LockBit stoji iza milijunskih ucjena, samo u SAD-u su izvukli više od 90 milijuna dolara, a sveukupna financijska šteta koju su nanijeli diljem svijeta možda se zbraja u milijardama dolara
Ruska hakerska skupina LockBit pohvalila se kibernetičkim napadom
na KBC Zagreb zbog kojeg je prošlog četvrtka kompletan
informatički sustav bolnice pao te je u samo nekoliko sati sve
prebacilo papirnati mod i pisanje nalaza rukom.
I dok je javnost dobila informaciju da se sustav već idući dan
vratio u normalu te se dobio dojam da je sve natrag opet pod
kontrolom uz prilično šturu informaciju da je hakerski napad bio
ozbiljan, kao nova vijest eksplodirala je informacija da se ruska
hakerska grupa pohvalila popisom hakiranog sadržaja bolnice.
Naveli su da je to medicinska dokumentacija, pregledi i studije
pacijenata, doktorski znanstveni radovi, kirurgija, podacima o
organima i darivateljima, banke organa i tkiva, podaci o
zaposlenicima (adrese, brojevi telefona), pravni dokumenti
zaposlenika, podaci o donacijama i odnosima s privatnim tvrtkama,
knjiga donacija, podaci o rezervama lijekova, izvješća o povredi
osobnih podataka.
Dakle, niz vrlo osjetljivih podataka za koje se ne može ni
slutiti što bi značilo ako kriminalna organizacija nešto s njima
učini.
LockBit je objavio da je dao i deadline, odnosno datum ucjene i
to 18. srpnja, dajući naslutiti da su dali uvjet otkupnine, ali
nisu otkrili i o kojem je iznosu riječ.
Neslužbeno smo doznali da su hrvatske službe upoznate s ovom
ruskom zloglasnom hakerskom skupinom i da znaju za njihovu
objavu.
No službene potvrde hrvatskih vlasti o tome nema. Ni na naš upit
o tome je li bolnica ucijenjena od ruskih hakera, do
objavljivanja ovog teksta nisu odgovorili ni iz KBC-a Zagreb, ni
iz SOA-e.
Iz Ministarstva unutarnjih poslova navode tek šturo da provode
kriminalističko istraživanje s ciljem utvrđivanja okolnosti
napada te da uvažavajući tajnost izvida nisu u mogućnosti dati
više informacija.
Sam hakerski napad krenuo je oko jedan u noći prošlog četvrtka, a
koliko je bio ozbiljan i velik govori i podatak da je odmah
dignuto 100-tinjak stručnjaka. Pomoćnik ravnatelja KBC-a Zagreb
Milivoj Novak nakon napada tvrdio je da nije došlo do curenja
podataka, ali ako je točno ono što su sad hakeri objavili, moguće
je da ipak jest.
Platforma za kibernetičku sigurnost SOC Radar navodi kako je
LockBit lani bila najaktivnija globalna grupa koja razvija
Ransomwarea viruse za kibernetičke napade. Učestalost njihovih
napada iz godine u godinu raste.
Smatra se da su ovi hakeri odgovorni možda za trećinu svih
Ransomware napada u prvom kvartalu 2023. u svijetu. Ove
kibernetičke kriminalce prvi su put primijetili u rujnu 2019.
godine, a najaktivnija Ransomware grupa postali su 2022.
Prema podacima platforme SOCRadar samo u prvom kvartalu prošle
godine imali su više od 300 najavljenih žrtava, ali podaci o tome
variraju i spominje se da u najavi imali i više od 1000 napada.
Tvrtka Atento iznijela je procjenu da se težina njihovih napada
penje na 42,1 milijun dolara u 2021. godini, a da ukupne
financijske štete uzrokovan zlonamjernim radnjama LockBita možda
premašuju milijarde dolara.
Oni koji prate njihov rad upozoravaju da grupa razvija i nove
sojeve zlonamjernog Softwarea LockBit 3.0 kojim se sad hvale da
su napali KBC Zagreb. Ta verzija virusa poznata je i kao LockBit
Black.
Kakav je to virus LockBit 3.0?
