Pondělí 28. září 2020, Den české státnosti
  • schránka
  • Přihlásit Můj účet
  • Pondělí 28. září 2020 Den české státnosti

Je radost pracovat s profesionály. Vzácný pohled do zákulisí e-zločinu

Jak probíhá vyjednávání o milionové výkupné, ukázaly střípky z vyjednávání mezi hackery a napadanou společností WCT. O ceně se smlouvalo dlouho, došlo i na speciální slevu.

ilustrační snímek | foto: Profimedia.cz

Záznam internetového rozhovoru v následujícím boxu by snadno mohl být součástí vyjednávání mezi dvěma obchodními společnostmi. Pokud pominete částečně chybějící interpunkci, chybějící velká písmena a také poněkud zlověstně znějící poslední větu, nese se v duchu běžného vyjednávání.

  • Český překlad
  • Anglický originál

A: Oceňuji slevu a vaše vlídná slova, ale upřímně řečeno jsme doufali, že se dohodneme na něčem, na co bychom měli k dispozici hotovost. Naprosto rozumím, že pro vás je to obchod, ale mým úkolem teď je udržet firmu nad vodou. Zcela upřímně, pokud by to bylo osm milionů dolarů, museli bychom zdvojnásobit tržby, abychom pak nemuseli zavřít. Byli bychom schopni dát dohromady 3,7 milionu dolarů, kdybychom dokázali najít kompromis. Nechci zlehčovat práci vás a vašeho týmu, pouze se snažím zabránit dalšímu propouštění na naší straně.

B: Vážíme si vaší nabídky, ale pochopte vy i nás, takto si stojí trh, a vy jste dostali odpovídající cenovou nabídku. bohužel, nabídnutá cena nestačí na to, abychom se dohodli, dali jsme vám 20procentní slevu, protože jsme připraveni skutečně vyjednávat, ale protože vidíme vaše obchodního ducha a okamžitě jsme vám nabídli zajímavou slevu, můžeme nabídnout ještě slevu dalších 5 % a splátkový kalendář. Například, za 4 miliony dolarů dostanete Decryptor (nástroj na rozšifrování dat, pozn.red.) a až zaplatíte zbytek, smažeme všechna soukromá data.

A: I appreciate the discount and the kind words here, but to be honest, we were hoping for something that we could actually have available cash for. I completely understand that this is a business for you, but right now I'm tasked with trying to keep our business afloat. In all honesty, $8M puts us in a spot where we would need to double current revenue to keep our doors open. We were willing to get you $3.7M potentially today if we could have found common ground. I don't mean to belittle you and your team's work here, I'm just trying to help prevent further layoffs on our side.

B: We appreciate your offer, but understand us too, this is the market and you have been offered an adequate price. unfortunately, the amount you offered is not enough to close our deal with you, we gave you 20% not because we are ready to bargain heavily, but because we see your business spirit and immediately gave you a good discount, we can offer 5% discount more and payment by installments. For example for $4M you will get the Decryptor and after you will pay the rest amount, we will delete all the private Data.

Jak jste asi pochopili z poslední věty, ve skutečnosti jde o jednání o výkupném. Zveřejnil ho novinář Jack Stubbs pracující pro agenturu Reuters. Objevil kupodivu stále nesmazaný záznam chatu, ve kterém profesionální hackeři vyjednávali se svou obětí.

Identitu zločinců známá není, jejich obětí byla v tomto případě velká cestovní agentury Carlson Wagonlit Travel (CWT), která se specializuje především na firemní klientelu. Šlo o útok pomocí tzv. „ransomware“. To je cynicky řečeno škodlivý software s nejlepším „obchodním modelem“ a právě z tohoto důvodu v posledních letech také velmi rychle rostoucí segment počítačové kriminality.


O ransomwaru jsme v minulosti psali obšírněji (včetně seznamu malwaru, u kterého existuje nástroj, jak se placení vyhnout). V tuto chvíli stačí říci, že v principu jde o „únos“ dat. Útočník nějakým způsobem pronikne do systému oběti a nalezená data (dnes často včetně případných záloh) zašifruje. Klíč od zašifrovaných souborů pak nabídne oběti.

Podobná jednání jsou pochopitelně skrytá očím veřejnosti a my nemáme představu o tom, jak vypadají. Ovšem v případě CWT se Jack Stubbs dostal ke konverzaci, kterou vedli nejmenovaní zástupci obou stran v anonymním chatroomu (přesnou adresu Stubbs neuvedl a není jasné, zda konverzace nebyla již smazána). Část zmínil ve zprávě k události, více ukázek z rozhovoru zveřejnil na svém Twitteru.

Adresa chatroomu se objevila přímo na počítačích firmy po jejich zašifrování. Zástupce CWT se do ní přihlásil méně než dva dny po útoku. Nevíme, kdo to byl, podle svých slov spadá přímo pod finančního ředitele firmy.

