Maija pirmajā pusē ar kiberuzbrukumu, izmantojot tā dēvēto vīrusu–šifrētāju, uz vairākām dienām tika apturēta ASV lielākās cauruļvadu sistēmas Colonial Pipeline darbība. Tā pilnībā nav atjaunota joprojām, un speciālisti lēš, ka tas varētu prasīt vēl vairākas nedēļas. Colonial Pipeline nodrošina uzreiz vairākas ASV pavalstis ar benzīnu, dīzeļdegvielu un citiem naftas pārstrādes produktiem, tādēļ sistēmas darbības pārtraukšana paspēja izraisīt īslaicīgu degvielas piegāžu krīzi un paniku daļā ASV.
Atbilstoši ASV varas iestāžu paziņojumiem aiz šī uzbrukuma stāvēja Krievijas kibernoziedznieku grupējums DarkSide. Aģentūra Bloomberg vēsta – lai tiktu galā ar situāciju, Colonial Pipeline samaksāja izpirkuma maksu piecu miljonu ASV dolāru apmērā. Vienlaikus ASV atteicās vainot Krievijas varas iestādes par saistību ar šo uzbrukumu (tas gan neizslēdz iespēju, ka kaut kad nākotnē šādas apsūdzības var parādīties), aprobežojoties vienīgi ar izteikumiem par "zināmu daļu atbildības" un nepieciešamību izstrādāt vienotu sistēmu cīņai ar kibernoziedzību. Šāda nostāja arī ir saprotama, jo kiberuzbrukumi, izmantojot vīrusus–šifrētājus, strauji kļūst par vienu no populārākajām kibernoziedznieku darbības jomām un rada aizvien lielākas problēmas visdažādāko jomu uzņēmumiem, bet, kā cīnīties ar šo problēmu, joprojām nav īstas skaidrības.
Aizvien skaļāk
Vīrusi–šifrētāji darbojas pēc principa, ka pēc iekļūšanas uzņēmumu datorsistēmās (vai arī jebkura cilvēka datorā) kaitīgās programmas nemanāmi nokodē visus tajās esošos vai vismaz tām pieejamos failus. Turklāt tas attiecas ne tikai uz datu bāzēm, bet visām programmām, ieskaitot arī tās, kas veido informācijas rezerves kopijas. Kad šāda šifrēšana ir noslēgusies, dati uzņēmumu darbiniekiem kļūst nepieejami, bet monitoros parādās paziņojums ar prasību pārskaitīt konkrētu summu kriptovalūtā, visbiežāk Bitcoin, uz norādīto kontu. (Veidi, kā tiek pavēstīts par nepieciešamību maksāt izpirkuma naudu, protams, ir dažādi – paziņojums monitoros ir tikai viens no tiem.) Turklāt pastāv iespēja, ka pilnīga kontrole pār datiem izpirkuma maksu samaksājušajām kompānijām tā arī netiek atdota.
Izsekot, kas ir līdzekļu saņēmējs, būtībā ir neiespējami gan tādu kriptovalūtu kā Bitcoin darbības principu dēļ, gan tāpēc, ka kibernoziedznieki pēdu slēpšanai papildus izmanto īpašas programmas – dēvētas par mikseriem.
IT drošības speciālistu ziņojumi par šādām korporatīvās informācijas zādzībām un šifrēšanu, lai pieprasītu izpirkumu, daudzos, it īpaši specializētajos, plašsaziņas līdzekļos kuplā skaitā sāka parādīties jau pagājušā gada otrajā pusē. Tobrīd tika norādīts, ka šāds kriminālais bizness plašu izplatību guvis pēdējos divos gados (attiecīgi šobrīd runa jau ir par pēdējiem trim gadiem), ka hakeru grupas apvieno spēkus šādu uzbrukumu īstenošanai, tostarp veidojot arī partnerības programmas, un ka izpirkuma summas sniedzas jau vairākos desmitos miljonu ASV dolāru. Tuvāko gadu laikā arī tika prognozēts šādu uzbrukumu skaita pieaugums, piebilstot, ka tie aizvien biežāk tiks vērsti arī pret vidējo un pat mazo biznesu.
Vienu no pērn skaļākajiem kiberuzbrukumiem, kurā tika izmantots vīruss–šifrētājs, oktobra sākumā piedzīvoja Vācijas lielākā IT kompānija Software AG. Hakeru grupējumam The Clop, kurš specializējas tieši datu šifrēšanā ar mērķi saņemt izpirkuma maksas, izdevās piekļūt visiem Software AG datiem, nošifrēt tos un padarīt kompānijas darbiniekiem nepieejamus. Rezultātā apstājās ne tikai Software AG biroju (kopumā pieci tūkstoši strādājošo) darbs, bet nācās apturēt arī visu klientu apkalpošanu. Jāpiebilst, ka Software AG klientu vidū ir ne tikai liels skaits dažādu valsts iestāžu, bet arī bankas, apdrošināšanas kompānijas, transporta uzņēmumi, mazumtirdzniecības tīkli u. c. Lai saprastu problēmas mērogus, pietiek tikai ar trim Software AG lielo klientu vārdiem: Airbus, Lufthansa un DHL.
