Mluví o nich politici na nejvyšší úrovni, naposledy minulý týden americký prezident Joe Biden se svým ruským protějškem Vladimirem Putinem. Nikdo neví, kolik přesně vydělávají, ale odhady se pohybují od stovek milionů dolarů výše. Řeč je o vyděračských hackerech, kteří se nabourávají do počítačových sítí firem i institucí, následně jejich data zašifrují a požadují výkupné za jejich odblokování.
To, co začalo jako akt pomsty evolučního biologa s psychickými problémy před více než 30 lety, je dnes prudce rostoucím sektorem nelegálního trhu. Vymáhané částky neustále stoupají a už se objevily i první firmy, které se specializují na jednání s hackery o výkupném. Odborníci varují, že následky mohou být horší než třeba vlna únosů zahraničních managerů v Latinské Americe nebo Africe v 70. letech minulého století.
Nedávno jste již předplatné aktivoval
Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.
Tento článek pro vás někdo odemknul
Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!
Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.
Zadejte e-mailovou adresu
Zadejte e-mailovou adresu. Zadaná e-mailová adresa je ve špatném formátu.
Máte již účet? Přihlaste se.
Zpracování osobních údajů a obchodní sdělení
Využitím nabídky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.
Přihlaste se,
nebo si jen přečtěte odemčený článek bez přihlášení.
Zdá se, že už se známe
Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.
Děkujeme, teď už si užijte váš článek zdarma
Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.
V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.
Pokračovat na článekPomsta evolučního biologa
Eddy Willems dostal v prosinci 1989 od svého šéfa v jedné belgické pojišťovně za úkol podívat se na disketu, která měla obsahovat údaje o výzkumu nemoci AIDS. Jeho šéfa zaujal popisek diskety o velikosti pět a čtvrt palce s nápisem AIDS 2.0 a usoudil, že data o tehdy nové nemoci se jeho firmě mohou hodit. Jenže místo vědeckých materiálů disketa obsahovala počítačový virus. O pár dní později se na obrazovce Willemsova počítače objevila zpráva, že počítač je zavirovaný. „Prý že mám poslat 189 dolarů na P. O. Box někde v Panamě, jinak že nebudu moct svůj počítač už nikdy používat,“ vzpomínal Willems o mnoho let později pro oborový server CSO Online. Spustil počítač znovu pomocí záložní startovací diskety a zjistil, že jeho složky jsou stále v počítači, ale jsou skryté a jejich jména byla nahrazena náhodnými řetězci znaků. „Pochopil jsem, že je to zašifrované, ale hrozně divně. Říkal jsem si, že tohle nemohl napsat nikdo z IT,“ řekl Willems. Následně napsal jednoduchý skript, který vrátil souborům jejich původní jména. „Zabralo mi to 10 minut, než jsem tu zatracenou věc vyřešil,“ vyprávěl Willems, který dnes pracuje ve firmě G Data, která se zabývá kybernetickou bezpečností.
Není divu, že je dodnes hvězdou nejrůznějších oborových konferencí. Teprve o pár dní později z reportáže belgické televize zjistil, že jeho pojišťovna zdaleka nebyla jediným adresátem vyděračského viru. A mnozí neměli k dispozici odborníka, který by dokázal problém vyřešit. Napadeny byly nemocnice nebo výzkumné instituce a Willems následně šířil svůj skript nejen po Belgii, ale i v Latinské Americe nebo v Japonsku. Disketu si nechal na památku. Naposledy odmítl nabídku jednoho muzea, které za ni bylo ochotno zaplatit tisíc dolarů.
Vyšetřování, které probíhalo doslova po celém světě, velmi rychle odhalilo, komu patří poštovní schránka v Panamě. Byl to evoluční biolog Joseph Popp, absolvent Harvardu, který se věnoval výzkumu AIDS. Podle zjištění britského deníku Guardian se ucházel o práci ve Světové zdravotnické organizaci (WHO), ale nebyl vybrán. Místo toho získal seznam adres, kterým WHO posílala informace o nové nemoci, a poslal jim diskety s virem. Uvádí se, že celkem rozeslal ohromujících 20 tisíc disket do 90 zemí, což muselo stát velké množství peněz a stovky hodin práce. Popp se při zatčení hájil, že získané prostředky chtěl použít na výzkum AIDS. Není ovšem vůbec jasné, jestli nějaké peníze ve skutečnosti získal. Byl vydán do Velké Británie, ale z důvodu psychického stavu nebyl nikdy souzen. Měl ve zvyku nosit kondomy v nosu nebo natáčky v plnovousu. Obojí údajně jako ochranu před radiací.
