Programinė įranga ir infrastruktūra ransomware kibernetinėms atakoms vykdyti – tamsiajame internete ant prekystalio

2023 - 04 - 18
Straipsnio autorius: Prof. dr. Rimantas Simaitis, Arnas Trukšnys

Kibernetinio saugumo specialistai skaičiuoja, kad per pastaruosius metus kibernetinių incidentų skaičius pasaulyje padidėjo 40 proc. Šalia kitų incidentų, sparčiai daugėja ir itin sunkiai tiriamų vadinamųjų ransomware atakų, kai užšifruojami ar tiesiog pavagiami įmonės duomenys ir reikalaujama išpirkos. Susidūrus su tokiu reikalavimu geriausia išeitis nepasiduoti reketui ir pinigų nemokėti, mat už tai įmonė gali būti ir nubausta, sako teisininkai.

Ekspertai įžvelgia įvairių ransomware atakų, kai užšifruojami įmonės duomenys ir reikalaujama išpirkos, dažnėjimo priežasčių. Štai, pavyzdžiui, pastebima, kad įvairių šalių teisėsaugos pareigūnams 2021 m. suskaldžius dideles programišių grupuotes „Revil“ ir „Darkside“, kibernetiniai nusikaltėliai pernai vėl susibūrė į mažesnes grupes ir ėmė vykdyti daugiau mažesnių atakų. Be to, dėl aktyvios paramos Ukrainai į Lietuvą ir kitas panašų požiūrį demonstruojančias Vakarų šalis dažniau taikosi Rusijos remiami programišiai.

Tačiau Giedrius Meškauskas, debesų kompiuterijos bendrovės „TeraSky“ kibernetinio saugumo ekspertas, sako, kad pagrindinė ransomware populiarumo sprogimo priežastis pastaraisiais metais yra programinės įrangos ir infrastruktūros, skirtos vykdyti ransomware atakas, komercializavimas.

„Tamsiajame internete labai išpopuliarėjo ransomware as a service. Anksčiau visi kurdavo savo programinę įrangą ir patys užsiimdavo atakų vykdymu. Šiandien atakų organizatoriai net neprivalo mokėti programuoti. Viską, tiek pačią kenkėjišką programinę įrangą, tiek infrastruktūrą, galima nusipirkti kaip paslaugą. Už tai šių paslaugų kūrėjai dažniausiai prašo nuo 10 iki 30 proc. išpirkos“ – pasakoja ekspertas.

Šiuos teiginius patvirtina ir kibernetinio saugumo bendrovės „Fortinet“ skelbiami duomenys. Anot bendrovės, vien pernai per pirmąjį pusmetį panaudota daugiau nei 10.000 skirtingų ransomware atakų programų.

Išpirka tik padrąsina nusikaltėlius

Tadas Dvarvytis, IT kompanijos „Atea“ Informacinės saugos grupės vadovas sako, kad svarbiausia apsaugoti IT infrastruktūrą bei apmokyti darbuotojus ir nemokėti išpirkos.

„Norint apsaugoti IT infrastruktūrą naudokite naujos kartos ugniasienes, laiku atnaujinkite programinę įrangą įskaitant antivirusinę. Apsaugokite elektroninį paštą, naudokite spam filtrus ir turinio analizę, ypač jei laiškai iš išorės. Šifruokite duomenis, darykite jų atsargines kopijas atskirtose laikmenose ar debesijoje. Valdykite prieigas, nepamirškite privilegijuotų naudotojų.

Būtinas darbuotojų mokymas. Darbuotojai privalo žinoti kas yra saugūs slaptažodžiai, kaip elgtis su elektroniniu paštu ir kokios rizikos egzistuoja internete. Užtikrinkite, kad naudojami saugūs ryšio kanalai, naudokite VPN.

Reikia turėti ir aiškų incidentų valdymo planą, kuris sukurtas ir ištestuotas iš anksto“, – vardija „Atea“ specialistas.“

Nemokėti išpirkos rekomenduoja ir dr. Rimantas Simaitis, advokatų kontoros COBALT partneris ir Ginčų sprendimo departamento vadovas.

Anot jo, Lietuvoje išpirkos mokėjimas savaime nėra neteisėtas veiksmas. Tačiau išpirkos reikalaujantys nusikaltėliai gali būti susiję su teroristinėmis organizacijomis ar asmenimis, kuriems taikomos sankcijos. Tokiu atveju išpirkos mokėjimas gali sukelti įtarimų priežiūros institucijoms ir užtraukti atsakomybę mokėtojui (įmonei ir/arba vadovui) pagal Pinigų plovimo ir teroristų finansavimo prevencijos įstatymą.

