Сајбер криминал: Како су хакери изнудили милион долара од Калифорнијског универзитета у Сан Франциску

Водећа институција за медицинска истраживања која ради на леку за Ковид-19 признала је да је платила хакерима 1,14 милиона долара откупнине после тајних преговора којима је присуствовао ББЦ Њуз.

Криминална банда Нетвокер напала је Калифорнијски универзитет у Сан Франциску (УЦСФ) 1. јуна.

ИТ особље искључило је компјутере у трци да спречи ширење малвера.

А анонимна дојава омогућила је ББЦ-ју да прати преговоре за откупнину у чету уживо на дарк вебу.

Експерти за сајбер-безбедност кажу да се ова врста преговара тренутно дешава свуда у свету - понекад чак и за веће суме - а противно савету агенција за одржавање реда и закона, укључујући ФБИ, Еуропол и британски Национални центар за сајбер безбедност.

Само Нетвокер повезан је са најмање два друга „ренсомвер" напада на универзитете у последња два месеца.

На први поглед, његова интернет страница на дарк вебу изгледа као стандардни сајт за пружање услуга муштеријама, са све одељком за често постављана питања и понудом „бесплатног" узорка његовог софтвера и опције за четовање уживо.

Али ту је и бројач који одбројава до времена када хакери или удвостручују цену постављене откупнине или бришу податке до којих су дошли преко малвера.

Након упутства да се улогује - или преко мејла или преко поруке остављене на хакованим компјутерским екранима - Универзитет је наишао на следећу поруку, постављену 5. јуна.

[ОПЕРАТЕР]: „Ћао, УЦСФ, немојте да се стидите, можемо да радимо заједно на актуелном инциденту."

Шест сати касније, универзитет је тражио још времена и да се детаљи о хаковању уклоне са Нетвокеровог јавног блога.

[ОПЕРАТЕР]: „Урађено. Ваши подаци су скривени са блога. Сада, ајде да причамо."

Истакавши да УЦСФ зарађује милијарде долара годишње, хакери су тражили три милиона.

Али представник УЦСФ-а, који је могао да буде спољни специјалиста за преговарање, објаснио је да је пандемија корона вируса била „финансијски погубна" по универзитет и молио их да прихвате 780.000 долара.

[ОПЕРАТЕР]: „Како можемо да прихватимо 780,000? То би било као да сам радио ни за шта. Можете да сакупите новац за неколико сати. Морате ово да схватите озбиљно. Уколико пустимо наш блог, студентске досијее/податке, 100 посто сам сигуран да ћете изгубити више од цене коју смо тражили. Можемо да се договоримо око цене, али не овако, зато што ћу ово схватити као увреду."

[ОПЕРАТЕР]: „Задржите тих 780.000 долара да купите храну из Мека за своје запослене. То је веома мала сума за нас."

Након једног дана пинг-понг преговарања, УЦСФ је саопштио да је сакупио сав доступан новац и да може да плати 1,02 милиона долара - али су криминалци одбили да пристану на било шта испод 1,5 милиона.

[ОПЕРАТЕР]: „Причао сам са шефом. Послао сам му све поруке и он не може да разуме како то не може да сакупи новац један универзитет као ваш, који зарађује 4-5 милијарди годишње. Стварно је тешко разумети и схватити да можете да сакупите само 1,020,895. Али у реду. Стварно мислим да ваш књиговођа/катедре могу да сакупе још 500.000 долара. Прихватићемо, дакле, 1,5 милиона и сви ће спавати мирно."

Неколико сати касније, универзитет је изложио детаље како је набавио још новца и дао коначну понуду од 1.140,895 долара.

[ОПЕРАТЕР]: „У реду, добро. Сада можете мирно да спавате :D"

И наредног дана, 116,4 биткоина пребачено је у Нетвокеров електронски новчаник, а софтвер за декрипцију послат је УЦСФ-у.

УСЦФ сада помаже ФБИ-ју у истрази, истовремено радећи на повраћају свих својих погођених система.

Са универзитета су за ББЦ Њуз изјавио: „Подаци који су енкриптовани важни су за неке од академских радова које спроводимо на универзитету зарад јавног добра."

„Стога смо донели тешку одлуку да платимо део првобитне откупнине, око 1,14 милиона, појединцима који стоји иза овог напада малвером у замену за алат за откључавање енкриптованих података и повратак података до којих су дошли."

„Било би погрешно претпоставити да су све изјаве и тврдње изнесене током преговора чињенично тачне."

Али Јан Оп Ген Урт, из Еуропола, који води пројекат по имену „Нема више откупнина", каже: „Жртве не треба да плаћају откупнине, јер то финансира криминалце и подстиче их да наставе са илегалним радњама."

„Уместо тога, треба то да пријаве полицији како би снаге реда и закон могле да растуре криминално удружење."

Брет Калоу, аналитичар претњи при компанији за сајбер-безбедност Емсисофт, каже: „Организације у оваквој ситуацији немају добар избор."

„Чак и ако плате оно што се тражи, добиће само часну реч да ће украдени подаци бити избрисани."

„Али зашто би немилосрдна криминална организација обрисала податке које би могла још да уновчи у неком каснијем периоду?"

Већина напада преко рансомвера почиње зараженим мејлом и истраживање сугерише да криминалне банде све више користе алатке које могу да продру у систем преко само једног преузимања. У првој недељи само прошлог месеца, аналитичари сајбер-безбедности Пруфпоинта кажу да су видели више од милион мејлова који користе разна намамљивања за преузимање идентитета, укључујући лажне резултате теста на Ковид-19, послатих организацијама у САД, Француској, Немачкој, Грчкој и Италији.

Организације се саветују да редовно бекапују податке офлајн.

Али Рајан Калембер из Пруфпоинта каже: „Универзитети умеју да буду тешка окружења за обезбеђивање ИТ администратора."

„Студентска популација која се стално мења, у комбинацији са културом отворености и дељења информација, може да се дође у сукоб са прописима и контролама често неопходним да се ефикасно заштите корисници и системи од напада."

Пратите нас на Фејсбуку и Твитеру. Ако имате предлог теме за нас, јавите се на [email protected]