Ozval se mu zástupce útočníků, který se v rozhovoru označuje jako „Podpora“ (Support). Ve skutečnosti jde o zástupce „provozovatelů“ ransomwaru, který dostal název RagnarLocker, který bezpečnostní firmy poprvé zaznamenaly v prosinci 2019 (více o něm např. na této stránce). Jde o poměrně sofistikovaný nástroj, který se používá podle všeho k cíleným útokům. Výzva k zaplacení, která je součástí kódu malwaru, obsahuje údaje pro tu či onu společnost.

„Dobrý den! Co pro vás můžeme udělat“, začíná rozhovor Podpora. Zástupce CWT se zeptal na podmínky rozšifrování souborů. Útočníci mu nejprve poskytli přesnější výčet toho, co mají k dispozici a nabídli „ochutnávku“ rozšifrování dvou náhodně vybraných souborů jako důkaz toho, že klíč skutečně existuje (to útočníci slíbili už ve zprávě, že data společnosti mají). Evidentně se snažili vzbudit v protistraně důvěru a přesvědčit ji, že hodlají svou část dohody splnit.

V další části rozhovoru útočníci požádali o 10 milionů dolarů. S tím se napadaná firma nehodlala smířit a její zástupce přistoupil k vyjednávání. Nejprve se odkázal na zmínku v úvodním požadavku výkupného, kde se píše, že „pokud se nám ozvete do 2 dní od průniku, můžeme vám nabídnout VELMI VÝHODNOU CENU“ (velká písmena použili už vyděrači, pozn.red.).

Zástupce společnosti nepovažuje 10 milionů dolarů za „velmi VÝHODNOU CENU“ a žádá slevu. Útočníci souhlasí, že společnosti splnila uvedené podmínky pro „získání slevy“. Následuje vyjednávání, které opět nemáme k dispozici celé. Velkou část dostupného textu jsme uvedli v úryvku na začátku článku. Obě strany vyjednávají především o výši částky, ale také rychlosti zaplacení a přesném harmonogramu plnění „závazků“. Loupež za bílého dne působí v „korporátním slangu“ zcela přirozeně.

Nakonec se shodnou, že výkupné bude činit 4,5 milionu dolarů. Vyděrači s tím souhlasili pod podmínkou, že platba proběhne během následujících 24 hodin. Za částku poskytnou CWT nástroj na dešifrování souborů a smažou všechny soubory na svém serveru, aby nedošlo k úniku firemních informací CWT.

Na závěr přidají několik bezpečnostních rad, jejichž užitečnost jistě může být sporná (proč by například zahrnuli do svých rad zalepení všech „děr“, které znají?) a velmi slušně se svou obětí rozloučí. CWT poděkuji za rychlé vyřízení, „Podpora“ se loučí slovy: „Není zač, pracovat s profesionály je radost. Pokud budete mít nějaké otázky, neváhejte se na nás obrátit.“

Všimněte si, že útočníci nabízí možnost chat smazat, ale z neznámého důvodu k tomu ještě nedošlo hned po skončení rozhovoru. Zřejmě proto, že zástupce CWT nepotvrdil, že si z chatu opsal všechny důležité informace. Vyděrači mu nabídli, že chat smažou až jim napíše, že má vše potřebné.

Platba

Jak to u ransomwaru bývá, zaplacení výkupného proběhlo v kryptoměně. A to 28. července do bitcoinové „peněženky“ útočníků. CWT nejprve zhruba 14 minut po půlnoci 28. července světového času poslala na adresu vyděračů jeden bitcoin (a zbytek sobě do jiné peněženky). O nějakých 25 minut později, zřejmě poté, co dostala potvrzení, že transakce proběhla, poslala do stejné peněženky i zbytek sumy, která při tehdejším kurzu činila celkem 414 bitcoinů (to je tato transakce).

Pak následovalo „vyprání“ bitcoinu, které stopovali analytici společnosti ZenGo. Výkupné si pachatelé během 20 minut od obdržení částky rozdělili na dvě části (v této transakci), do dvou různých peněženek směřovalo zhruba 102,5 a 310,5 bitcoinu.

ZenGo se domnívá, že šlo o dělení mezi dvěma spolupracovníky či spolupracujícími skupinami. Například z toho prostého důvodů, že v jedné z cílových peněženek bitcoiny zůstaly několik hodin, z druhé hned zamířily k „vyprání“. Lze si snadno představit například to, že majitelé každé z nich jsou v jiném časovém pásmu. Je to ovšem pouze dohad.

