PRVNÍ DÍL

Hej, co je to za otázku? Na ransomware přece ještě nikdo neumřel! Nebo?

Příběh na úvod

Jednotka intenzivní péče. Něco po druhé ráno.

Pane doktore, nejde mi zapsat do dekurzu stav pacientů. Seká se mi počítač.”

A zkusila jste to vypnout a zapnout?”

Zkusila, píše mi to cosi o bitcoinech,”

To bude asi větší průšvih, už jsem o tom slyšel. Zavolejte ajťáky. Co pacienti?”

Všechny jsem zkontrolovala a jsou v pořádku,”

Tak vzbuďte ty ajťáky,”

Když doktor dokončil obchůzku, chtěl se podívat do záznamů v počítači. Pan D. se mu nepozdával. Ale i lékařský počítač byl nějaký pomalý a karta pacienta se načítala skoro minutu. Místo vypsání posledních záznamů vyskočilo okno s chybovým hlášením.

To si snad dělají legraci. Co ti ajťáci, sestro?”

Ano, už na tom pracují a prý na nic nesahali,”

Co už můžu dělat,” pomyslel si lékař a vydal se k lůžku pana D. pro složku s papírovými záznamy a poznámkami. Právě když došel do tlumeně osvětlené místnosti ozval se jeden z monitorů dlouhým pípnutím. Na znovu rozsvícené obrazovce začaly naskakovat výpisy technické diagnostiky. Náhle se obrazovka rozsvítila červeně a nápis oznamoval Tvůj počítač byl zašifrován. Zaplať 1 bitcoin na účet 8f5…” Lékař na nic nečekal a přístroj vypnul. Rozhlédnul se. S uklidněním konstatoval, že ostatní pacienti nejsou na podobný přístroj připojení a tedy jim nic podobného nehrozí. Ale co teď. Další takový přístroj na oddělení nebyl. Rozběhl se zpátky na sesternu.

Volejte do sousedních nemocnic, jestli nám můžou zapůjčit přístroj. Náš se porouchal a máme na něm pacienta,” řekl sestře, ještě než se rozezněl varovný bzučák. Jdu za panem D.” Když se vrátil, vypnul varování na monitoru a sledoval indikátor, klesající do nebezpečných hodnot. Za chvíli přiběhla sestra Máme přístroj, za dvacet minut je tu.” Dvacet minut pan D. vydrží. Snad se nestane nic dalšího,” odpověděl lékař. Sestro, podejte mu 10 miligramů …”

Po podání medikace se pan D. stabilizoval a za čtvrt hodiny jej sestra přepojila na přístroj zapůjčený z nedaleké univerzitní nemocnice. Dnešní incident přežil v umělém spánku a jedinými, kdo se museli obávat o jeho život, byli lékař a sestra. Ve 4:45 se od IT podpory dozvěděli, že jejich nemocnice byla napadena ransomwarem. Ale to už v té době věděli. Stejně jako to, že náprava potrvá delší dobu.

Takový příběh se mohl odehrát v kterékoliv nemocnici, o které jsme se v posledních několika letech dozvídali za zpravodajství. Stačilo málo, a příběh pana D. nemusel skončit šťastně. A nemocnice? Na tři týdny omezila provoz a vše důležité se psalo na papír. Všechny plánované operace a vyšetření byly posunuty o měsíc. Méně důležitá oddělení a kliniky byly uzavřeny a pacienti posíláni do jiných nemocnic v okolí. Jako poslední byl obnoven systém kuchyně. Data o pacientech a účetnictví ze dvou týdnů před aktivací ransomwaru nebyla v offline zálohách a nelze je tedy zcela obnovit. Ztráta? Naštěstí jen finanční. Pan D. i ostatní pacienti přežili.

Účet za celou dobu odstávky systémů a pracovišť činí 19 milionů korun propadu v příjmech za neprovedené výkony a 3 miliony za reinstalace, opravy, nové přístroje a rekonfiguraci sítě. K předejití takovým následkům by postačil jen zlomek této sumy, pokud by se správná opatření zavedla dostatečně včas.

CO SE TO DĚJE A PROČ?

Už v minulosti jsme byli svědky úspěšné penetrace zavaděče škodlivého software do vnitřní sítě, rozpoznávání potenciálních cílů, implantaci výkonných modulů, jejich aktivaci a následného finále ve formě krádeže nebo znepřístupnění dat za účelem vydírání. Tvůrci malwaru neberou žádné ohledy na typ a velikost cíle. Jejich programy hledají slabá místa jakéhokoliv cíle, který má přístup k internetu, bez ohledu na jeho druh a způsob použití. 

Počítač je dnes součástí téměř každého běžně používaného zařízení, což jej činí zranitelným. Ať už se podílí na přenosu v síti jako router nebo firewall, je to koncový počítač uživatele, server, automat v průmyslu, laboratoři, zdravotnictví, ovladač chytré domácnosti, mobilní telefon nebo senzor v internetu věcí. A s počítači vždy pracují lidé, kteří jsou určujícím a zároveň nejslabším článkem bezpečnosti.

Díky karanténním opatřením se (téměř) celý svět přesouvá do online“ a home office režimu, v důsledku čehož se objevují nové možnosti pro kybernetické kriminálníky, jejichž byznys zažívá nebývalý rozkvět. Koho by ještě před několika měsíci či týdny napadlo, že firmy a instituce vyskočí z domněle bezpečných ulit svých jakž takž chráněných infrastruktur? A roztáhnou svá křídla až do domovů svých zaměstnanců, pracujících na home office? 

Nejen mnohým byznysmenům a obchodníkům, ale ani protřelým kyberlotrům se nesnilo o tom, že dosud skrytá jednání, odehrávající se v izolovaných zasedačkách, kde je pravidlem nechat i mobilní telefon venku, se přesunou na videokonferenční služby. Kybernetičtí kriminálníci mají nečekanou možnost objevit nové druhy zranitelností. Jejich dávný sen se naplnil a kybernetičtí zločinci mají více příležitostí nám dokázat, že jsou špičkou ve svém špinavém podnikání, zvaném zločin a že umí okamžitě a bez dlouhých schvalovacích procesů využít cokoliv, z čeho jim kyne zisk.

V dalším díle vám ukážeme, jak probíhá kybernetický útok tam, kde jsou na hrozby dobře připraveni.

Druhý díl Analýza síťového provozu GREYCORTEX
Štítky
09/04/2020 – 07:53

Dostávejte nové články pohodlně e-mailem

Každý měsíc vám pošleme výpis nových článků z našeho blogu.

Kategorie