„Prasidėjus karui buvo gerokai išplėstas sankcionuotų asmenų sąrašas, tad rizika yra nemaža. Be to, išpirkos mokėjimas negarantuoja, kad atgausite užšifruotą informaciją ir yra signalas nusikaltėliams, kad įmonė pinigų turi bei yra linkusi juos atiduoti. Trečia, išpirkos sumokėjimas skatina nusikaltėlius neapleisti tokio veiklos modelio ir toliau šantažuoti įmones“, – įspėja COBALT ginčų sprendimo ekspertas.

Be to, jei programišiai sunaikintų arba paviešintų duomenis, įmonė gali sulaukti kaltinimų pažeidus Bendrąjį duomenų apsaugos reglamentą (BDAR) ir sulaukti reikalavimų atlyginti žalą.

Apsunkintas bendradarbiavimas

Jis priduria, kad išpirkos reikalavimas, kitaip nei mokėjimas, yra neteisėtas veiksmas. Todėl su tuo susidūrusi įmonė turėtų nedelsdama kreiptis į teisėsaugos institucijas.

Dr. R. Simaitis teigia, kad ransomware atakų tyrimai dažnai būna ilgi ir sunkūs, nes programišiai paprastai veikia iš sunkiai pasiekiamų jurisdikcijų, su kuriomis Lietuvos pareigūnai ir diplomatai nepalaiko glaudžių ryšių. Arba, naudodami „Tor“ tinko ir VPN kombinaciją bei užgrobtus niekuo dėtų įmonių serverius, apsimeta, kad yra tose sunkiai pasiekiamose šalyse. Kad ir kaip būtų, pats pareiškimo pateikimo faktas yra geras reputacinis žingsnis, rodantis, jog nukentėjusi bendrovė neketina nieko slėpti ir nori problemą spręsti teisėtomis priemonėmis.

„Be to, Lietuvoje turime specialų kriminalinės policijos padalinį, kuris pagal Budapešto konvenciją (konvencija dėl el. nusikaltimų) laikomas informacijos apsikeitimo centru. Šis padalinys gali kreiptis į didžiąsias technologijų bendroves ir kitų šalių kompetentingas institucijas, įskaitant policiją. Pirminei informacijai gauti tokiu būdu nereikalingas net teisinės pagalbos prašymas, kurio procedūra yra gana ilga ir sudėtinga“, – sako COBALT partneris.

Užfiksavus incidentą svarbu greitai reaguoti

Arnas Trukšnys, asocijuotas COBALT teisininkas Prevencijos ir baudžiamosios teisės grupėje, papildo, kad už skirtingas kenkėjiškas veikas numatyta skirtinga atsakomybė. Tad vos įvykus incidentui reikėtų nedelsiant informuoti savo IT ir teisės specialistus, kad jie įvertintų padėtį ir padėtų suformuluoti kokybišką pareiškimą policijai, prokuratūrai arba imtųsi kitų teisinių gynybos priemonių. IT specialistas turėtų surašyti visus žinomus faktus apie ataką, o teisininkas – tinkamai sudėlioti pareiškimo turinį ir teisinius akcentus.

Bendrai ransomware atakos klasifikuojamos kaip turto prievartavimas, tačiau neretai asmenys nukenčia ir nuo sukčiavimų elektroninėje erdvėje. . Be to, Baudžiamajame kodekse numatyti ir atskiri straipsniai, sukurti specialiai kibernetiniams nusikaltimams. Dažniausiai pasitaikantys yra: neteisėtas poveikis el. duomenims (kai pakeičiami ar ištrinami duomenys), neteisėtas poveikis informacinei sistemai (pvz., DDOS atakos), neteisėtas el. duomenų perėmimas ir panaudojimas, neteisėtas prisijungimas prie informacinės sistemos ir neteisėtas disponavimas įrenginiais, slaptažodžiais, kodais bei kt. duomenimis.

„Svarbiausia – nepanikuoti, kuo anksčiau įtraukti reikiamus specialistus – IT ir teisininkus. Į policiją ar prokuratūrą su pareiškimu galima kreiptis ir el. būdu, pasirašius e. parašu. Tai geriausia padaryti vos tik aptikus incidentą, išanalizavus pirminius informacinių sistemų duomenis. Geroji žinia – jog vis daugiau įmonių taip ir daro. Nors daugėja ransomware atvejų, daugėja ir besikreipiančiųjų pagalbos į policiją, Nacionalinį kibernetinio saugumo centrą (NKSC), Valstybinę duomenų apsaugos inspekciją (VDAI) ir kitas įstaigas bei išorės konsultantus“, – reziumuoja A. Trukšnys.

Dr. R. Simaitis priduria, kad susidūrus su kibernetine ataka reikia nedelsiant imtis ir kitų techninių, teisinių ir organizacinių veiksmų ją sustabdyti bei mažinti žalą ir jos mastą. Tai gali būti reikšminga valdant rizikas, kylančias dėl asmens ar kitų jautrių duomenų praradimo, civilinės ar administracinės atsakomybės taikymo bei kitų teisinių aspektų, susijusių su duomenų praradimu ir galimu jų neteisėtu paviešinimu ar panaudojimu.