Bizarní příběh evolučního biologa přirozeně připoutal pozornost hackerů, bylo ale potřeba vyřešit zásadní problém Poppova viru, tedy že v jeho kódu je uložený i kód k jeho dešifraci. To se podařilo obejít pomocí kombinace veřejného a soukromého bezpečnostního klíče. V samotném viru byl uložený veřejný klíč a teprve po zaplacení výkupného oběť dostala soukromý klíč a mohla obsah počítače dešifrovat. První velký ransomware se objevil v roce 2005 a dostal jméno GPCode. Od obětí žádal zaplatit zhruba 100 dolarů za poslání soukromého klíče. Brzy se vyrojily jeho dokonalejší klony Krotten, Cryzip, TROJ.RANSOM.A, MayArchive a Archiveus. V roce 2010 se objevil další trojský virus WinLock, který tvůrcům přinesl asi 16 milionů dolarů během jediného měsíce.
Je zajímavý tím, že obsah počítače vůbec nešifroval. Místo toho se na monitorech neustále objevovaly pornografické fotografie a nešlo se toho zbavit. Jediným způsobem bylo poslat prémiovou SMS zprávu v hodnotě asi 10 dolarů, což pro mnohé oběti bylo jednodušší než se snažit vyčistit si počítač. Koncem téhož roku ruská policie zatkla 10 členů skupiny, která WinLock vytvořila a provozovala. Nebyla to náhoda, hackeři ze zemí bývalého Sovětského svazu patří mezi světovou špičku a podle různých odhadů dnes ovládají až 70 procent trhu s ransomwarem.
Bitcoin na scéně
Hackeři se naučili využívat ransomware, ale zůstávalo jedno zranitelné místo. Jak bezpečně dostat peníze od obětí. Když se objevil bitcoin, hackeři našli ideální prostředek. Novou éru odstartoval CryptoLocker, chytrý trojan, ukrytý v .zip souboru, který obětem dával na výběr, v jaké měně chtějí zaplatit, a přepočítával eura a dolary na bitcoiny. Na začátku hackeři používali jeden bitcoinový účet, a tak bezpečnostní odborníci mohli sledovat, jak na účet proudí miliony dolarů. Policii se nakonec v červnu 2014 po necelém roce podařilo hackery pozatýkat a bezpečnostní společnost Fox-IT získala seznam soukromých klíčů, takže oběti mohly dešifrovat svá data zdarma. Jenže úspěch tohoto viru inspiroval pokračovatele. „Nejdřív tu byl jen jeden CryptoLocker a najednou jich bylo padesát. Jakmile lidé zjistili, že za pár měsíců se dají vydělat miliony dolarů, přehrada se protrhla,“ řekl serveru CSO Online bezpečnostní odborník Chester Wisniewski ze společnosti Sophos.
Další trojan CryptoWall podle odhadů FBI vydělal tvůrcům přes 18 milionů dolarů a v jeden okamžik měl tržní podíl necelých 60 procent.
Novým fenoménem posledních tří let jsou hackerské platformy, které spojují odborníky na nejrůznější útoky. Někdo je schopen útočit na slabá místa v počítačových systémech, někdo se specializuje na phishing, když dokáže oklamat uživatele, aby otevřeli přílohu mailu s trojanem, jiní umí zacházet s penězi od obětí. Dobrým příkladem je GandCrab, který se objevil v lednu 2018. Jejich byznysový model je založený na tom, že nabízí kyberzločincům použití jejich nástrojů výměnou za podíl na výkupném, obvykle mezi 30 a 40 procenty. Podle odhadů společnosti Bitdefender počátkem roku 2019 tato skupina ovládala 40 procent trhu s ransomwarem a jejími oběťmi bylo na 1,5 milionu institucí a jednotlivců. V květnu 2019 skupina ohlásila svůj konec. „Lidé, kteří s námi pracovali, za rok vydělali přes dvě miliardy dolarů. Sami jsme získali přes 150 milionů dolarů. Bylo nám potěšením s vámi pracovat, ale všechno musí jednou skončit. Odcházíme do zaslouženého důchodu. Dokázali jsme, že během jednoho roku se člověk může zajistit do konce života,“ napsala skupina na své stránce. Skupina fungovala z Ruska, výzkumník Brian Krebs nalezl stopy vedoucí k lidem z Magnitogorsku na Uralu. Stejně jako jiné ruskojazyčné skupiny útočila zásadně v zahraničí, součástí viru byl i modul, který zjišťoval, jaký jazyk používá napadený počítač. Pokud objevil ruštinu nebo jiný jazyk ze zemí bývalého Sovětského svazu, virus se sám smazal.
