Kyberkriminalita jako průmyslový sektor

Foto: Pixabay

Počet kybernetických útoků a vydírání se každý měsíc zvyšuje, někteří experti dokonce hovoří o tom, že se nyní formuje globální zločinecký sektor, doslova v průmyslovém měřítku. Nabývá podoby zavedené industriální struktury a hierarchie a prim v něm hrají velice talentovaní jedinci z Ruska a zemí střední a východní Evropy.

Nebezpečný hacker známý jako Virus byl před několika dny oficiálně zatčen v New Yorku za údajné provozování „neprůstřelného hostingu“, který umožnil kybernetickým zločincům distribuovat počítačový virus Gozi, jeden z finančně nejničivějších v historii. Do USA byl vydán z Kolumbie, kde byl zadržen vloni, ale jeho zločinecká kariéra je dlouhá. I když byl původně zatčen už v roce 2012, bude nakonec pohnán k odpovědnosti v americké soudní síni.

Jmenuje se Mihail Ionut Paunescu (37) a podle zprávy amerického ministerstva spravedlnosti má rumunské a lotyšské státní občanství.

Závažná obvinění

Paunescu údajně provozoval službu „neprůstřelného hostování“, která umožnila po celém světě šířit virus Gozi a další malwary a páchat řadu dalších kybernetických útoků. Jeho služba umožnila kybernetickým zločincům ukrývat se před orgány činnými v trestním řízení.

Virus Gozi je škodlivý počítačový malware, který ukradl informace o osobních bankovních účtech, včetně uživatelských jmen a hesel. Infikoval více než jeden milion počítačů po celém světě, mezi nimi nejméně 40 000 počítačů ve Spojených státech, včetně 200 počítačů patřících Národnímu úřadu pro letectví a vesmír (NASA). Napadl také počítače v Německu, Velké Británii, Polsku, Francii, Finsku, Itálii, Turecku a jinde a způsobil ztráty v desítkách milionů dolarů jednotlivcům, podnikům a vládním subjektům.

Virus Gozi, který byl záměrně navržen tak, aby jej antivirový software nedetekoval, po instalaci shromáždil data z infikovaného počítače, aby získal informace o osobním bankovním účtu, včetně uživatelských jmen a hesel. Ta byla poté přenesena na různé počítačové servery ovládané kybernetickými zloději. Ti pak použili tyto informace k převodu finančních prostředků z bankovních účtů obětí a na svá konta.

Zatčený pomáhal distribuovat malwary, včetně těch nejznámějších, jakými jsou „Zeus Trojan“ a „SpyEye Trojan“, a napomáhal iniciovat a provádět útoky DDoS. Pronajal si servery a IP adresy od legitimních poskytovatelů internetových služeb a následně je pronajal kybergangsterům.

Paunescu je obviněn ze spiknutí za účelem narušení počítače, za což mu hrozí maximální trest 10 let vězení, dále ze spiknutí za účelem spáchání bankovního podvodu, za který činí maximální trest 30 let vězení a ještě ze spiknutí za účelem spáchání podvodu s využitím komunikačních prostředků, za což může být uložen maximální trest až 20 let odnětí svobody.

Maximální a minimální potenciální tresty jsou předepsány Kongresem a jsou zde uvedeny pouze pro informační účely, protože o případném odsouzení obžalovaného rozhodne soudce.

Kriminální trio

Vyšetřovatelé se domnívají, že k prvnímu velkému ultrasofistikovanému kybernetickému útoku došlo mezi rokem 2005 a březnem 2012 a že virus byl „prakticky nezjistitelný v počítačích, které infikoval“.

Paunescu nebyl sám. Údajným konstruktérem a „hlavním architektem“ viru byl ruský státní příslušník Nikita Kuzmin (nyní 37), kterého zadrželi na americké půdě v roce 2010. Následující rok se přiznal a přislíbil, že bude spolupracovat s vyšetřovateli. Zřejmě v důsledku této dohody byli na konci roku 2012 dopadeni spolupachatelé: Deniss Čalovskis, známý jako „Miami“ (39), byl zatčen ve svém rodném Lotyšsku a je obviněn z napsání části počítačového kódu, který úřadům ztížil odhalení viru Gozi. A 28letý Paunescu byl zatčen ve své domovské zemi, v Rumunsku. Při zatýkání použila policie výbušniny u dveří bytu a nenechala mu tak čas na zničení důležitých důkazů. Měl doma 300 000 dolarů a 60 000 lei.

