia – lipsa vizibilității asupra unor părți din propria infrastructură IT a unei companii.

„Această vulnerabilitate care a mărit considerabil suprafața de atac oferită hacker-ilor a fost generată și amplificată de extinderea telemuncii și utilizarea de terminale care nu sunt autorizate, verificate, monitorizate de către angajator și care sunt exploatate pentru a accede și infiltra rețeaua companiei sau instituției. Ceea ce nu poți vedea nu poți proteja”, arată Raluca Săceanu.

Cum s-a rafinat „ransomware” la nivel de spionaj și ce e de făcut

Lumea criminalității cibernetice se schimbă rapid. „Ransomeware-ul a ajuns la un nou nivel. Cel de tip clasic, neinteligent să zicem așa, care nu conta unde ajunge, doar să se răspândească, s-a schimbat. Acum atacurile sunt țintite. Există forumuri unde se plătește pentru conturi de angajați, se caută oameni dispuși să vândă accesul în companii din interior”, povestește consultantul de cybersecurity Cosmin Radu.

Inteligența criminală a hackerilor nu poate să nu uimească: în prezent, atacurile ransomware se extind pe două dimensiuni, de unde și numele de „double extortion” – șantaj dublu. O dată cer bani pentru deblocarea accesului la sistemele IT, apoi cer bani pentru a nu publica datele confidențiale furate.

„Ne confruntăm acum cu o extorcare multidimensională care complică situația foarte mult. Asta înseamnă că hackerii nu numai că cer o recompensă pentru cheia de decriptare a datelor, dar și exfiltrează datele cu scopul de a le publica pe dark web, pentru a pune mai multă presiune de a plăti asupra victimelor. Chiar mai mult, lansează și atacuri de tip DDoS pe site-urile victimelor sau contactează clienții/furnizorii victimelor pentru a le cere ca ei la rândul lor să pună presiune”, povestește Raluca Săceanu de la Smarttech247.

„Victimele sunt mai înclinate să plătească dacă se tem că datele lor vor fi făcute publice. Prin urmare, furtul și amenințarea cu publicarea unor date sensibile a dus la o tactică numită ‘dublu șantaj’ sau ‚exfiltrare de date’, care a devenit comună pentru atacatorii ransomware, pentru că intensifică presiunea pe entități care se chinuiesc să își restabilească capacitatea operațională, dar și să își recupereze datele”, arată raportul făcut de Ransomware Task Force, în SUA.

Nu doar atât, ci hackerii au ajuns să cripteze cu chei diferite mai multe elemente componente ale rețelei victimei, conform analiștilor de la Smarttech247. „Prin urmare, pot ajunge în situația de a negocia un preț de răscumpărare pe fiecare element component al rețelei și nu pe întreaga rețea sau sistem aflate sub atac”, spune Raluca Săceanu.

O analiză făcută de compania de securitate IT Kaspersky arată cum au evoluat metodele folosite de grupările de hackeri din Rusia, în ultimii 5 ani și cum pe piața neagră de pe dark web, soluțiile se găsesc de-a gata, sub formă de malware customizat în funcție de ce ținte sunt dorite.

Dincolo de toate politicile și protecțiile de securitate cibernetică pe care companiile, dar și simplii utilizatori ar trebui să le folosească, una singură este sfântă, arată consultantul în cybersecurity Cosmin Radu: așa-numita „igienă IT”.

E vorba de un set de reguli de bază, cum ar fi să nu păstrezi backup-ul datelor pe același server, să nu ții serverul de backup în aceeași locație cu cele principale, să ai o politică de backup sau să testezi scenarii de recuperare a datelor. Sau să ai rețele „zero trust”, în care niciun utilizator nu are acces la resursele din rețea fără o verificare strictă, pe principiul „nu crede niciodată, verifică mereu” (never trust, always verify).

Doar că nu toată lumea respectă igiena IT. De multe ori, aceste reguli pot însemna însă salvarea măcar parțială din ghearele atacatorilor.

„Politica ar trebui să fie să nu plătești răscumpărarea. Nu știi niciodată că dacă plătești, chiar poți recupera acele date. Dacă nu ai salvate acele date în altă parte, nu ai cum să le recuperezi. De aceea igiena IT este foarte importantă. Mai contează și ce fel de date sunt, dacă nu sunt atât de importante, nu merită să plătești. Dar unele merită”, povestește Cosmin Radu.

Un exemplu dat de el arată că se poate întâmpla oricui să pice victimă. Un departament de poliție din SUA a plătit răscumpărare o mare sumă de bani, după ce atacatorii le-au criptat dosarele cu infractori și probe, dar și serverul de backup al datelor. „Nu mai aveau acces la ele. Au plătit banii pe decriptare, pentru că nu aveau ce să facă”.