Kriminalci koriste različite taktike za napade na široku lepezu
tvrtki i institucija te njihove kritične infrastrukture. Često
koriste i model dvostruke iznude, a poznati su i po regrutiranju
outsidera po hakerskim forumima, čak raspisuju za to i
natječaje.
Zaobilazi određene jezike
Ovime privlače mnogobrojne hakere, niču i njihove podružnice i
šire svoje zlonamjerne kriminalne radnje.
Sam virus LockBit 3.0 šifrira sadržaj do izvršenja napada, on
inficira cijeli sustav a zanimljiv je detalj da u svom napadu
izuzima sustave koji koriste pojedine jezike – na prvom mjestu
ruski, potom rumunjski (Moldavija), arapski (Sirija), tatarski
(Rusija) i dr.
Iako ova hakerska skupina tvrdi da se ne bavi politikom, ipak su
mnoge mete članice NATO-a, a prema podacima SOCRadar-a, oko
polovice napada s varijantom LockBit 3.0 pogađa američke tvrtke.
Ne može se reći da imaju određenu industriju na koju ciljaju, ali
su im na meti češće sustavi zdravstva i obrazovanja, potom male i
srednje organizacije te velike IT tvrtke.
Nekoliko je modaliteta napada, a jednom kad LockBit uđe u sustav
žrtve, može modificirati svoje ponašanje.
Nakon enkripcije, LockBit 3.0 ispušta poruku o otkupnini, a može
slati i šifrirane informacije za naredbe i kontrolu.
Prema pisanju istog portala, Grupa LockBit odgovorna je za
otprilike jedan od šest napada ransomwarea usmjerenih na SAD.
LockBit je izveo gotovo 1700 napada i stekao 91 milijun dolara
otkupnine samo od žrtava u SAD-u.
Hakeri neprestano poboljšavaju varijante LockBita, a varijanta
kojom su napali KBC Zagreb naziva se i LockBit Black.
Oni koji prate ovo područje navode i da je LockBit posrtao u
svojim pokušajima da stvarno objavi nečije podatke, čak da su
njihove prijetnje bile šuplje i da su služile jednostavno kao
način iznude.
Hrvatski stručnjak za kibernetičku sigurnost Markom Gulanom u
ranijem razgovoru za Danas.hr iznio je zanimljivost za Ransomware
napade u kakav spada i LockBit. Komentirajući napad na Rebro
(prije nego što su ruski hakeri objavili da stoje iza njega
opa.), naveo je da se kroz takve napade sustav inficira iznutra.
“Takvi napadi mogu biti opasni kad napadač ima vrlo visok motiv.
Treba shvatiti da napadač troši svoje resurse – znanje, vrijeme i
novac. Ako netko želi napasti neku instituciju, on mora imati
znanje o tome kako stvari funkcioniraju unutar sustava. Ne mogu
hakeri samo tako pogoditi nečiju IP adresu, nego moraju biti
prisutni u sustavu neko vrijeme ili imati nekog insajdera koji će
im dati podatke”, rekao nam je ranije Gulan.
Iznio je i podatak da svjetska statistika pokazuje da se prije
uspješnog Ransomware napada prethodi dugotrajna priprema koja u
prosjeku traje između 200 i 220 dana te da se žrtva potiho
promatra iznutra. Štoviše, ponekad napadač može biti u sustavu
godinama prije nego krene u akciju.
Službena istraga tek treba utvrditi odakle je i kada napad krenuo
te kolika je šteta (ako jest) nastala.
Dodajmo i to da je hakerski napad na KBC Zagreb bio dan nakon
hakerskog napada na financijske institucije – Zagrebačku burzu,
Poreznu upravu, Hrvatsku narodbu banku, Ministarstvo financija.
No ovo je bila druga vrsta napada – takozvani DDoS napad koji je
krenuo izvana. To je inače jednostavniji i benigniji oblik napada
gdje se meta “bombardira” izvana. I ovdje su ruski hakeri
preuzeli odgovornost za napad i pohvalili se time, ali su naveli
da ne stoje iza napada na Rebro te da oni nisu u ratu s civilima
nego s rusofobnim vladama.