Hackeri vydierajú podniky na celom svete a výnimkou nie je ani Slovensko. Jeden z verejných webov pod názvom Ransomlook pravidelne monitoruje hackerské skupiny a publikuje zoznam napadnutých podnikov, inštitúcií a serverov z celého sveta. Hackerské skupiny následne od obetí kyberútokov zväčša žiadajú výkupné. Na zoznam napadnutých nedávno pribudla aj jedna zo slovenských štátnych inštitúcií.
Hackeri zverejnili informáciu, že sa im v marci podarilo preniknúť k dátam Slovenskej inovačnej a energetickej agentúry. Napadnutá mala byť napríklad aj Slovenská národná knižnica. Výnimkou neboli ani ďalšie súkromné slovenské firmy.
Monitoring hackerov
Stránka Ransomlook prehliada telegramové skupiny a vlákna dark webu – princíp je jednoduchý: nájdu príspevok hackerov, ktorí penetrovali online štruktúry svojich obetí, potom to zverejnia na bežnom povrchovom internete. Podľa otvorených dát je stránka Ransomlook registrovaná od roku 2022. Úspešne sa im darí zachovávať anonymitu. Na pravidelnej báze monitorujú hackerské skupiny a ich útoky publikujú na svojej webstránke.
Hovorca Národného bezpečnostného úradu Peter Habara pre Forbes tvrdí, že web Ransomlook evidujú. „NBÚ nepovažuje obsah internetovej stránky za problematický alebo škodlivý – neobsahuje podrobnosti o obeti ani jej dáta. Stránka sa naopak snaží pomôcť obetiam a šíriť bezpečnostné povedomie pre potenciálne obete ransomvérových útokov,“ objasnil Habara.
Deal or leak
Príspevky o hacknutí Slovenskej inovačnej a energetickej agentúry zverejnil portál Ransomlook v marci a júni tohto roku – hackeri dali štátnej inštitúcii ultimátum, dokedy má zaplatiť výkupné za to, aby jej dáta nezverejňovali.
Na dark webe sú podľa stránky Ransomlook v súčasnosti zverejnené údaje, ktoré hackeri vydolovali zo štátnej inštitúcie. Dataset, ktorý bol zverejnený, má veľkosť 62 gigabajtov. Pre predstavu táto veľkosť reprezentuje zhruba deväť dvojhodinových filmov. Dataset bol do začiatku júla prezretý viac ako 70-tisíc ráz.
Na kybernetický incident sme sa opýtali aj priamo SIEA, ktorá pre Forbes vysvetlila, že v posledných mesiacoch zaznamenala podozrivé aktivity v kyberpriestore – vo forme nedostupnosti troch webových sídiel SIEA. Vedomosť o vydieraní útočníkmi podľa slov hovorkyne Zuzany Valentovej nemajú.
Terčom hackerského útoku boli podľa hovorkyne informačné webstránky agentúry. Tie mali byť určené výlučne pre verejnosť. Útočníci ich podľa nej nekontaktovali, no napriek tomu došlo k zverejneniu časti SIEA dát.
„Zaznamenali sme možný únik e-mailových adries zaregistrovaných záujemcov v newsletteri SIEA. Chceme však zdôrazniť, že ide o informačnú stránku, ktorá neobsahuje vysoko citlivé dáta, ale prevažne verejne dostupné informácie,” doplnila s tým, že nedošlo k úniku vysoko citlivých údajov ani iných chránených informácií.
Vedia, kto útočil
SIEA vďaka Národnému bezpečnostnému úradu (NBÚ) vie, kto za útokmi stál. Malo ísť o jednu z existujúcich hackerských ransomvérových skupín. „Informácie, ktoré útočníci získali, boli zverejnené na ich vlastnej stránke,” potvrdila Valentová.
SIEA má podľa nej snahu o posilnenie svojej kybernetickej bezpečnosti. Uskutočňuje preto audity v oblasti kyberbezpečnosti, nastavuje vhodné preventívne opatrenia, procesy a postupy, vzdeláva zamestnancov v otázkach bezpečnosti. Pre riešenie online bezpečnosti má tiež vyčlenené personálne kapacity. Po incidente prijala štátna agentúra ďalšie bezpečnostné opatrenia na zabezpečenie systémov a ochrany dát, doplnila Valentová.
