Të ashtuquajturit sulme “ransomware” janë në rritje të madhe dhe qeveritë po kërkojnë se si t’i bëjnë më pak të rrezikshme
Gjatë muajve të fundit ka pasur raste të ndryshme goditëse të sulmeve informatike nëpër rrjetet që menaxhojnë infrastrukturat dhe strukturat publike dhe private në shtete të ndryshme, me ndikim të konsiderueshëm në pjesë të mëdha të popullsisë. Këto sulme janë quajtur ransomware (nga emri i softuerit që përdoret për t’i vënë në zbatim) dhe konsistojnë në vjedhjen e të dhënave nga viktima me qëllimim për të marrë shpërblim (ransom, në anglisht). Ky lloj sulmi ka ekzistuar prej shumë kohësh, numri i tyre është rritur nga viti në vit duke prekur institucione kombëtare, qeveri lokale, spitale, universitete, ndërmarrje të mëdha private, biznese të vogla, por edhe individë, të cilët shpesh janë më pak të zotë për të mbrojtur veten e tyre.
Duke pasur parasysh efektivitetin e tyre dhe vështirësinë e autoriteteve për të gjetur dhe ndëshkuar autorët, po rriten dita-ditës si për nga shpeshtësia, ashtu dhe për nga shtrirja e tyre, aq sa mbrojtja nga këto sulme është bërë një përparësi për qeveritë në të gjithë botën. Për më tepër, përhapja e tyre ka bërë të lindin dy industri të pasura: atë të shantazhit kompjuterik dhe atë të atyre që ndihmojnë viktimat.
Rastet më të fundit
Rasti më i diskutuar javët e fundit është ai i sulmit ndaj Colonial Pipeline, tubacioni më i madh i karburanteve të rafinuar në Shtetet e Bashkuara. Sulmi, i kryer më 7 maj nga hakerat e lidhur me një grup të quajtur DarkSide dhe që ka të ngjarë të operojë në Evropën Lindore, shkaktoi mungesa të karburantit në disa vende dhe rriti përkohësisht çmimin e naftës dhe karburantit në Shtetet e Bashkuara, duke e çuar qeverinë të miratojë një deklaratë të emergjencës në 18 shtete. Për t’i rikthyer operacionet në normalitet sa më shpejt të jetë e mundur, Colonial Pipeline konfirmoi se u pagoi hakerave një shumë prej 4.4 milion dollarë në bitcoin.
Disa ditë më vonë, dy sulme të tjera goditën sistemin shëndetësor irlandez: i pari, i ndodhur të enjten 13 maj, detyroi Departamentin e Shëndetësisë të vendit të mbyllte të gjitha sistemet e tij kompjuterike, përfshirë platformën përmes së cilës pacientët rezervojnë vizitat në spital; i dyti, që ndodhi të nesërmen, zhduku shumë takime mjekësore të planifikuara për javën tjetër.
Raste të tjera që kanë prekur një numër të madh njerëzish në muajt e fundit kanë qenë sulmi ndaj Microsoft Exchange, një softuer që përdoret nga kompani dhe organizata në të gjithë botën për të menaxhuar postat elektronike dhe kalendarët, dhe ai i njohur si SolarWinds, i cili ka goditur më shumë se 17,000 kompani private dhe agjenci qeveritare në SHBA.
Si funksionojnë sulmet
Shumica e këtyre rasteve çon në një lloj specifik sulmi informatik, të kryer përmes një lloji softueri të quajtur ransomware. Ransomware është një program i cili, pasi të instalohet në një sistem, e bën atë të paarritshëm nga pronari i ligjshëm përmes një sistemi kriptografik. Për të hyrë përsëri, viktima duhet t’u paguajë hakerave një shumë, shpesh të kërkuar në kriptovaluta që garantojnë anonimitetin e zhvatësve.
Në rastin e Colonial Pipeline, për shembull, hakerat kishin bllokuar hyrjen në disa kompjuterë esencialë për menaxhimin e tubacionit, duke bllokuar pothuajse plotësisht infrastrukturën.
Ransomware përhapet në mënyra të ndryshme, më e zakonshmja prej të cilave është phishing përmes emailit: sulmuesi i dërgon viktimës së synuar një email nga një adresë që shpesh duket si ajo e një dërguesi të besueshëm (për shembull, i një kolegu të punës) ; teksti i postës elektronike mashtron lexuesin për të hapur një link që instalon ransomware në sistemin e viktimës. Ky është deri më tani mjeti më i zakonshëm i përdorur nga hakerat për të hyrë në rrjetet e kompanive me 100 punonjës ose më shumë.