Hakeri par pieejas datu atdošanu pieprasīja tobrīd lielāko zināmo izpirkuma maksu – 23 miljonus ASV dolāru. Protams, kriptovalūtās. Kad panākt vienošanos neizdevās, grupējums sāka tā saucamajā darknetā izvietot dažādu informāciju, kuras publiskošana Software AG vadībai un darbiniekiem nekādu prieku nesagādāja. Apskatei tika izlikta slepena finanšu informācija, darbinieku dienesta sarakste, viņu personiskie dati, ieskaitot pasu kopijas, u. c. Un, lai arī Vācijas uzņēmums spēja samērā ātri atjaunot darbu, kiberuzbrukums nodarīja jūtamu kaitējumu Software AG prestižam un arī ieņēmumiem. Kādi bija precīzie Vācijas IT uzņēmuma zaudējumu apmēri, nav zināms, tomēr cita IT kompānija, kas pagājušajā gadā piedzīvoja līdzīgu uzbrukumu, Cognizant, savus zaudējumus lēsa 50–70 miljonu ASV dolāru apmērā. (Šajā summā kompānija ieskaitīja arī laiku, kad tā nespēja pildīt savas saistības, izdevumus par darbības atjaunošanu, izmeklēšanu, atklāto drošības problēmu novēršanu u. c.)
Cita plaši zināma kompānija, kas pērn piedzīvoja vīrusa–šifrētāja kiberuzbrukumu, bija amerikāņu Garmin – uzņēmums, kas specializējas GPS iekārtu ražošanā un risinājumos, kuros tiek izmantots GPS. Uzbrukuma dēļ Garmin ne tikai uz laiku nevarēja piekļūt svarīgiem datiem, bet tika bloķēta arī ievērojamas daļas klientu iespēja tiešsaistē pieslēgties uzņēmuma datu bāzēm un attiecīgi lietot tā produktus. Garmin risinājumi tiek izmantoti ne tikai transporta sistēmās, bet arī militārām vajadzībām, un tas arī izskaidro, kādēļ uzņēmums bija gatavs samaksāt izspiedēju prasītos 10 miljonus ASV dolāru. (Jāpiebilst gan arī, ka konkrētajai kompānijai tā nav īpaši liela summa.)
Taču visplašāko rezonansi šāda veida kiberuzbrukums izraisīja šā gada aprīlī, kad hakeru grupējums REvil paziņoja par vīrusa–šifrētāja izmantošanu pret Taivānas kompāniju Quanta Computer, kas ir viens no Apple apakšuzņēmējiem. Turklāt hakeri šantažēja nevis Taivānas uzņēmumu, bet tieši Apple, solot publiskot kādas kompānijas jaunās ierīces rasējumus, ja viņiem desmit dienu laikā netiks samaksāti 50 miljoni ASV dolāru. REvil noteiktais termiņš beidzās 1. maijā, tomēr jau 27. aprīlī grupējums izdzēsa visus ar šo tēmu saistītos paziņojumus. Tā arī nav skaidrs, vai tika panākta vienošanās par izpirkuma maksu, grupējums izlēma, ka notikušais piesaista tam pārāk daudz nevēlamas uzmanības, vai paziņojumi tika izdzēsti vēl kāda cita iemesla dēļ. Taču neilgi pēc tam visa uzmanība pievērsās kaislībām ap Colonial Pipeline, un šajā gadījumā tik skaļu rezonansi uzbrukums izraisīja tāpēc, ka tam bija arī politisks zemteksts.
