Când internetul se joacă de-a crima organizată

Ecran negru, hard disk blocat… Singura modalitate de a-ți recupera datele? Plătește. Aceste sechestrări informatice sunt din ce în ce mai multe. Arma folosită de pirați se numește ransomware sau virus șantajist.

Alerta a sunat de trei ori la spitalul Duchenne de Boulogne-sur-Mer (Pas-de-Calais). Unitatea respectivă a fost ținta tentativelor de sechestru informatic de trei ori în perioada cuprinsă între sfârșitul lunii februarie și începutul lunii martie 2016. Care a fost arma piraților cibernetici? Mail-uri inocente în care se ascundeau viruși capabili să codifice informațiile sau să paralizeze calculatoarele. Sunt numiți ransomware sau viruși care cer taxă de răscumpărare: victimele lor trebuie să achite o taxă autorului programului malițios pentru a primi cheia de decriptare care le va debloca accesul la prețioasele lor fișiere devenite invizibile (documente, fotografii, videoclipuri etc.)

Cei de la spitalul Duchenne mai mult s-au speriat decât au fost afectați de atacul informatic. „Am reușit să izolăm foarte repede secțiile infectate și să recuperăm datele plecând de la cele salvate”, a precizat directorul, Yves Marlier. „Am pierdut doar munca din ultimele ore, fără repercusiuni asupra dosarelor pacienților noștri.”

Fie că se numesc Locky, SamSam, Jigsaw, Maktub sau CryptoWall, acești viruși care fac parte dintr-un nou tip, cu denumiri de personaje din benzile desenate sau din filme de groază, se ascund în atașamentele mail-urilor și, mai rar, în bannerele publicitare care sunt presărate pe tot web-ul. Un clic sau o vizită pe un site contaminat este de ajuns și răul este făcut: conținutul calculatorului devine inaccesibil. Nefericit cel care nu și-a salvat fișierele pe un suport extern…

Ani de arhive pierduți

În Statele Unite, poliția federală din cadrul FBI estimează că pirații informatici au extorcat în acest mod 209 milioane de dolari de la societăți sau persoane fizice în primul trimestru din 2016. Doar în luna februarie, creatorul de antiviruși Kaspersky a numărat 40.000 de tentative de infectare la clienții săi. În Franța, nu circulă nicio cifră oficială. Dar se impune o certitudine: „Este o adevărată afacere infracțională în grup organizat care afectează întreaga lume. Atât pe voi, cât și pe mine, întreprinderile mici și mari, colectivitățile teritoriale și asociațiile”, observă colonelul Nicolas Duvinage, care conduce Centrul pentru lupta contra criminalității informatice din cadrul Jandarmeriei. La începutul acestui an, virusul Locky a făcut ravagii printre IMM-urile franceze. „Daunele economice și financiare sunt semnificative”, constată Sylvie Sanchis, șeful brigăzii de anchetă specializată din cadrul prefecturii din Paris. „Directori de la întreprinderi veniți să depună plângeri ne-au spus că au pierdut ani întregi de arhive sau de fișiere care conțineau datele de contact ale clienților.”

În Franța, pe lângă spitalul Duchenne, și spitalul din Epinal a fost atacat de Locky în urmă cu doar câteva luni. De cealaltă parte a Atlanticului, Hollywood Presbyterian Medical Center a plătit 17.000 de dolari pentru a-și recupera dosarele pacienților. La începutul primăverii, centrul de îngrijiri MedStar Health, care gestionează zece unități din Maryland și din regiunea Washington DC, a trebuit să-și dezactiveze rețeaua ca urmare a unui atac. La finalul lunii aprilie, Lansing Board of Water and Light, furnizor de apă și electricitate din Statul Michigan, a tăiat la rândul său accesul a 250 de angajați la mesageria electronică pentru a evita daune suplimentare și a fost nevoit să își oprească sistemul electric. FBI anchetează actualmente acest caz sensibil.

Virușii ransomware nu sunt la primele fărădelegi. Dar modul lor de operare s-a schimbat. În anii 2010 și 2011, aceștia nu codau conținutul unui calculator. Utilizatorul calculatorului primea un mesaj (fals) în culorile jandarmeriei sau ale poliției naționale acuzându-l, pe nedrept, că a vizitat site-uri pornografice sau că a descărcat ilegal filme sau muzică. Victima era somată să achite o amendă de câțiva euro.