Kur objektiv janë kompanitë më të vogla, një metodë shumë e përdorur për instalimin e ransomware në sistemet e tyre është ajo e RDP compromise, e cila shfrytëzon boshllëqet e sigurisë në RDP e përdorur nga kompania. RDP (Remote Desktop Protocol) është një protokoll i Microsoft-it i përdorur gjerësisht nëpër ndërmarrje, që i mundëson punonjësve të hyjnë në sistemin e kompanisë në distancë përmes një lidhjeje në rrjet.
Në kompanitë e vogla me pak burime, shpesh siguria informatike nuk është përparësi: kjo është arsyeja pse kjo metodë është më e përdorura kundër këtyre lloj objektivave. Ndërsa në ndërmarrjet e mëdha, ku investohet ka shumë në sigurinë e IT dhe ka procedura standarde për të shmangur lënien e hapësirave të cënueshme, shpesh mënyra më e lehtë për të hyrë është të përpiqesh të shfrytëzosh gabimet njerëzore: punonjësi që klikon pa kujdes mbi një link nga një email me emrin e shefit të tij.
Si është e strukturuar industria e shantazheve informatike
Shantazhi informatik është një industri mjaft e pasur, vetëm në vitin 2020 ka gjeneruar të paktën 18 miliardë dollarë shpërblime, sipas firmës së sigurisë informatike Emsisoft. Sipas të njëjtit burim, shpërblimi mesatar është rreth 154,000 dollarë dhe është rritur me më shumë se 80 përqind gjatë vitit të kaluar. Kjo mund të jetë një shenjë e faktit se zhvatësit gjithnjë e më shumë priren të shantazhojnë institucione dhe kompani të mëdha, për të cilat humbja ose shpërndarja e të dhënave do të gjeneronte dëme të konsiderueshme (përfshirë reputacionin), dhe që mund të përballojnë pagesën e shpërblime më të larta për rivendosjen e normalitetit.
Pjesërisht falë pandemisë, e cila përshpejtoi adaptimin e punës në distancë duke shumëzuar dobësitë e sistemeve informatike të korporatave, vitin e kaluar numri i sulmeve ransomware u rrit me 60 përqind, duke arritur në 305 milionë në të gjithë botën (afërsisht 836,000 sulme në ditë mesatarisht), vlerëson SonicWall, një kompani tjetër e sigurisë informatike.
Siç raporton Financial Times, industria dominohet në nivel global nga pak më shumë se njëzet organizata. Disa nga këto specializohen në fazën e parë të zinxhirit të furnizimit, që merren vetëm me zhvillimin e ransomware dhe duke ia deleguar të tjerëve operacionet e infiltrimit në sistemet e viktimës dhe zhvatjen. Me fjalë të tjera, veprojnë si ofrues të shërbimeve për kriminelë të tjerë. Ky lloj shërbimi quhet Raas (Ransomware-as-a-service) dhe funksionon në mënyrë të ngjashme me çdo shërbim tjetër me softuer abonimi: organizatat që zhvillojnë softuerin ua kalojnë me qira kriminelëve të tjerë, të quajtur filiale, të cilët munden kështu të përdorin ransomware me qira për të shantazhuar këdo që ia arrijnë, duke i dhënë në këmbim një pjesë të fitimeve të tyre të organizatës që ka zhvilluar softuerin.
Shkurtimisht, siç theksohet nga Joshua Motta, administrator i deleguar i grupit të sigurimeve të specializuar në informatikë Cialition, i intervistuar nga Financial Times, në industri po ndodh një “ndarje e punës”, në të cilën grupe të ndryshme kriminale janë të specializuar në faza të ndryshme të zinxhirin e furnizimit. Ky fenomen ka ulur pengesat në hyrje (domethënë aftësitë e nevojshme) për të kryer këtë lloj zhvatjeje dhe është një nga arsyet e rritjes së numrit të sulmeve.
Raas është edhe modeli i biznesit të DarkSide, organizata ransomware i së cilës u përdor në sulmin ndaj tubacionit të naftës Colonial Pipeline. Sipas Emsisoft, DarkSide është e organizuar pothuajse si një kompani: përveç dhënies me qira të ransomwareve për filialet e saj, ajo u ofron atyre mbështetje në kohë reale në chat dhe azhurnime softuerësh. Gjithashtu praktikon edhe oferta për të tërhequr bashkëpunëtorë të rinj (të cilëve iu lë midis 75 dhe 90 përqind të fitimeve) dhe madje shpërndaj edhe njoftime për shtyp.