Pieaugums par 40% gadā
Iepriekš minētie, protams, ir tikai paši skaļākie un lielāko uzmanību piesaistījušie gadījumi, kad hakeri, izmantojot vīrusu–šifrētāju, uzbrūk plaši zināmām kompānijām. Visu šāda veida kiberuzbrukumu skaits ir nesalīdzināmi lielāks, un visbiežāk publiskajā telpā nekāda informācija par tiem tā arī neparādās. Atbilstoši datorkriminālistikas laboratorijas Group-IB datiem 2019. gadā vīrusu–šifrētāju kiberuzbrukumu skaits uzņēmumu datorsistēmām pasaulē kopumā palielinājās par 40%, bet vidējā izpirkuma maksa, kas tika pieprasīta pēc šādiem uzbrukumiem, gada laikā pieauga no 6 līdz 84 tūkstošiem ASV dolāru. Savukārt kompānijas Positive Technologies dati liecina, ka 2019. gadā vīrusi–šifrētāji veidoja 34% visu uzbrukumu juridisko personu (uzņēmumu) datorsistēmām un 9% – privātajiem datoriem. Saskaņā ar šiem datiem vīrusi–šifrētāji arī bija pats izplatītākais kiberuzbrukumu veids uzņēmumiem, apsteidzot spiegošanas programmas (32%) un programmas attālinātas vadības pārņemšanai. Par 2020. gadu abas šīs kompānijas aplēses vēl nav sniegušas, tomēr dažādu citu datordrošības kompāniju paziņojumi liecina, ka pērn vīrusu–šifrētāju izplatība un arī pieprasītās izpirkuma maksas turpināja pieaugt apmēram tādos pašos ātrumos.
Tā, pēc dažām aplēsēm, vīrusu–šifrētāju uzbrukumi rūpniecības un infrastruktūras uzņēmumiem, tajā skaitā arī medicīnas iestādēm un kompānijām, kas iesaistītas Covid-19 vakcīnu ražošanā, pārsniedza 50% no visiem pret šādiem uzņēmumiem veiktajiem kiberuzbrukumiem. Jāpiebilst, konkrētā datornoziedzības virziena attīstību veicināja arī Covid-19 pandēmijas izraisītā daudzu pakalpojumu un biznesu pāriešana uz virtuālo vidi, kam liela daļa kompāniju no datordrošības viedokļa nebija pilnībā gatavas, un to datorsistēmās netrūka vājo vietu. Te gan arī jāatzīst, ka gatavība atvairīt kiberuzbrukumus ir ļoti daudzu uzņēmumu vājā vieta – kompānijas Varonis speciālisti, piemēram, uzskata, ka pilnībā gatavi visu iespējamo kiberuzbrukumu novēršanai ir ne vairāk par 5% uzņēmumu, turklāt jāņem vērā, ka arī šī gatavība ir nosacīta, jo deviņos gadījumos no desmit kaitīgajām programmām izdodas iekļūt datorsistēmās, pateicoties tā saucamajam cilvēka faktoram.
Kā norāda specializētie izdevumi, vīrusu programmas arī kļūst aizvien sarežģītākas un grūtāk atklājamas, tāpat ievērojamu evolūciju ir piedzīvojusi hakeru darbība. Tā 2019. gada nogalē viena šāda vīrusa, proti, Maze, izmantotāscanpixji ieviesa jaunu praksi – sāka publicēt īpaši izveidotās interneta vietnēs konfidenciālu un kompromitējošu informāciju par uzņēmumiem, kuri atteikušies maksāt izpirkuma maksu. Šo ideju savā "bruņojumā" nekavējoties pārņēma daudzas citas hakeru grupas, bet paši attapīgākie kibernoziedznieki sāka pieprasīt no kompānijām vēl arī papildu maksu par šādas informācijas nepubliskošanu vai tās izdzēšanu no savām vietnēm un serveriem.
Katrs ar savu "ētiku"
Vēl viena tendence, kas gūst aizvien plašāku izplatību, – hakeru grupējumi vairs necenšas darboties dziļā slepenībā, bet gan publisko internetā informāciju par savu darbību un principiem.
Tā šā gada februāra beigās populārais informācijas tehnoloģiju portāls Gizmondo vēstīja par grupējumu Big Game Hunter (nosaukums šajā gadījumā tulkojams apmēram kā "lielās naudas mednieks"), kas nodarbojas tieši ar kiberuzbrukumiem lieliem uzņēmumiem, izmantojot vīrusu–šifrētāju Babuk Locker. Tas izveidojis interneta vietni, kurā, protams, pilnībā anonīmi, publisko šādas ziņas. Tā, piemēram, Big Game Hunter norāda, ka neveic kiberuzbrukumus tāda veida biznesam, kura gada ienākumi ir mazāki par četriem miljoniem ASV dolāru, mācību iestādēm, izņemot "elitāras" skolas un augstskolas, veselības aprūpes iestādēm, ja vien tās nav privātas plastiskās ķirurģijas vai stomatoloģijas klīnikas, un labdarības iestādēm, ja vien tās neatbalsta LGBT kustību un Black Lives Matter. Paši sevi grupējuma biedri dēvē par cilvēkiem, kuri uztraucas par datorsistēmu drošību un par zināmu atlīdzību veic to "auditu".