„Vyprání“ přeběhlo relativně jednoduše. Bitociny jsou dobře sledovatelné, protože seznam všech provedených operací je veřejně dostupný (tato otevřená „účetní kniha“ slouží v podstatě jako doklad pravosti). Kdokoli se tak může podívat, kolik je v té které bitcoinové peněžence právě bitcoinů, a ze které peněženky přišly. Nelze si je tedy poslat na „tajný účet ve švýcarské bance“, takové účty bitcoin z principu neumožňuje.

Bitcoinové transakce čekají na ověření peer-to-peer sítě. Pokud by někdo chtěl...

Bitcoinové transakce čekají na ověření peer-to-peer sítě. Pokud by někdo chtěl poslat peníze, které nemá, neprojde taková transakce "hlasováním". Ověřené transakce se pak dostanou do oficiálního sdíleného řetězce ("blockchain"). Bitociny, které nemají historii v blockchainu, prostě a jednoduše neexistují. Bitcoiny tak nelze „schovat“ a pak zase někdy vytáhnout ze „sejfu“ o několik let později. V takovém případě nebudou anonymní, jejich historie bude perfektně známá.

Ale je možné „špinavé bitcoiny“ rozpustit v nějaké sdílené peněžence, kam si peníze může vložit každý. Z ní si pak zločinci vytáhnou peníze v podstatě čisté na nějakou další připravenou adresu. Pokud majitelé „společné peněženky“ svůj nárok prokáží jinak než adresou své původní peněženky, v bitcoinové „účetní knize“ už původ jejich bitcoinů není zaznamenán.

Jak funguje bitcoin

Virtuální platforma nabízí paradoxně zároveň jak anonymitu, tak naprosto transparentní účty. Zatím se ale matematická kryptoměna potýká se špatnou pověstí, velkými výkyvy a nepochopením veřejnosti. Dostane příležitost změnit svět, nebo zůstane doménou hazardních hráčů a drogových dealerů?

Bitcoin - internetové zlato, nebo bublina?

Ovšem velké částky řádově v stovkách bitcoinů (a tedy milionů dolarů) budí pozornost, a tak je nejprve vyděrači rozmělnili na více menší částek. Podle ZenGo v tomto případě větší část výkupného (tj. cca 310,5 bitcoinu) byla nejprve rozdělena na dvě poloviny. Jednu polovinu postupně pachatelé poslali v menších obnosech na bitcoinovou burzu Binance. Druhou rozdělili nerovnoměrně mezi několik dalších burz.

Co se s penězi stalo dále, už není jasné. Pachatelé si je mohl například vyměnit za zcela anonymní kryptoměnu (tj. například  ZCash), či vybrat jinak. Nebo si ji nevybrali vůbec, protože v době psaní článku byla část prostředků stále v peněženkách, kam směřovaly přímo po zaplacení výkupného, například 10 bitcoinů v této peněžence..

Platí se častěji?

Nejčastější rada obětem ransomware, která veřejně zaznívá, je neplatit. Ovšem jako v případě pravidla „únoscům nikdy neplatíme“, i toto pravidlo se v praxi zjevně často nedodržuje. To koneckonců naznačuje skutečnost, že ransomware je stále rozšířenější. Evidentně se vyplácí.

FBI sice ve své zprávě o vývoji internetové kriminality za rok 2019 (v PDF) uvádí, že má v databázi případy s celkovou škodou pouze 8,9 milionu dolarů, ale to je s největší pravděpodobností statistika zkreslená tím, že většina obětí případy nenahlašuje. Buď data odepíše, nebo se pokouší s pachateli dohodnout.

Z jednoho jediného případu bychom rozhodně neměli dělat trend, placení výkupného ovšem zřejmě není tak výjimečnou událostí. Například společnost Garmin, kterou postihl na konci července rozsáhlý výpadek, se také podle všeho stala cílem ransomwaru. A podle informací serveru BleepingComputer vyděračům za klíč zaplatila (byť to oficiálně popřela).

Novináři získali i kopii dešifrovacího programu, jejich informace vypadá věrohodněji než prohlášení vedení firmy. Vyděrači údajně žádali původně 10 milionů dolarů, tedy stejně jako v případě CWT, žádné věrohodně vyhlížející informace o tom, kolik Garmin nakonec měl zaplatit, ovšem zveřejněny nebyly.

Někdy to jde zadarmo

Pokud je ransomware „správně“ napsaný, k datům se bez zaplacení nedostanete. Ovšem proti některým druhům vyděračského softwaru už se můžete účinně bránit. Antivirové firmy vyvíjejí dešifrovací utilitky, které jsou ke stažení zcela zdarma.

Spolehlivé statistiky o tom, jak často oběti přistupují na požadavky útočníků a za dešifrování svých dat zaplatí, k dispozici nejsou. Popis vývoje v oblasti ransomwaru ovšem naznačuje, že pachatelé našli cílovou skupinu, která je ochotná platit. Nejsou to jednotliví individuální uživatelé, ale spíše instituce, které shromažďují více dat než jednotlivci. Ať už jde o obchodní společnosti či třeba nemocnice, včetně těch českých.

