Хакери атакуват стотици компютри на потребители от цялата страна с нов зловреден код, който заключва PC-то ви през интернет, а после иска “откуп” от 100 до 300 лв. от името на МВР или друга институция, за да не загубите завинаги информацията от файловете си.
Новият вид хакерска атака Ransom (бел.
Атаката се задейства по съвсем елементарен начин, като кликнете на обикновена картинка, или линк, зад който е прикрит зловредният код Ransomeware, обясняват експерти.
Щом се активира вирусът на компютъра, той автоматично кодира всички данни, а на екрана на потърпевшия потребител се появява искането да се плати откуп за разкодиране на информацията. В момента най-актуално е съобщението на хакерите да е изпратено от името на МВР. На компютъра се отваря страница със знаците на МВР, ДАНС, Интерпол, ФБР или друга институция, със заплашително съобщение, че сте нарушили закона (виж на снимките как изглеждат най-често изпращаните съобщения). Собственикът на заразения компютър се “принуждава” да плати глоба между 100 и 300 лева чрез една от системите за международни разплащания. На част от съобщенията дори има посочено “правно основание” - съхранение и разпространение на забранени или порнографски материали. Ако не се плати за определен брой часове, компютърът остава блокиран. Обикновено на съобщението, с което се иска откуп има брояч за време, който отчита следващите 48 часа, през които потърпевшият трябва да преведе исканата сума.
Зловредният код Ransomeware започва да се ползва в България активно в последните няколко месеца, въпреки че той е измислен от хакери преди години, обясняват специалисти по информационната сигурност. Последните версии на софтуера за “отвличане” на устройства е създаден от източноевропейски и руски хакери през 2006 г. Те прикривали идентичността си при разпространение на вируса посредством програми за защита срещу събиране на трафични данни (The Onion Router). Атакуващите заразявали компютъра чрез имейли с подател ФБР, местни правоохранителни органи, логистични компании и др.
При почти всички варианти на вируса, за заразяване са използват PDF файлове или заразени уебсайтове, обещаващи безплатни стоки и услуги или порнографски материали. Когато потребителят отвори писмото или файла, устройството се заразява мигновено. Данните се кодират и кодът за декриптиране се изпраща след извършване на транзакцията.
Хакерите обикновено искат малки суми, за да не привличат вниманието на правоохранителите органи като ФБР и Интерпол, категоричини са още разследващите. Много от потърпевшите от този вид измама изобщо не разбират, че са били ужилени от хакери.
“Проблемът с този вид вирус е, че няма кой знае колко полезен ход, защото, ако платиш, просто чакаш да ти отключат компютъра, но ако не платиш, може голяма част от файловете ти просто да останат заключени”, обяснява председателят на Международната академия за обучение по киберразследвания Албена Спасова.
Голяма част от българските хакери са все още прохождащи или в групата на т.нар. Скрипт киди, които използват готови скриптове от интернет за различни кибератаки, обясняват още разследващи. До момента няма известни оригинално създадени от българи сериозни зловредни кодове.
В много форуми в интернет се продават готови ботнетмрежи от определен брой заразени компютри, които само с натискането на няколко клавиша могат да започнат да изпълняват чужди команди.
По форумите или се предлага самият код или експлойд, който се ползва за зомбиране на компютри, или се продава вече готовата мрежа от 10 или 100 компютъра. Един боткод може да струва от 5 до 50 долара.
А за ботнет мрежа в зависимост от големината цената е между 300 и 3000 лева.
“50 контролирани компютъра в ботмрежа могат да хакнат един средно голям сайт като много от интернет страниците на различни държавни институции у нас, както и на някои от българските социални мрежи например”, обяснява Албена Спасова.
В България продължава да се използва и най-елементарният вид хакерска атака - фишингът, чрез който се крадат чужди данни, пароли или друг вид лична информация, която после може да се използва за източване на банкови сметки или за извършване на други престъпления.
Младите хакери, които генерират много атаки към сайтове у нас, са все още учещи се хакери, които четат различни упътвания в интернет и следвайки инструкциите, започват да тестват.
Тези хора са най-опасните, те не могат да предположат каква щета могат да нанесат, категорични са експертите по киберсигурност.
У нас осигуряването на добра защита в онлайн пространството все още е на ниско ниво, но в последните 2 години по-големите финансови институции и сериозни корпорации вече са предприели сериозни стъпки за защита от кибератаки.
Албена Спасова, председател на Международната академия по киберразследвания: Половината компании у нас са пострадали от киберпрестъпления
Учим ДАНС и прокуратурата как да възстановят изтрити данни на хакери
- Г-жо Спасова, кои са в момента най-използваните кибератаки от хакери у нас?
- Сред най-разпространените през 2014 г. са социалният инженеринг, зловредните кодове, ботнетмрежите и старият фишинг.
Един от най-модерните начини за използване на зловреден код в момента в България е т.нар. Ransom. Сърфираш в някакъв уебсайт, където е сложен скрит в картинка, друг файл или линк, и ако кликнеш на този зловреден код, изцяло се заключва компютърът ти. Щом това стане, вече нищо не можеш да направиш, устройството е блокирано и в същото време излиза едно прозорче, на което пише: Платете ни няколкостотин евро на конкретна сметка. Докато не се извърши това плащане, не може абсолютно нищо да се направи.
