Pentru că, în ultima perioadă am primit mai multe sesizări cu privire la atacurile cibernetice, iar utilizatorii vin la noi să ne întrebe dacă există anumite trucuri prin care să îşi poată recupera documentele criptate, l-am contactat pe Augustin Jianu, director general CERT-RO, pentru a ne răspunde la o serie de întrebări.
Rândurile ce urmează îi vizează în mod special pe cei care la un moment dat au fost victimele unui atac cibernetic, pentru a afla de ce trebuie să ţină cont şi care sunt măsurile de precauţie pe care trebuie să le ia. De asemenea, de aici puteţi afla cum se pot manifesta aceste atacuri cibernetice şi dacă există vreo modalitate prin care, dacă aţi ajuns victimele atacurilor cibernetice, să vă puteţi recupera documentele.
Hackerii îţi solicită anumite sume de bani pentru recuperarea documentelor criptate, iar ultimul caz întâlnit de noi ar fi presupus o sumă de 200 de euro. Mai jos regăsiţi recomandările specialiştilor pentru cei care se află în astfel de situaţii, dar şi câte tipuri de programe ransomware sunt pe piaţă şi care ar putea fi tipul de program cu care un dispozitiv a fost infectat.
Pentru că mulţi utilizatori afectaţi de aceste tipuri de atacuri se adresează Poliţiei Române atunci când documentele le sunt criptate, din rândurile ce urmează veţi afla căror organe ale statului trebuie să vă adresaţi pentru a găsi remedii la astfel de probleme.
CERT-RO a publicat săptămâna trecută un ghid referitor la ransomware, ce poate fi regăsit aici. Documentul conține mai multe recomandări atât pentru prevenție, cât și pentru modul în care trebuie adresat ransomware-ul (componenta reactivă).
Din păcate, nu există o metodă universal valabilă pentru prevenirea infectării deoarece există mai multe tipuri de astfel de malware, fiecare conceput pentru diferite platforme și sisteme de operare, a precizat pentru Noobz.ro Augustin Jianu, director general CERT-RO.
Exista mai multe tipuri de ransomware, și nu numai numele diferă ci și funcționalitatea acestora:
a) ransomware care încearcă să blocheze browserul și afișează o imagine care solicită plata unei amenzi închipuite (funcționează atât pe Windows sau Linux cât și pe terminale mobile) – ex: Reveton
b) ransomware care criptează datele de pe harddisk și orice alt tip de memorie (stick-uri sau foldere partajate în rețea) precum: CTB Locker, Locky, Tesla Crypt, Crypto Wall(versiuunile 1.0, 2.0, 3.0), Crypto Locker, etc. (detalii aici)
c) ransomware pentru sistemul de operare Linux (ex: Linux Encoder)
d) ransomware pentru telefoane mobile (Android și iOS). Detalii aici.
e) ransomware pentru site-uri web (criptează conținutul site-urilor vulnerabile și solicită bani pentru decriptare). Detalii aici.
Primul ransomware din secolul 21 a apărut în octombrie 2013 și s-a numit Crypto Locker. Acesta a avut un „succes” enorm în rândul infractorilor, deoarece puteau obține bani în mod direct de la victimele lor. Pentru a fi siguri că nu vor fi prinși, infractorii solicitau ca sumele sa fie convertite de către victime în cripto-monedă electronică (BitCoin, LiteCoin etc.), deoarece aceasta asigură anonimitatea online și face extrem de dificilă depistarea prin intermediul circuitelor financiare. Cu alte cuvinte, expresia „follow the money” nu mai este aplicabilă.
Ransomware-ul s-a dezvoltat ca o alternativă la o industrie a criminalității cibernetice care era deja saturată cu mai multe variante de botnet, specializat în furtul de date bancare pentru Internet Banking. Existau și computere infectate care nu dețineau date financiare sau bancare, și atunci acestea erau utilizate fie pentru a lansa atacuri spre alte ținte, fie pentru a rula variante de software specializat în minarea de BitCoin sau alte monede electronice.
După apariția ransomware-ului, computerele cu date neinteresante pentru un infractor (ex: fotografii personale, documente personale, date referitoare la diferite activități, lucrări de disertație sau doctorat etc.), au devenit importante, pentru că acestea sunt de interes pentru utilizator.
Uneori datele sunt atât de vitale pentru activitatea unei persoane, încât acesta acceptă să plătească o suma de bani pentru a le recupera. Bineînțeles, pentru ca acest sistem să funcționeze, infractorii trebuie să dovedească faptul că sunt „onești” și că vor decripta datele după primirea banilor. Din acest motiv, o parte dintre infractori au improvizat servicii de tip „suport”, similar unei companii care derulează afaceri legitime. Aceasta abordare, a revigorat industria criminalității informatice și a adus venituri semnificative infractorilor.
Recomandarea specialiştilor CERT-RO este ca utilizatorii să nu plătească infractorilor sumele cerute, deoarece acești bani contribuie la proliferarea criminalității cibernetice și încurajează infractorii să continue acest tip de activitate.
Sigura metodă prin care se pot preveni consecințele unei astfel de pagube este realizarea de backup periodic. Atenție însă, este foarte important că backup-ul să fie realizat pe un mediu extern, separabil fizic de calculator și de rețea. În cazul backup-ului pe un harddisk conectat la rețea, exista posibilitatea ca și acest mediul de stocare să fie compromis.
Referitor la instituții publice care au fost infectate cu ransomware, putem afirma că există astfel de cazuri, dar multe dintre acestea nu raportează incidentele către CERT-RO, iar cele care o fac solicită ca aceste informații să nu fie făcute publice. CERT-RO are obligația conform HG 494/2011 să disemineze rezultatele investigațiilor incidentelor de securitate cibernetică, numai cu respectarea prevederilor acordurilor de cooperare încheiate cu partenerii.
În ceea ce privește un loc specializat în care utilizatorii să poată veni cu echipamentul pentru a obține un diagnostic și o soluție, precizăm că parțial această activitate este derulată de către CERT-RO.
Astfel, specialiștii CERT-RO acordă asistență (la distanță) persoanelor fizice, în limita resurselor disponibile. CERT-RO intenționează să extindă aceste capacitați, tocmai pentru că orice utilizator din Romania să poată semnala către CERT-RO incidentele de securitate, iar în măsura în care există o soluție, să le oferă sprijinul necesar.
Alte organe ale statului, precum Poliția Română, au alte atribuții, respectiv acelea de a realiza identificarea și urmărirea penală a infractorilor, inclusiv a celor specializați în infracțiuni cibernetice. În acest sens, Poliția a dezvoltat o structura proprie care să se ocupe de aceste aspecte.
Din nefericire, mulți dintre acești infractori sunt originari din țări a căror legislație este destul de permisivă și care evită să extrădeze persoane. Din acest motiv, activitatea Poliției Române, oricât de profesionist ar fi realizată, nu poate să producă efecte imediate asupra cetățenilor altor țări.
De asemenea, această problemă a lipsei granițelor și jurisdicției din spațiul cibernetic are drept consecință nedorită situația în care nu se pot identifica sau pune sub acuzare infractorii ce utilizează astfel de mecanisme.
În ceea ce privește costurile anuale pe care le suporta instituțiile, directorul general CERT-RO, Augustin Jianu, a declarat că nu există un buget alocat special pentru securitate cibernetică, iar CERT-RO nu face parte din circuitul de decizie în aceste privințe.