Kuzminovi hrozil trest 95 let vězení, ale nakonec byl odsouzen jen na 37 měsíců, které strávil ve vyšetřovací vazbě a k peněžitému trestu 7 milionů dolarů. Trest byl tak nízký zřejmě proto, že začal spolupracovat s vyšetřovateli na odhalování celé vyděračské sítě.

V únoru 2015 byl Deniss Čalovskis z Lotyšska vydán do USA, kde mu hrozilo 67 let vězení. Přiznal se a v roce 2016 byl odsouzen k odpykanému trestu poté, co strávil více než 20 měsíců v lotyšských a amerických věznicích. V srpnu 2014 začal pracovat v Lotyšské lékařské asociaci a zahájil několik sociálních neziskových projektů.

Paunescu měl být souzen v Rumunsku, ale byl propuštěn na kauci (!) a zmizel. Objevil se loni na letišti v Bogotě, kde byl zadržen a nyní eskortován do USA.

Jak se umíme bránit?

Vzhledem k tomu, že počet kybernetických útoků a vydírání se každý měsíc zvyšuje, někteří experti hovoří o tom, že se nyní formuje globální zločinecký sektor, doslova v průmyslovém měřítku. Získává prý podobu zavedené industriální struktury s hierarchií. Prim v něm hrají velice talentovaní jedinci z Ruska a zemí střední a východní Evropy. Vyrůstají mnohdy ve velmi chudých poměrech, ale s velkou ctižádostí a touhou po bohatství. To jsou pro ně asi hlavní důvody, proč se vydávají na šikmou plochu.

Odhlédneme-li od zvláštní kategorie politických hackerů ve státních službách, zaměřují se kybernetičtí zločinci v převážné míře na vydírání. Mnohdy se dostávají k počítačovým sítím až překvapivě snadno, zablokují je a od provozovatele požadují tučné výkupné. Napadené firmy a organizace se nerady přiznávají, že se staly oběťmi vydírání, protože mnohdy jsou si vědomy své nedostatečné obrany a stydí se za podcenění kybernetických hrozeb.

Ostatně svědčí o tom i zprávy z českého prostředí. Acronis, globální lídr na trhu řešení kybernetické ochrany, představil nyní výsledky průzkumu, podle kterých 20 % českých organizací zažilo během posledních 12 měsíců výpadek provozu v důsledku ransomwarového útoku.

Ransomwarovému útoku čelila zhruba polovina českých organizací, třetina dokázala útok odrazit, ve zbylých případech bohužel došlo z k zašifrování dat a výpadkům provozu včetně aktuálně nejznámějšího případu Ředitelství silnic a dálnic (ŘSD).

Pokud se organizace stane terčem takovéhoto útoku, má řadu možností, jak se vyhnout nejhoršímu. Může jej například zcela bez následků odrazit s využitím antimalwaru či speciální ochrany proti ransomwaru. Pokud již dojde k zašifrování dat, stále mohou rychle obnovit provoz s pomocí disaster recovery či funkčních záloh. Jestliže ale selžou i zálohy, pak organizace musí čelit dlouhodobému výpadku provozu se všemi důsledky. Proto IT správci doporučují věnovat speciální pozornost nejen ochraně ostrých dat, ale také ochraně záloh.

Nejzajímavější zjištění průzkumu

47 % organizací se v posledních 12 měsících vůbec nesetkalo s ransomwarem, 33 % útok odrazilo, u 18 % došlo k zašifrování a krátkodobému výpadku a u 2 % k dlouhodobému výpadku.

Podle 61 % dotázaných IT správců je nejdůležitějším faktorem ochrany dat funkce nezměnitelnost záloh, 34 % uvedlo aktivní self-defense ochranu backup systému a 30 % umístění záloh v cloudu.

Celkem 93 % IT odborníků zmínilo Windows systémy jako platformu, na kterou jsou nejvíce vedeny podobné útoky. Konkurenční macOS zmínilo jen 5 % IT správců.