Sajber Bezbednost

Hakerski napad na domaću firmu virusom Ransomware – prvi deo

 

Poslednjih meseci smo u više navrata gledali na vestima ili pročitali u novinama da su hakerski napadi sve učestaliji u svetu. To sve izgleda daleko od nas, ali ni Srbija nije imuna na sajber kriminal.
Ovaj post smo posvetili pre svega pravnim licima, ali i fizičkim, odnosno svima onima koji imaju veoma važne podatke na računarima ili serverima.
U prvom postu, od dva, ćemo govoriti o relanom sajber napadu na preduzeće u Beogradu.

Svi smo čuli manje više za razne računarske viruse i kako se oni pojavljuju i kakvu štetu mogu da proizvedu. Međutim, u moru raznih virusa, izdvaja se jedan koji je do sada najuspešniji u svom poslu i koji je noćna mora svih ljudi koji se bave Informacionim Tehnologijama.
Nažalost, ovaj virus će postati i noćna mora svih ostalih ljudi iz bilo koje oblasti, ne samo IT-a. Da vidimo po čemu je poseban i koji je to virus.

Taj virus se zove Ransomware (Ransomver u daljem tekstu)

Odlučili smo da posvetimo dva posta ovom virusu, odnosno ovoj vrsti hakerskih napada.

Kao što smo rekli na početku ovaj tekst je pre svega posvećen preduzećima, ali verujemo da će značiti i pojedincima koji žele da im podaci na računaru budu sigurni. Zato pročitajte s pažnjom, jer ćete tako zaštiti sebe i svoju imovinu.

Šta je ransomver ?

Ransomver je vrsta malicioznog softvera koji pripada grupi melver virusa.

Ransomver sprečava korisnika da pristupi svom sistemu ili sistemskim fajlovima, kao i hard disku, serveru, pa čak i monitoru. Dakle, virus koji jednostavno zaključava sve. Ključ za dešifrovanje se nalazi kod napadača, koji za njega traži određenu svotu novca.

Postoji više vrsta ransomver virusa  i svi pripadaju grupi Crypto-ransomver kategoriji.
Šta to znači…
To znači da svi rade na istom principu i da za neke trenutno postoje ključevi, dok za druge ne.
Takođe, neki se mogu detektovati, a drugi ne.
Najgori scenario je da se virus detektuje, ali da ne postoji ključ za njega, kao što je slučaj sa CryptoXXX verzijom 3.
Može da se detektuje, ali nema ključ, bar za sada.

Ovim tekstom želimo da skrenemo pažnju svima koji ne žele da im se ransomver desi.

Ransomver hakerski napad na domaću firmu

Danas smo imali priliku da budemo kontaktirani od strane jedne domaće firme koja je bila žrtva hakerskog napada ransomver virusom.
Tačnije, sinoć je napad izvršen.

Naime, firma se bavi poslom u kojem se ogroman broj podataka skladišti na serveru. Takođe, preduzeće u svakodnevnom poslu ima razmenu velikog broja emailova. Preduzeće ima nekoliko poslovnih jedinica širom Srbije.

Glavna poslovna jedinica se nalazi u Beogradu.
U kancelariji imaju sedam računara, odnosno, šest i sedmi je server.
Na svim računarima su različiti operativni sistemi, odnosno na dva su Windows XP, a na ostalim Windows 7, s  tim što je server bio takođe na Win 7.

Ono što smo saznali u razgovoru s ljudima iz preduzeća je, da nisu bili zadovoljni radom servera. Tek treba da se ispita zašto.

Ovaj napad je mogao da se izvrši na dva načina.
Za drugi deo ove teme smo ostavili da vas obavestimo o načinu kako je urađen ransomver do detalja.
Prvi način je mogao da se uradi preko email naloga nekog od zaposlenih na ovih šest računara.
Dakle, neko je dobio mail, nije posumnjao šta se nalazi u njemu, kliknuo i …. gotovo! Ransomver je već bio na računaru, a kasnije i na serveru.

Drugi način je, bar za sada mislimo da je malo verovatan, hakerski napad na računarsku mrežu ove firme. Po onim informacijam koje su nam dostavili, više sumnjamo na email, nego na mrežu.
Kao što smo rekli, u drugom postu ćemo objaviti šta smo sve našli i kako je napad izvršen. Opisaćemo vam i detalje koji se tiču dubokog tesitranja (pen-testing) kao i skeniranja.

Šta se dešava kada ransomver zarazi računar

Prvo se dešava da ste u velikom problemu.
Kada kažemo velikom, onda znači najvećem problemu ukoliko imate veoma važna dokumenta na računaru ili serveru.

Drugo šta se dešava, to je napisano na slici ispod.

Hakerski napad na domaću firmu virusom Ransomware

Hakerski napad na domaću firmu virusom Ransomware

Ovde vidimo original prepisku sa hakerima/hakerom koji su odradili napad ransomver na domaću firmu u Srbiji.

Ovaj email je poslat 18 sati nakon napada i u njemu se vidi kako se od vlasnika traži novac za otkup enkriptovanog ključa.

Kao što možete da vidite, ovde su ponudili 2.5 BitCoina (elektronski novac) koji je ekvivalent od 1670 američkih dolara.

Dalje vidimo uputstvo kako da vlasnik uplati, odnosno kako da otvori svoj račun na BitCoin sajtu i sledećom procedurom isplati napadače.
Kada smo saznali još neke stvari u vezi sa ovim napadom, rekli smo vlasniku da ne plaća otkup.
U nastavku emaila možemo videti, da ukoliko im se u traženom roku ne ispune zahtevi, više neće biti cena 2.5 BitCoina, već ide na 3 i tako će svaki dan povećavati.

Dakle, ovde smo videli pravi sajber kriminal, odnosno pravu ucenu na delu.

Ransomver odbarana, prevencija i uklanjanje

Ukoliko ste vlasnik firme ili zaposlen u firmi kojoj je u opisu rada razmena velike količine podataka i emailova, obratite pažnju obavezno na pristigle poruke.
Nemojte nepoznate mailove otvarati, ako nemate potrebe.
Dovoljno je da samo jednim klikom prevučete zaraženi fajl na vaš računar i da on ostane zaključan, kao i server u ovoj situaciji.

Korisitite Antivirus zaštitu obavezno.
Koristite Melver (malware) zaštitu.
Skenirajte sumnjive email poruke pre nego ih otvorite.

Ako ste u mogućnosti, angažujte stručne ljude i firme s dobrim referencama u zaštiti podataka.
Jednom ili dva puta mesečno neka vam preventivno budu pri ruci.
Oni koji znaju posao znaće šta da vam kažu.

Redovno pravite kopije (backup) podataka na nekom eksternom disku.
Neka taj disk ne bude izložen Internetu ako je moguće.

Savet

NE PLAĆAJTE ODMAH HAKERIMA!
POSTOJE VIRUSI KOJI MOGU DA SE OTKLJUČAJU!
ONI ĆE VAS KONTAKTIRATI U ROKU OD 24 SATA.
IMATE VREMENA DA PRONAĐETE LJUDE KOJI ĆE POKUŠATI DA VAM OTKLJUČAU PODATKE.

U drugom delu …

Kakvi su propusti napravljeni u firmi
Koje su vrste ransomvera
Kako se zaštiti od napada

 

4 Komentari

Dodaj komentar