Haker „Abdul” zaatakował elbląskie firmy. Informatycy bezradnie rozkładali ręce

„Abdul” to nick hakera, który zdalnie próbował złamać zabezpieczenia komputera jednej z elbląskich firm zajmujących się zarządzaniem nieruchomościami. To był początkowy etap ataku, który miał na celu wejście do systemu i wgranie programu szyfrującego. W innej, dużej elbląskiej firmie (branża elektryczna), haker osiągnął swój cel i zakodował wszystkie dane. Za ich przywrócenie zażądał 4,1 bitcoina (kryptowaluty używanej również w światku przestępczym), czyli 6500zł. Informatycy nadzorujący komputery bezradnie rozkładali ręce i zwrócili się o pomoc do policjantów zwalczających cyberprzestępczość.

Ataki miały charakter ransomware'u, czyli tzw. „porwania” komputerów dla okupu. Jest to oprogramowanie używane od kilku lat w przestępczości internetowej. Polega na wniknięciu do wnętrza komputera i zaszyfrowaniu danych należących do użytkownika.
- To nowa plaga w sieci i to na masową skalę. Hakerzy zarabiają w ten sposób miliony. Okup za odblokowanie komputera jest możliwy tylko w bitcoinach. Jest to celowe działanie tak aby  służby odpowiedzialne za ściganie hakerów nie były w stanie zidentyfikować autora ataku. – mówi asp. szt. Robert Trybuła, policjant zwalczający cyberprzestępczość z elbląskiej komendy.
W połowie marca br. w taki właśnie sposób hakerzy zaatakowali dwie elbląskie firmy. Jednego zarządcę nieruchomościami i firmę z branży elektrycznej. W pierwszym przypadku internetowi oszuści wykorzystali słabości systemu operacyjnego i z poziomu administratora założyli firmowe konto.

„Abdul”, bo takim nickiem posługiwał się haker, zdążył usunąć z systemu wszystkie zapory i programy antywirusowe. Nie zdążył jednak zakodować danych, gdyż jego działanie zostało w porę wykryte i proces został przerwany. Mniej szczęścia miała firma z branży elektrycznej, która w tym samym czasie otrzymała e-maila z wirusem. Niczego nie świadoma sekretarka otworzyła podejrzany plik i tym samym uruchomiła procedurę szyfrowania danych. Hakerzy zajęli 50 tysięcy plików zarówno na komputerach firmy, jak i dyskach sieciowych. Sprawcy mieli duże poczucie humoru.

W każdym folderze, gdzie były zablokowane pliki pojawiła się „Help instructions” ze wskazówkami, jak dalej postępować oraz informacja, że pliki zostały zakodowane przy użyciu szyfru RSA. Haker zamieścił linki do Wikipedii, gdzie pokrzywdzony mógł sprawdzić czym jest owy szyfr. To spotęgowało panikę pracowników, którzy skontaktowali się z dystrybutorem  oprogramowania antywirusowego. Tamtejsi informatycy nie pomogli, a wręcz przeciwnie powiedzieli, że nie ma możliwości odzyskania danych i trzeba zapłacić. Kwota jaka zażądali oszuści to 4,1 bitcoina (kryptowaluty używanej również w światku przestępczym), czyli 6500zł. W zamian obiecali przekazać klucz odkodowujący. Żadna z elbląskich firm nie zdecydowała się ulec hakerom i sprawy zgłosiła do zbadania elbląskim śledczym.

- Jak postępować? - Nie ma prostej odpowiedzi. Zabezpieczenia, które stworzyli informatycy mogą być złamane przez ich „kolegów po fachu”. Trzeba systematycznie tworzyć kopie zapasowe na zewnętrznych nośnikach, które powinny być co jakiś czas  testowane. Warto także przeszkolić pracowników, aby wiedzieli co to jest ransomware, czy phishing. Należy przygotować się na atak i opracować strategię postępowania, która pozwoli na minimalizację jego skutków i przyspieszy operację odtworzenia systemu.- podsumowuje policjant.

Jakub Sawicki 

KMP Elbląg