Podobnému útoku čelila nedávno aj Slovenská národná knižnica. Podľa portálu Ransomlook knižnici vypršalo ultimátum na zaplatenie výkupného 15. mája 2024. Malo ísť o pomerne malé súbory, ktoré predstavovali zhruba 20 megabajtov dát. K prípadu sa ministerstvo kultúry, ktoré je zriaďovateľom knižnice, pre Forbes vyjadrilo, že v súčasnosti sú podozrivé aktivity bežnou záležitosťou. „Snažíme sa ich eliminovať alebo minimalizovať ich dopad,” reagovala riaditeľka odboru komunikácie rezortu kultúry Petra Bačinská.
Podľa jej slov nedostali žiadne vydieračské správy, hoci zároveň potvrdila, že systémy Slovenskej národnej knižnice napadnuté boli. Po útoku podalo ministerstvo kultúry trestné oznámenie na neznámeho páchateľa.
Kyberarmáda
V máji pribudli na Ransomlooku správy o tom, že kybernetický útok na Slovensko pokračoval. Zrejme ruskí hackeri sa podľa správy mali zamerať na Prešovský kraj a mesto Trenčín. V príspevku bola označená aj ruská skupina „Narodnaya Cyber Armiya“. Naše zistenia potvrdzuje aj správa ministerstva investícií, v ktorej sa píše, že monitorovali aktivitu proruských hacktivistických skupín, ktoré s DDoS útokmi cielia na stránky verejnej správy.
Ruská hackerská skupina mala ďalej cieliť aj na Medzinárodnú organizáciu pre migráciu (IOM) a na spoločnosť CSM, ktorá naposledy v októbri roku 2022 servisovala motorové vozidlá pre ministerstvo obrany. Podľa správ z portálu Ransomlook, ku ktorým priložili aj prílohu vo forme snímky obrazovky, sa zdá, že išlo o útoky typu DDoS, ktoré majú za cieľ „zhodiť“ stránku tak, aby sa obmedzil prístup verejnosti k portálu.
Podobným spôsobom zhodil hacker aj stránku Burzy cenných papierov v Bratislave. Všetky z vymenovaných útokov sa podľa príspevkov Ransomlooku odohrali v máji tohto roku.
Hovorkyňa bratislavskej burzy Martina Dižová Forbesu odkázala, že vzhľadom na povahu otázok s ohľadom na citlivosť údajov nemôžu odpovedať konkrétne. „Chceli by sme vás však ubezpečiť, že máme zavedené robustné opatrenia a efektívne postupy na ochranu našej inštitúcie pred kybernetickými hrozbami. Naša inštitúcia disponuje odborným tímom na kybernetickú bezpečnosť,“ uviedla Dižová.
Dominika Gadus z IOM Forbesu odkázala, že „po interných kontrolách môžeme potvrdiť, že naša webová stránka nebola napadnutá“. Na webe však bola zmienka o slovenskom IOMe, proti ktorému s najväčšou pravdepodobnosťou zaútočili v štýle DDoS.
Paľba na slovenské podniky
Ďalšia skupina hackerov napadla aj spoločnosť Doprastav, ktorá takmer na mesačnej báze obchoduje so štátom v státisícových cifrách, napríklad v oblasti výstavby a opravy ciest. Doprastav mal podľa Ransomlooku ultimátum na zaplatenie výkupného do 27. februára 2024. Medzitým hackeri zverejnili množstvo e-mailových adries, ktoré sú registrované na doméne doprastav.sk. Spoločnosť na naše otázky do uzávierky článku neodpovedala.
Jedna z hackerských skupín tvrdí, že sa jej začiatkom mája podarilo prelomiť obranu spoločnosti Tpa, ktorá na Slovensku poskytovala samosprávam auditové služby v účtovných závierkach, napríklad auditovala účtovníctvo štátnej akciovky MH Teplárenský holding v septembri 2022. Na otázky spojené s týmto incidentom sa spoločnosť Tpa vzhľadom na citlivosť informácií odmietla vyjadriť.