Udržet bezpečnou sít v rámci velké organizace není zcela levná záležitost, vhodných cílů bude patrně k dispozici dost. Jak nasvědčuje vzácný pohled do zákulisí, minimálně někteří vyděrači si zřejmě snaží vytvořit pověst „spolehlivých partnerů“, kteří plní své sliby i hrozby. Proč by to dělali, kdyby „v oboru“ nechtěli zůstat? A proč by v něm chtěli zůstat, kdyby se jim zločin nevyplácel? Případ CWT zřejmě nebude tak výjimečný.

  • Nejčtenější

Počet úmrtí bude stoupat. Podívejte se, jaké měla křivka zpoždění jinde

Počet úmrtí s nemocí covid-19 u nás poroste. Byť ještě není jasné o kolik. Příklady z jiných zemí jasně ukazují, že...

KOMENTÁŘ: Za kostku cukru se necháme sledovat, ale z eRoušky se panikaří

Aplikaci eRouška si zatím nainstalovalo přes 400 000 lidí. Je pro mne nepochopitelné, proč to číslo není o nulu delší....

Exponenciální růst mate i experty. Vyzkoušejte si, čím je tak nebezpečný

S nárůstem infekcí covid-19 se v Česku znovu mluví o exponenciálním růstu. A řada lidí – včetně expertů – toto spojení...

Krize leteckého průmyslu. Letadla končí ve šrotu, levné letenky zdraží

Letecký průmysl má za sebou mnoho těžkých období, vždycky z nich však nakonec vyšel efektivnější a silnější. Současná...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Stíhací Defiant nesplnil očekávání, ve dne ho smetly z nebe messerschmitty

Mezi ne příliš standardní letouny druhé světové války patří dvoumístný stíhací Defiant nesoucí veškerou výzbroj ve...

Sundej vlajku, nebo ti vypálíme dům. Agresivita demonstrantů v USA roste

Premium Demonstrace proti policejní brutalitě, jak to nazývají protestující i média, začínají být docela brutální i vůči...

Felák, flexit nebo chillovat. Slovník dnešní mládeže uvádí rodiče do rozpaků

Premium Ač to možná ani netušíte, nejspíš i kolem vás denně chodí shiperky, které flexí s teniskami nebo iPhonem, díky čemuž...

Prodlužte životnost filtru pevných částic. Stačí pár jednoduchých kroků

Premium Výměna filtru pevných částic stojí desítky tisíc korun, jeho čištění a renovace pět až patnáct tisíc korun. Těmto...

  • Další z rubriky

TikTok v USA končí, nepomohl ani Oracle. Trump zakázal i WeChat

Na konci tohoto týdne budou muset obchody s aplikacemi odstranit ze své nabídky sociální síť TikTok a komunikační...

V Česku se opět množí podvodné e-maily, které útočí na vaše peníze

Některá banky v posledních dnech zaznamenaly novou vlnu tzv. phisingových útoků, kdy se útočník v e-mailech vydává za...

Facebook omezí funkčnost, pokud budou po amerických volbách nepokoje

Facebook se připravuje na americké prezidentské volby a plánuje speciální kroky pro případ, že začnou po volbách spory...

Google předělává mapy. Přináší nové detaily a přesnější pohled na svět

Společnost Google chce tento týden spustit novou verzi svých úspěšných map. Má přinést mnohem více detailů, bude více...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Octavia za 3 500 korun: boj s krizí, chaos a riskantní sázka na superslevy

Octavia za 3 500 Kč měsíčně, Kodiaq za 4 899 Kč, Passat za něco málo přes 6 000 Kč… Ačkoli automobilkám docházejí...

Blíží se katastrofa, jež zastíní pandemii covidu-19, říká princ Charles

Britský princ Charles (71) vyzval v pondělí ke zlepšení boje proti klimatickým změnám, jejichž dopad podle něj zastíní...

Herec Petr Čtvrtníček se nakazil koronavirem, leží v nemocnici na JIP

Herec Petr Čtvrtníček (56) skončil kvůli covidu-19 v nemocnici. Minulý týden měl pozitivní testy, a když se mu...

Počet úmrtí bude stoupat. Podívejte se, jaké měla křivka zpoždění jinde

Počet úmrtí s nemocí covid-19 u nás poroste. Byť ještě není jasné o kolik. Příklady z jiných zemí jasně ukazují, že...

Nebudu všem po rozchodu ukazovat, jaká jsem čičina, říká Mottlová

Muž roku 2016 Josef Kůrka (28) nedávno oznámil rozchod s herečkou a modelkou Barborou Mottlovou (33). Fitness trenér...