Depistarea autorilor? O provocare…

Din 2013 a apărut o altă generație de viruși care cer taxă de răscumpărare a datelor: sunt redutabilii CryptoLocker, care codează fișierele, din ce în ce mai mulți, mai sofisticați, mai sadici. De exemplu, Petya blochează calculatorul care nu mai poate fi pornit ulterior. Cât despre JigSaw, de la numele personajului principal din filmul de groază Saw, șterge fișierele unul câte unul, oră după oră, până când taxa de răscumpărare este plătită. „Atunci când codarea este bine făcută, este imposibil de spart, chiar având o putere de calcul fenomenală”, constată Vincent Strubel, director adjunct însărcinat cu expertiza în cadrul Agenției naționale pentru securitatea sistemelor informatice.

Contracararea acestor invadatori nu este deloc un fleac. „Unii, precum CryptoWall și Locky, au sute de variante”, explică Matthieu Bonenfant, director de marketing pentru produse la Stormshield, specialist în securitate cibernetică. „Obiectivul este mereu același: evitarea detectării de către sistemele de securitate.” Și infectarea calculatorului incognito. Alt motiv de îngrijorare: nici sistemele de operare MacOS de la Apple și serverele Linux nu mai sunt protejate de codurile malițioase.

Experți în informatică, infractorii cibernetici au și simțul afacerii: cer răscumpărări suficient de modeste pe care victimele lor preferă să le plătească și să își recupereze cât mai repede datele, decât să facă plângeri: plecând de la câteva zeci până la câteva mii de euro, fără excepție. Autoritățile ne sfătuiesc să nu ne lăsăm pradă șantajului. Dar, conform unui studiu al producătorilor de antiviruși Bitdefender, aproape o treime din francezi ar fi dispuși să achite până la 190 de euro pentru a-și recupera fișierele. Pentru a scăpa basma curată, pirații eliberează datele în integralitatea lor odată ce au primit banii. Cel puțin așa se petrece adeseori…

În materie de monedă, infractorii au o slăbiciune pentru bitcoin, moneda digitală creată în 2009, care poate fi cumpărată online cu un card bancar. Aici apar problemele de confidențialitate. „Dacă este posibil să trasăm drumul plăților în monede bitcoin, este aproape imposibil în schimb să identificăm titularul portofelului sau localizarea sa geografică”, subliniază Manuel Valente, director al Departamentului Bitcoin din Paris.

Iată ce complică cumplit de mult sarcina detectivilor cibernetici. „În van sperăm să recuperăm recompensa”, recunoaște Francois-Xavier Masson, șeful departamentului specializat din cadrul poliției franceze. „Iar depistarea autorilor este o adevărată provocare.” Ascunși în spatele monitoarelor lor, atacatorii își iau mii de precauții. Comunică între ei anonim prin rețeaua Tor. Împrumută pentru câteva ore sau câteva zile puternicele servere de care au nevoie pentru a-și realiza campaniile. Își schimbă des complicii pentru a-și pierde urmele.

Referitor la sursa atacurilor, experții sunt de acord. „Majoritatea par a proveni din Europa de Est – Rusia sau Ucraina”, afirmă Eric Freyssinet, responsabil din cadrul Centrului expert contra criminalității cibernetice franceze. „Dar tehnica se răspândește: putem cumpăra de pe internet de pe piața neagră kituri de exploatare, adevărate surse de unelte pentru cei profani.”

Pentru moment lista de căutare a anchetatorilor cibernetici nu este prea mare. În 2012, șase ruși, doi georgieni și doi ucraineni au fost arestați în regiunea Malaga (Spania) și șeful lor, tot rus, a fost interceptat în Dubai. Prin intermediul virusului ransomware Reveton, mica bandă strângea, de bine, de rău, mai mult de 1 milion de euro pe an. În 2015, poliția olandeză, cu ajutorul celor de la Kaspersky, a trimis doi pirați după gratii și a pus mâna pe mii de chei de deblocare. Urmărirea de abia a început.


Citiți și:

Descoperirea revoltătoare a programatorilor de la o mare companie care produce softuri anti-virus

O companie deţinută de Google a primit accesul la datele medicale a 1,6 milioane de pacienţi britanici monitorizaţi de trustul Royal Free NHS

 

yogaesoteric
3 iulie 2016

Spune ce crezi

Adresa de email nu va fi publicata

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More