Kibernoziegumu pētniece: Kas būtu jāzina par šifrējošajiem izspiedējvīrusiem?

Šī tēma plašāk tiks aplūkota arī CERT.LV kiberdrošības konferencē "CyberChess 2024", kas notiks šogad no 1.-3. oktobrim. Konferencei būs iespējams sekot līdzi arī tiešsaistē 2. un 3. oktobrī tās oficiālajā tīmekļa vietnē cyberchess.lv, uzzinot visu aktuālo par kiberdrošību.

Šifrējošais izspiedējvīruss ir ļaunprogrammatūra, kas nonākusi jūsu ierīcēs un sistēmās, šifrē datus, un jums vairs nav piekļuve tiem. Viss ir "uzkāries". Kibernoziedznieki pieprasa izpirkuma maksu, solot, ka pēc tās saņemšanas, tiks atgriezta piekļuve datiem. Risku diversifikācijai kibernoziedznieki ne tikai datus šifrē, bet paralēli arī zog, lai nemaksāšanas gadījumā draudētu upuriem arī ar sensitīvas informācijas "nopludināšanu". Izspiedējvīrusi nav nekas jauns – tie pastāv jau vairāk kā divdesmit gadu, taču, ja agrāk uzbrukumi galvenokārt tika vērsti pret privātpersonām, izmantojot saziņu e-pastos, tad šobrīd izspiedējvīrusi tiek pielietoti, lai šantažētu lielākas organizācijas. Visbiežāk uzbrucēji ir finansiāli motivēti un to galvenais mērķis – šifrēt organizācijas darbībai nepieciešamos datus, lai tā absolūti tiktu paralizēta. Vairs nav iespēja piekļūt failiem, datu bāzēm vai lietojumprogrammām, reizēm "nobrūk" visas ierīces. Izspiedējvīrusi bieži izstrādāti tā, lai izplatītos pa visu tīklu, tāpēc tie ātri vien var paralizēt visu organizācijas darbu, pat ja organizācija it kā nodrošinājusies ar rezerves datu bāzēm. Ļaundari datu šifrēšanai bieži izvēlas tieši nedēļas nogales vai svētku dienas, lai organizācijas nespētu operatīvi reaģēt vai reakcija būtu novēlota. Tas ir pieaugošs drauds, kas rada miljardiem dolāru lielus zaudējumus dažādām organizācijām visā pasaulē, tostarp uzņēmumiem un valsts iestādēm.

Kibernoziedznieki izmanto pārliecinošu šantāžu. Mūsdienās hakeri ne tikai paralizē sistēmas ar ļaundabīgu kodu, bet arī nozog organizācijas datus. Hakeri draud, ka organizācijas sensitīvie dati tiks publicēti konkrētās vietnēs, par to tiks paziņots organizācijas partneriem un klientiem. Kibernoziedznieki ļoti labi manipulē ar uzņēmumiem, jo viņi apzinās, ka partneri un klienti, uzzinot, ka ar viņu datiem kāds ir apgājies nepietiekami droši, turpmāk nevēlēsies sadarboties, tāpēc upurorganizācijas būs ieinteresētas maksāt. Ja kompānijas tomēr nepakļaujas šantāžai, novērota tendence, ka kibernoziedzinieki izvēlas citas taktikas. Piemēram, izmanto nozagtos datus, lai sazinātos un šantažētu organizācijas darbiniekus, partnerus un klientus.

Mūsdienās izspiedējvīrusi biežāk tiek mērķēti pret lielākām, maksātspējīgām organizācijām turīgākās valstīs (piemēram, Skandināvijā). Visbiežāk izspiedējvīrusa uzbrukumi novēroti ražošanas nozarē, tam seko tehnoloģiju uzņēmumi, mazumtirdzniecība, inženierija un būvniecība. Pēdējā laikā izspiedējvīrusi īpaši tiek mērķēti piegāžu ķēžu traucēšanai un ietekmēšanai. Piemēram, tādiem pakalpojuma sniedzējiem, kas nodrošina failu apmaiņu. Šādā veidā var iegūt datus no vairākām organizācijām vienlaicīgi, un līdz ar to – arī izspiest naudu.