Napadnutá mala byť aj spoločnosť CQ Service, ktorá sa zameriava na poskytovanie riešení a služieb v oblasti IT infraštruktúry. Spoločnosť dodala 18 serverov za viac ako 37-tisíc eur pre Národnú agentúru pre sieťové a elektronické služby (NASES), ktorá patrí pod rezort investícií (spravuje napríklad ústredný portál verejnej správy Slovensko.sk, pozn. red.). Spoločnosť na naše otázky do uzávierky článku neodpovedala.
Dve hlavné kategórie kybernetických útokov
- Hackerské útoky cielené na veľké inštitúcie a kritickú infraštruktúru, ktorých cieľom je vyvolať chaos a poškodiť reputáciu spoločnosti. Sú za nimi zväčša hackerské skupiny z krajín s pofidérnou povesťou, ktoré s nami vedú hybridnú vojnu.
- Útoky, ktoré majú za cieľ získať finančné prostriedky pomocou vydierania spoločností, ktoré sa stali obeťou hackerov – tí mohli dáta odcudziť, ale aj zablokovať systémy.
Zdroj: Vladimír Poruban z Titans Freelancers
Najvyšší počet hlásení kybernetických incidentov za rok 2023 zaznamenal Národný bezpečnostný úrad v odvetviach verejnej správy, bankovníctva a zdravotníctva. Najmenej útokov bolo nahlásených v sektore dopravy, digitálnej infraštruktúry, energetiky a priemyslu.
Najviac incidentov z časového hľadiska zaznamenal NBÚ v mesiacoch február, marec a november 2023. V roku 2023 prijala vládna jednotka SK-CERT o 196 hlásení́ menej ako v roku 2022, čo však neznamená, že slovenský online priestor bol bezpečnejší́. NBÚ v správe píše, že v oblasti ransomvérových útokov zaznamenali za predošlý rok nárast.
Približne rovnaké riziko hrozieb
Počet hrozieb zachytených na Slovensku za prvý polrok tohto roka je podľa kyberbezpečnostnej firmy Eset približne rovnaký ako za rovnaké obdobie vlaňajška. „V tom období sa čísla zachytených hrozieb vrátili približne do úrovne, ktorú sme sledovali v období pred začiatkom vojny na Ukrajine,“ oznámil Igor Kmiť zo spoločnosti Eset. Nárast kybernetických hrozieb bolo možné sledovať v roku 2022. Plnoformátová vojna na Ukrajine preukázala svoju prítomnosť aj v online priestore.
Čo robiť, keď sa spoločnosť stane terčom hackerov? Vladimír Poruban zo spoločnosti Titans Freelancers neodporúča platiť vydieračom. V prípade, že došlo k odcudzeniu údajov, nemajú spoločnosti a inštitúcie žiadnu istotu, že aj po zaplatení výkupného nebudú údaje zneužité alebo vydieranie nebude pokračovať.
Spoločnosť Eset navyše pre Forbes dodala, že platením výkupného obete financujú ďalšiu aktivitu hackerov, „ktorí získajú prostriedky na vyvíjanie ešte sofistikovanejších hrozieb. Ideálnym riešením je ransomvérovému útoku predísť“. Súhlasí aj Poruban, podľa ktorého mali spoločnosti platiť radšej preventívne za budovanie svojej kyberbezpečnosti, nie následne hackerom za výkupné.
Bezpečnostný konzultant Michal Sekula zo spoločnosti Eviden si myslí, že bezpečnostné opatrenia väčšinou kybernetickým útokom nezabránia, ale znižujú riziko a rozsah ich dopadu.
Stále viac a viac platí, že otázkou nie je, či budete napadnutí, ale kedy budete napadnutí a ako útok prežijete.
Michal Sekula
Operácia Endgame
Podľa správy vládnej jednotky CSIRT.SK (riešia bezpečnostné IT incidenty vo verejnej správe), ktorá spadá pod ministerstvo investícií, uskutočnili v máji orgány činné v trestnom konaní niekoľko významných medzinárodných operácií proti hackerským skupinám.