Mënyrat e ndryshme të përdorura për të zhvatur para
Pasi ransomware të jetë infiltruar në një sistem dhe të instalohet, secili shantazhues ka disa mënyra për të marrë para nga operacioni. Para së gjithash, mund të kërkojë një shpërblim nga viktima për t’i rikthyer mundësinë të rihyjnë në të dhënat e kriptuara. Pastaj, duke qenë se shantazhuesi shpesh i kopjon të dhënat në servera jashtë kompanisë përpara se t’i kriptojë ato, mund të kërcënojë se do t’i shpërndajë në këmbim të më shumë parave. Kjo quhet zhvatje e dyfishtë në zhargon dhe është një praktikë që është bërë shumë e zakonshme më 2020.
Natyrisht, edhe nëse viktima paguan shpërblimin, nuk do të jetë kurrë i sigurt se të dhënat e tij do të zhduken nga serveri i përdorur nga shantazhisti, i cili në të vërtetë mund të fitojë më shumë para duke ia rishitur dikujt tjetër, pavarësisht faktit që viktima e ka paguar shpërblim. E njëjta gjë mund të bëhet me kredencialet e hyrjes në një sistem: hakeri që ka marrë kredencialet e administratorit të sistemit mund t’i rishisë ato tek të tjerët pasi t’i ketë përdorur për qëllimet e tij.
Kjo është një nga arsyet pse shumë institucione, duke filluar me FBI, këshillojnë të mos paguhet shpërblimin: shpesh nuk siguron asgjë, përveçse inkurajon rritjen e fenomenit. Dhe duket se gjithnjë e më shumë viktimat po ndjekin këtë këshillë: të dhënat nga Coveware, një kompani që ndihmon njerëzit e shantazhuar për të negociuar me zhvatës, tregojnë se në tremujorin e fundit të 2020, pavarësisht nga rritja e shantazheve, është rritur gjithashtu edhe numri i viktimave që kanë refuzuar të paguajnë pasi kanë bërë një analizë kosto-përfitimit. Në përgjithësi, viktimat që vendosin të paguajnë janë rreth 27 përqind e totalit sipas Emsisoft.
Në një përpjekje për të bërë që kompanitë e shantazhuara të paguajnë, disa organizata kriminale madje kanë ngritur edhe call center që telefonojnë administratorët e deleguar të kompanive të sulmuara për t’i ftuar të paguajnë. Jo vetëm kaq: duke pasur akses në të dhënat e klientëve të këtyre sipërmarrjeve, shantazuesit telefonojnë edhe këta të fundit, duke i informuar se kanë në zotërim të dhënat e tyre dhe duke i nxitur të bëjnë presion mbi kompaninë e sulmuar për të paguar.
Për të përfunduar, një metodë tjetër e cituar nga Washington Post për të inkurajuar kompaninë e shantazhuar të paguajë është ta kërcënosh atë me një sulm DOS (Denial-of-service), kundër serverave të saj, i cili konsiston në sulmimin e serverave të saj me kërkesa për t’i bërë të dalin jashtë përdorimit, duke ndërprerë shërbimet që kompania u ofron klientëve të saj dhe duke krijuar dëme të mëtejshme ekonomike dhe reputacioni.
Industria e kujt që ndihmon viktimat
Fenomeni në rritje i sulmeve ransomware ka bërë që një industri tjetër të marrë formë me kalimin e kohës: ajo e kompanive të specializuara për të ndihmuar njerëzit e shantazhuar. Sipërmarrje si Coveware ndihmojnë viktimat të negociojnë me zhvatësit dhe të paguajnë shpërblime (operacion që ka një shkallë të caktuar të ndërlikueshmërisë për ata që nuk janë të njohur me transaksionet e kriptovalutës), si dhe duke siguruar mjete dhe asistencë në përpjekjen për të rivendosur në funksionim të dhënat.