Na místo GandCrab nastoupily skupiny jako Revil nebo DarkSide, která stojí za posledním útokem na ropovod Colonial Pipeline, kvůli němuž byly ve značné části Severovýchodu Spojených států výpadky v dodávkách benzinu. To je ovšem věc, kvůli které se v USA dají prohrát volby. I proto americký prezident Biden otevřel tuto otázku při setkání s Putinem a dohodli se na seznamu oblastí, na které je zakázáno kyberneticky útočit, jako je zdravotnictví, energetika nebo finanční sektor.
Mimochodem jde o prakticky stejný seznam, jaký ruská strana navrhovala již před dvěma lety. Jenže americké tajné služby, především mocná NSA, nechtěly být omezované v možnostech ochromit kritickou infrastrukturu nepřátelských států jako Írán nebo KLDR.
Nakonec se jim to vymstilo, když se hackeři z do té doby neznámé skupiny Shadow Brokers dostali do počítače zaměstnance NSA a získali sadu hackovacích nástrojů, kterou NSA používala pro napadání nepřátelských počítačových systémů. Využívaly dosud neodhalené bezpečnostní chyby v různých programech, včetně Windows. Následně skupina tyto nástroje zveřejnila, a ačkoliv byly rychle vydané bezpečnostní záplaty, miliony uživatelů po celém světě byly napadené nástroji vyvinutými NSA.
Ale ani Rusko není beze ztráty. Hackeři, s vysokou mírou pravděpodobnosti patřící k vojenské rozvědce GRU, vyvinuli trojan NotPetya, kterým v červnu 2017 napadli Ukrajinu a způsobili kolaps ukrajinského poštovního systému, těžce zasažené byly i banky a státní instituce. Jenže virus se vymkl kontrole, dánská logistická společnost Maersk přišla prakticky o celý svůj počítačový systém, což vyvolalo dopravní kolaps po celém světě. Současně virus tvrdě zasáhl i ruskou státní firmu Rosněfť, kde se ztráty odhadovaly na vyšší desítky milionů dolarů. NotPetya se tvářil jako ransomware, ale ve skutečnosti to byl zabiják – i pokud oběť zaplatila, o svá data stejně přišla.
Obě strany se tak spálily a existuje naděje, že by tedy mohly mít motivaci proti ransomwarovým útočníkům účinněji zasáhnout. Míč je především na ruské straně hřiště, protože podle odhadů odborníků přinejmenším 60 procent trhu patří skupinám z Ruska, Ukrajiny a Běloruska. Ty měly do značné míry imunitu, pokud neútočily ve svých domovských zemích. „Platí pravidlo neútočit v zóně .ru. Logicky, hackeři se nebojí vydání do Spojených států, ale bojí se ruského státu,“ řekl v rozhovoru s HN Andrej Soldatov, spoluautor knihy Red Web o dějinách ruského internetu. Ruské tajné služby podle něj občas využívají služby ruských kriminálních hackerů. „Hodně z nich má normální práci v ruských firmách ve sféře kybernetické bezpečnosti, pracujících pro státní instituce. Takže je potom jednoduché, když přijde někdo z tajných služeb a řekne: Dáme vám opravdu pěknou smlouvu třeba na ochranu proti DdoS útokům, ale potřebovali bychom jednu službičku, na kterou smlouva opravdu nebude,“ řekl Soldatov specializovanému serveru DefenseOne.
Změna přístupu však bude nějakou dobu trvat. Jak zjistila například benešovská nemocnice, která se stala obětí další ruské skupiny Ryuk, především se vyplatí posilovat kybernetickou bezpečnost a vzdělávat zaměstnance, aby neotevírali neznámé přílohy.