Една от последните атаки с този код у нас, за която киберорганизацията ни има информация, е с получено съобщение от името на ДАНС. В съобщението пише:
Вие сте нарушили реда и дължите между 100 и 200 евро, защото сте сваляли незаконно филми. Искането е сумата да се преведе на сметка, която не е в България. Тя трябва да се преведе по банков път и след като те получат превода, ще отблокират компютъра. Чрез този вид код дистанционно може да се контролира устройството, на което е качен, така че отблокирането става от разстояние.
- Ако компютърът ни се зарази с такъв вирус, можем ли да направим нещо, за да спасим данните си и да не плащаме на хакерите?
- Специалист би могъл да възстанови заводските настройки и компютърът да проработи но това значи загуба на всички файлове и данни запазени на този компютър.
- Как се използва социалният инженеринг за атака в интернет?
- Тъй като новите технологии стават все по-сигурни, най-уязвимият начин е да се влияе на човешкия фактор. За съжаление, все повече ще виждаме случаи на социален инжинеринг за внедряване и проникване в критична инфраструктура в електропреносни мрежа. Подобен беше случаят със “Стъкснет” преди няколко години. Зловреден код атакува системите “Скада” на “Сименс”. Те се използват в центрофугите за разпределяне на уран в ядрените централи и ги изваждат от строя. Този зловреден код е качен чрез флашпамет, тоест тук отново има човешки фактор.
Без значение каква е атаката винаги има елемент на социален инженеринг, който се използва, за да се извърши едно проникване. Застрашени критични структури и у нас са банките като основна част от финансовата ни система, критична структура са електропреносната и водопреносната мрежа.
- Провели сте изследване сред банки, компании и най-различни институции, какви са основните киберзаплахи, от които се оплакват?
- Повече от половината компании и институции у нас, сред които проведохме изследването, се оплакват, че са били жертва на кибератака. Зловредният код, вируси, троянският кон, всички видове разновидности на зловреден код са най-честите заплахи. Когато се зарази един компютър на служител на една институция, той може да помогне на този, който извършва атаката, да има дистанционен достъп до цялата база данни и до информацията, която търси. Разпространяването на зловредни кодове се прави именно с цел да се събират лични данни на потребители, за да може те да бъдат продавани или да бъдат използвани за по-нататъшен неоторизиран достъп.
- Знаете ли за други банкови атаки, извършени в Европа, подобни на атаката отпреди няколко седмици срещу българска банка?
- Доколкото ние имаме информация, има два подобни случая в Латвия и Казахстан. В Казахстан има подобна банкова атака през февруари т.г., Там съобщението е насочено към три банки и започва да се разпространява в социалните мрежи и чрез есемеси. Много бързо се разпространява слухът в рамките на няколко дни. Съответно потребителите тръгват масово да си теглят парите, тогава са изтеглени 1,3 милиарда долара.
Другата държава е Латвия. Там през 2011 г. уволняват висш служител на една банка и тръгват слухове, че тази банка ще се изтегля от пазара в Латвия. Там в рамките на 24 часа от банкомати потребители изтеглят 29 милиона долара.
- Вашата академия провежда серия от обучения на ДАНС, прокуратура и съдилища, на какво ги учите?
- През 2013 и 2014 г. провеждаме двуседмични обучения за анализ на компютърни данни. Тоест какво да се предприеме след като е извършено престъпление и се изземе едно компютърно устройство, по какъв начин да бъдат анализирани данните в него и как да бъдат събрани доказателства срещу извършителите. Ако са изтрити данните какво да се прави за да се възстановят. Най-важното е да се стигне до информацията от съответните устройства.
Вирус блокира и смартфона
Hов тип вирус вече може да блокира и смартфони с операционната система Android. След като зарази мобилния телефон, зловредният код криптира информацията, която се съхранява в него, и изисква потребителят да плати откуп, за да си получи данните обратно, съобщават онлайн технически издания.
Вирусът е открит от компанията за антивирусен софтуер Eset. За момента той е насочен предимно към руски потребители, като ги кара да платят откуп в украински гривни. Той е кръстен Android/Simplocker, като се представя за приложение с еротично съдържание, което не се разпространява в Google Play Store.
Експерти по киберсигурност допълват, че е възможно вирусът да бъде изтрит чрез влизане в Safe Mode на телефона. Разбира се, това ще означава загуба на криптираните файлове.
В края на май от австралийски и британски правителствени сайтове предупредиха, че и iPhone и iPad също могат да станат жертва на хакери, които да заключат устройството и да искат плащане на откуп, за да го отключат.
През последните два месеца нараствал броят на потребителите на Apple, които са получили искане за откуп вследствие на този вид атака. Експертите препоръчват потребителите на iPhone и iPad да си сменят Apple ID паролата като предпазна мярка, защото се смята, че тази атака може да е свързана с Apple ID.
Потърпевшите получавали имейл от Find My iPhone и съобщение на екрана си, че тяхното устройство е било Hacked by Oleg Pliss. За да отключат устройството си, те трябва да плаят чрез PayPal, като исканите суми са от 50 до 100 долара. Властите на Великобритания и Австралия призовават да не се превеждат пари.