Europol s pomocou partnerov prostredníctvom akcie „Endgame“ úspešne narušil hackerskú infraštruktúru, ktorá vypúšťala škodlivý malvér – jeho cieľom je infikovať zariadenia obete ďalšími typmi škodlivého kódu vrátane ransomvéru. Vyšetrovatelia identifikovali vodcu ransomvérovej skupiny Lockbit, ktorý vystupoval pod aliasom LockBitSupp.
Zverejnené informácie preukázali, že sa jedná o ruského kybervodcu Dmitryho Khorosheva. K útoku na Slovenskú národnú knižnicu sa hlásila práve skupina Lockbit pod odhaleným vodcom hackerov.
Vládna jednotka CSIRT sa v máji zaoberala najmä phishingovými aktivitami. „Vyskytli sa tiež prípady kompromitovaných e-mailových účtov zamestnancov verejných inštitúcií, z ktorých útočníci rozposielali phishingové e-maily na ďalšie organizácie. Časť z nich predávali útočníci na internetových fórach. Opätovne sa objavila phishingová kampaň, v ktorej útočníci predstierajú totožnosť Europolu a vysokopostavených členov Polície SR a posielajú svojim obetiam falošné súdne predvolania spojené s obvineniami z prechovávania detskej pornografie a podobných sexuálnych deliktov,“ informovala v správe.
Zanedbávaná ochrana
Sekula tvrdí, že existuje množstvo druhov kybernetických útokov. „Na niektoré môžete byť pripravení lepšie, na iné horšie alebo aj vôbec. Sú sektory, ktoré sú regulované a platia pre ne rôzne legislatívne nariadenia alebo aj sektorové regulácie v oblasti kybernetickej bezpečnosti. Tie sú na tom lepšie ako sektory, ktorým kybernetickú ochranu nik nenariadil ani neprišli na to, že je čosi takéto potrebné. Často prevláda presvedčenie, že im sa nemôže nič stať, veď kto by im chcel uškodiť?“ podčiarkol Sekula.
Eset prikyvuje – firmy, ktoré si myslia, že nie sú zaujímavým terčom, často zanedbávajú základné bezpečnostné opatrenia. „Pre útočníkov ide v tom prípade o ľahko zarobené peniaze. V prípade technicky najpokročilejších hrozieb ide skôr o významné spoločnosti pôsobiace v oblastiach kritickej infraštruktúry, vládne organizácie či armádu, kde si spravidla hackeri musia dať záležať na prelomení ich ochrany,“ vysvetľuje Eset. Za účelom špionáže sa hackeri snažia nepozorovane zotrvať v systémoch obete čo najdlhšie.
Problémom v kybernetickom priestore je aj nedostatočná pripravenosť takzvaných „prevádzkovateľov základných služieb“. Podľa NBÚ sú najzodpovednejší prevádzkovatelia bankových služieb. Prevádzkovatelia základných služieb prechádzajú tiež auditom kybernetickej bezpečnosti, ktorým sa preveruje, ako efektívne dokážu proti hackerom bojovať a kde majú priestor na zlepšenie.
Nízky počet auditov
Napríklad v sektore bankovníctva je 19 prevádzkovateľov základných služieb, z ktorých deväť vlani odovzdalo auditovú správu. Diametrálne odlišné je to vo verejnej správe. V súčasnosti máme 1 400 prevádzkovateľov v tomto sektore, no odovzdaných auditných správ bolo 53. NBÚ píše, že v niektorých prípadoch je verejná správa z pohľadu kybernetickej bezpečnosti kriticky zanedbaná. NBÚ hovorí napríklad o samosprávach, ktoré si neuvedomujú dôležitosť bezpečnosti v online priestore.
Najčastejšou motiváciou sú podľa Sekulu peniaze a snaha uškodiť. „Nezriedka sú v tom aj politické motívy. Útočiť môžu jednotlivci, menšie organizované skupiny, ale aj skupiny hackerov podporované štátmi, teda s takmer neobmedzenými zdrojmi. Aj generálny tajomník Interpolu sa vyjadril, že už majú obrovské problémy s masívnym nárastom kybernetickej kriminality,” zdôrazňuje Sekula.