Ne tik izvērsti, taču par sevi labprāt vēsta arī daudzi citi grupējumi, tostarp informāciju publiskoja arī Colonial Pipeline darbību apturējušais DarkSide. Tas vispirms atvainojās kompānijai par tās darbības apturēšanu – tāda nodoma neesot bijis, vienīgais mērķis esot bijis nopelnīt –, bet pēc tam informēja par savu aktivitāšu pārtraukšanu un pašizformēšanos.
Neskaidrā hierarhija
Datordrošības kompānija Kaspersky Lab nesen publiskoja plašu pētījumu par to, kāda ir kibernoziedznieku savstarpējā hierarhija, kā tiek dalīti pienākumi un peļņa no veiksmīgiem kiberuzbrukumiem u. c. Pētījums bija balstīts uz divu grupējumu – REvil un Babuk – paziņojumu, sludinājumu un citas informācijas analīzi jau pieminētajā darknetā, un tā gaitā secināts, kakibernoziedzniekus, kuri stāv aiz vīrusu–šifrētāju uzbrukumiem, iespējams sadalīt četrās grupās.
Pirmā no tām ir programmu jeb vīrusu izstrādātāji, kuri turklāt nodrošina arī pārējos kiberuzbrukumam nepieciešamos apstākļus, tostarp arī platformu sarunu risināšanai ar uzbrukumu upuriem. Izstrādātāji vai nu pārdod savus "instrumentus" operatoriem, citainoziedznieku grupai, vai arī piedāvā tos iznomāt apmaiņā pret noteiktu procentu no peļņas.
Otru kibernoziedznieku grupu analītiķi dēvē par botmeistariem. Ar šo apzīmējumu tiek saprasti speciālisti, kuriem ir pieeja lieliem ar kaitīgajām programmām inficētu visdažādāko iekārtu tīkliem un kuru datu bāzēs operatori var atrast ziņas par iekārtām, ko potenciāli iespējams izmantot iekļūšanai kompānijas–upura datorsistēmu "iekšējā perimetrā".
Trešā kategorija savukārt nodēvēta par piekļuves tirgotājiem. Atšķirībā no botmeistariem tie ir kibernoziedznieki, kas specializējas tieši uz meklējumiem, kā iekļūt dažādos datortīklos, šādu iespēju iegūšanu un pēc tam tālāku to pārdošanu. Jau pieminētie operatori savukārt ir tā grupa, kas tieši nodarbojas ar kiberuzbrukuma veikšanu.
Apskatā arī norādīts, ka sludinājumi par speciālistu rekrutēšanu uzbrukuma veikšanai regulāri parādās dažādos pagrīdes forumos un tajos bieži jau sākotnēji tiek norādītas arī atlīdzības summas. Pēdējās tiek izteiktas ASV dolāros, bet norēķini veikti tikai kriptovalūtās. Summas, jāpiebilst, ne tuvu nav astronomiskas. Kā vīrusu programmu paraugu vai izejas kodu cena minēta 300–4000 dolāru robežās, bet to "īre" variē no 120 līdz 1900 dolāriem gadā.
Citas datordrošības kompānijas tikmēr zīmē atšķirīgu noziedzīgo lomu sadalījumu, piemēram, uzskatot, ka kaitīgo programmu izstrādātāji vienlaikus ir arī operatori, bet visi pārējie – tikai piesaistītie speciālisti. Tāpat bieži tiek atsevišķi izdalīti kibernoziedzības "finanšu speciālisti". Dažādi ir aprakstīts arī ienākumu sadalījums, tostarp operatoru daļa tiek lēsta 10–40% no "peļņas".
Eksperti paši arī atzīst, ka stipri dažādie priekšstati par kibernoziedzības pasaulē notiekošo liecina galvenokārt par to, ka tā ir ļoti plaša un daudzveidīga un ka kibernoziegumus (atšķirībā no 2000. gadiem) vairs neveic kādas mazskaitlīgas kopienas, bet gan konkrētam mērķim uz laiku apvienojušies lietpratēji. Tieši tāpat notiek arī kaitīgo programmu izstrāde, un šāda darba dalīšana padara kibernoziedzības novēršanu un pagrīdes speciālistu atrašanu par ārkārtīgi grūtu uzdevumu. Turklāt šīs iespējas vēl vairāk saasina starpvalstu nesaskaņas un varas iestāžu niecīgā interese par kibernoziedzniekiem, kas cenšas nepārkāpt savu mītnes zemju likumus. Un, kamēr netiks panāktas atbilstošas starptautiskās vienošanās par kopīgu cīņu pret kibernoziedzību, turpināsies arī vērienīgi vīrusu–šifrētāju (un, protams, arī dažādu citu kaitīgo programmu) uzbrukumi. Datordrošības kompānijas arī, protams, nesnauž un piedāvā atbilstošu aizsardzību, tomēr ar to acīmredzami vēl ilgi būs par maz