Pirmkārt, būtu jāievēro kiberhigiēna. Darbiniekiem nevajadzētu lietot darba datorus personīgām vajadzībām. Lejupielādējot reizēm pat šķietami nevainīgas programmas, var gadīties kopā ar tām datorā lejupielādēt ļaunprogrammatūras. Tās iegūst autentifikācijai nepieciešamos datus gan darbinieka individuālajām piekļuvēm, gan arī uzņēmuma. Tāpēc darba devējam vajadzētu parūpēties, ka katram darba kontam būtu daudzfaktoru autentifikācija. Tāpat allaž arī būtu jāpārliecinās, ka jūsu iepriekšējiem darbiniekiem nav pieeja jūsu organizācijas datiem. Jāatceras, ka visbiežāk kiberuzbrukumi notiek tur, kur kāds nav modrs vai izdara neveiklu muļķību, piemēram, atver nedrošu e-pastu vai kādu, domājams, smieklīgu video. Cilvēki pat negribot kļūst par izspiedējvīrusu upuriem, bet darba devējam ar to ir jārēķinās. Tāpēc organizācijas svarīgos datus būtu nepieciešams pārdomāti un tehniski pareizi dublēt, lai tiem netiktu klāt šifrējošie izspiedējvīrusi.

Vislabāk būtu izmantot dažādas monitorēšanas programmas, kas laicīgi ļauj noteikt, vai kādi kompānijas autentifikācijas dati nav "noplūduši". Piemēram, vai kāds pieejas kods kā prece necirkulē tumšajā tīmeklī jeb dark web. Monitorings signalizē par to, un jūs varat proaktīvi reaģēt, nomainot autentifikācijas kodus vai pat autentifikācijas metodes, lai izvairītos no potenciāliem uzbrukumiem.

Brīdī, kad esat sapratis, ka jūsu kompānijas sistēmai ir uzbrukts, ir nepieciešams rīkoties uzreiz. Jo ilgāk gaidīsiet un ļausiet klientiem, partneriem turpināt izmantot jūsu sistēmas, jo ilgāk turpināsies datu zagšana un inficēšana.

Par uzbrukumu nevajadzētu klusēt un būtu jāvēršas pie tiesībsargājošām iestādēm. Jāņem vērā, ka ļauties šantāžai un gādāt izpirkumu nav prāta darbs – izpirkums negarantē, ka tiks iedots atšifrēšanas kods, kas pilnībā ļaus atgūt visus datus, kā arī jums nav kontroles par to, kā turpmāk tiks izmantoti nozagtie dati. Lielākoties izpirkuma maksas tiek pieprasītas kriptovalūtās, jo šie darījumi nodrošina neizsekojamību. Ar upuriem visbiežāk noziedznieki sazinās, inficētajā sistēmā integrējot paziņojumu, kurā informē par tālāku komunikāciju. Svarīgi ir saglabāt vēsu prātu un neļauties šantāžai un komunikāciju ar noziedzīgo grupējumu uzticēt kiberdrošības speciālistiem.

Diemžēl vēl aizvien precīzi nav zināms, cik daudz ir šādi cietušo organizāciju. Daudzas kompānijas izvēlas samaksāt un neatklāt, ka viņi ir bijuši kiberuzbrukuma upuri, taču pēc aptuvenām aplēsēm, upuru skaits sasniedz vairākus desmitus tūkstošu. Jāatgādina, ka samaksa noziedzniekiem neko negarantē - beigās attapsieties bez datiem un bez naudas.

Ja jūs interesē šī tēma un vēlaties uzzināt vairāk par to, kā pasargāt sevi no dažādiem kiberdraudiem, pievienojies konferencei tiešsaistē cyberchess.lv no 2. - 3. oktobrim!