Kjo industri nuk shihet me sy të mirë nga disa autoritete, sepse ka nga ata që argumentojnë se ajo nuk bën asgjë tjetër përveçse ushqen fenomenin, ashtu si do ushqenin sigurimet mbi sulmet e ransomware. Një tezë e mbështetur edhe nga grupi i sigurimeve AXA, i cili më 7 maj, pak pasi pati rënë vetë viktimë e një sulmi të tillë, njoftoi pezullimin e politikave të saj që rimbursojnë pagesën e sigurimeve që paguajnë dëmtimet ransomware në Francë. Më 2020, Franca ishte vendi i dytë më i madh në botë për sasinë e dëmit nga sulmet ransomware ndaj bizneseve dhe institucioneve pas Shteteve të Bashkuara. Nëse llogarisim edhe individët, vendi i dytë në botë ishte Italia, ku kostoja totale e sulmeve vitin e kaluar i ka tejkaluar 1 miliard e 387 milion dollarë, (1 miliard e 136 milion euro, me kursin e këmbimit aktual) sipas te Emsisoft.
Për më tepër, rritja e zhvatjes ndaj kompanive të mëdha, përveç rritjes së shpërblimit mesatar me kalimin e kohës, ka rritur edhe dëmin nga ndërprerja e operacioneve (sa më shumë që një kompani faturon, aq më të larta do të jenë të ardhurat e humbura nëse ndalet), në përgjithësi të mbuluara nga sigurimet. Kjo është dhe arsyeja pse çmimet e sigurimeve janë rritur në muajt e fundit dhe do të rriten ndërmjet 20 dhe 50 përqind gjatë vitit 2021, vlerëson AON, një grup i madh sigurimesh i cituar nga Financial Times.
Si zgjidhet problemi?
Më 2020, në një nivel global, shantazhet informatike kanë shkaktuar dëme totale të pallogaritshme, në qindra miliarda dollarë, sipas Emsisoft.
Për t’i dhënë fund problemit, disa besojnë se qeveritë duhet të ndalojnë pagesën e shpërblimeve nga ana e viktimat, në mënyrë që sulmet të mos jenë më fitimprurëse për zhvatësit. Sidoqoftë, të tjerë theksojnë se kjo mund të bëjë që hakerat të përqendrojnë sulmet e tyre nëpër objektiva që nuk kanë zgjidhje, siç janë spitalet, ku jeta dhe shëndeti i pacientëve varet edhe nga funksionimi i duhur i sistemit kompjuterik.
Në një përpjekje për të dekurajuar pagimin e shpërblimeve, qeveria amerikane ka lëshuar sanksione kundër disa grupeve kriminale si Evil Corp, një organizatë hakerash me bazë në Rusi, e cila ndalon individët dhe kompanitë amerikane të dërgojnë para te këto grupe ose që lehtësojnë negociatat me ta. Problemi është se shpesh viktima nuk e di nga ka ardhur sulmi (edhe pse mund të përpiqen ta zbulojnë përmes faqeve të si ID Ransomware), dhe nëse problemet e krijuara nga ransomware kërkojnë një zgjidhje të menjëhershme shumë vendosin të paguajnë pa bërë shumë pyetje, duke përfunduar në shkeljen e sanksioneve dhe kryerjen e një vepre penale. Me pak fjalë, këto sanksione jo vetëm që nuk mund të jenë efektive, por përfundojnë duke ndëshkuar viktimat dhe jo shantazhuesët.
Duke parë rëndësinë e situatës, në prill, një task forcë e përbërë nga kompani të mëdha teknologjike si Microsoft, Amazon dhe Cisco, si dhe institucione financiare, akademikë, anëtarë të Departamentit të Drejtësisë të SHBA dhe FBI, botoi një raport që përmbante një një seri masash për të përballuar problemin.
Në raport, task forca inkurajon qeveritë që të shtojnë bashkëpunimin ndërkombëtar dhe të ndëshkojnë shtetet që ofrojnë strehim për kriminelët, duke i bërë thirrje presidencës së SHBA të japi shëmbull dhe të fillojë një fushatë inteligjence të qëndrueshme dhe agresive të(“sustained, aggressive”) kundër ransomware, më pas efektivisht rë nisur më 12 maj nga qeveria Biden me një urdhër ekzekutiv për këtë çështje. gjithashtu u ka bërë thirrje qeverive të krijojnë fonde kompensimi për viktimat dhe t’u kërkojë atyre të raportojnë sulmet, si dhe të krijojnë një strukturë ndërkombëtare për të ndihmuar kompanitë të përgatiten dhe të menaxhohen sulmet. Së fundi, ka kërkuar një rregullim më të rreptë të tregjeve të kriptovalutave, një mjet themelor për pagimin e shpërblimeve.