În contextul în care mai multe spitale din România au fost atacate cibernetic, specialistul companiei românești de antivirus Bitdefender a precizat că atacurile de tip ransomware, care presupun blocarea accesului la datele de pe un computer până în momentul în care este plătită o răscumpărare, sunt destul de ușor de pus în practică.
Pentru acestea nu sunt necesare „cunoștințe speciale”, iar informațiile rămân practic blocate fie până când se plătește răscumpărarea, fie până când este găsită o metodă de decriptare.
Hackerii s-au orientat către spitale tocmai fiindcă fac parte dintr-o infrastructură critică, medicii nemaiputând să își desfășoare actul medical deoarece nu mai au acces la informații despre pacienți. „Sub această presiune, bineînțeles, spitalele sunt mult mai ușor de convins să plătească răscumpărarea”, mai spune Bogdan Botezatu.
În general în cazul unui atac de tip ransomware, hackerii nu prea pot fi localizați, însă Bogdan Botezatu atrage atenția că, în unele cazuri, atunci când se reușește acest lucru, aceștia se află, de regulă, în „paradisuri de criminalitate informatică, cum ar fi China sau Rusia”.
Europa Liberă: Când au început astfel de atacuri?
Bogdan Botezatu: „Atacurile asupra spitalelor nu sunt un lucru nou, ele au început să apară în mod constant încă din 2017, când operatorii de ransomware și-au căutat noi ținte. Acum câteva luni am observat atacuri similare, de exemplu, în Marea Britanie, în Statele Unite. Acum a venit rândul României să pice sub asediul atacatorilor informatici.”
Europa Liberă: Sunt spitalele mai vulnerabile la astfel de atacuri? Mai dispuse să plătească?
Bogdan Botezatu: „Da. Hackerii, au început să experimenteze cu sistemele informatice ale spitalelor din motive evidente. Primul este că aceste spitale lucrează cu informații care sunt critice pentru efectuarea actului medical. Practic, atunci când toate informațiile noastre sunt criptate de atacatorii ransomware, medicii nu mai pot deschide fișele pacienților, nu mai pot vedea dacă pacientul este alergic la o anumită medicație sau ce grupă sanguină are și așa mai departe, ceea ce blochează tot actul medical în sine. Sub această presiune, bineînțeles, spitalele sunt mult mai ușor de convins să plătească răscumpărarea decât să aștepte metodele tradiționale de dezinfecție si restabilire a informațiilor din backup-uri, dacă există.
Este foarte important să nu plătim răscumpărarea pentru că toți acești bani care merg către infractorii informatici finanțează cercetarea și dezvoltarea de alte amenințări informatice mult mai agresive care vor face noi victime în termen scurtBogdan Botezatu, Bitdefender
Hackerii sunt foarte receptivi și se mișcă foarte repede atunci când a fost efectuată plata. Deci, principalul obstacol este schimbarea banilor tradiționali în monedă digitală care nu poate fi urmărită și care le-ar permite hackerilor să primească respectivii bani. Pe partea recuperării datelor din backup, principalul obstacol este lipsa unor backup-uri. Faptul că avem niște copii de siguranță care nu sunt validate și nu se instalează corect. În principiu, astea ar fi principalele două motive care le împing pe victime să plătească recompensa. Lipsa unui backup și lipsa capacității de a restaura aceste sisteme. Au un backup, dar trebui să restaureze acele sisteme imediat pentru că altfel nu pot procesa pacienți sau nu pot efectua zboruri, în cazul altor instituții.
Europa Liberă: Ministrul Sănătății vorbea despre o răscumpărare de 10.000 de euro, sumă plătită de unul dintre spitalele atacate în urmă cu trei ani. Este mult, este puțin?
Bogdan Botezatu: „Este extrem de puțin. Noi îi sfătuim pe utilizatori să nu plătească hackerilor răscumpărarea. Uneori, atunci când se ajunge în acest moment se face o analiză de cost versus beneficiu. Costul ar fi, în cazul spitalelor, incapacitatea oferirii de servicii medicale pentru pacienți potențial în criză și atunci plata unei răscumpărări este soluția cea mai ușoară și cea mai eficientă pentru toată lumea. Din punct de vedere al banilor, atacatorii informatici cer în jur de 10.000 de euro pentru fiecare calculator infiectat din instituții-țintă. Dar cele mai mari solicitări pe care le-am văzut noi (Bitdefender, n.r.) solicitate pentru decriptare sunt în jur de 700.000 de dolari.”
Europa Liberă: În România?
Bogdan Botezatu: „Nu era în România respectiva răscumpărare, era în Statele Unite. Dar sumele acestea variază în funcție de importanța sistemelor și de tipul de victimă. Dacă este o victimă dintr-o instituție critică, cum ar fi distribuție de electricitate, transport, telecomunicații sau spitale, în general, hackerii cer în jur de 10.000 de euro pentru fiecare calculator infectat. Chiar și în România.”
Europa Liberă: Preferă hackerii spitalele de stat sau pe cele private?
Bogdan Botezatu: „Hackerii nu fac distincția atunci când vine vorba despre spitale, de stat sau private, pentru că ambele oferă aceleași oportunități. De foarte multe ori vorbim despre faptul că instituțiile publice sunt mult mai vulnerabile decât companiile private. Dar când vine vorba despre spitale, situația este oarecum similară pentru că marile vulnerabilități în spitale nu sunt laptopurile și calculatoarele angajaților, ci echipamentele medicale care rulează sisteme de operare vechi sau aplicații de imagistică care vin cu sisteme de operare vechi. Acest lucru se datorează în mare parte faptului că acele infrastructuri sunt critice pentru funcționalitatea unui sistem, iar sistemele de securitate IT din spitale nu prea se ating de ele de teamă că un update le-ar putea scoate din funcțiune.”
Europa Liberă: Este cumva un cerc vicios.
Bogdan Botezatu: „Exact. Există în acest moment extrem de multe dispozitive medicale, cum ar fi aparatură RMN sau de imagistică cu raze X cu sisteme de operare Windos XP care nu mai sunt suportate de câțiva ani buni de vânzătorul de sisteme de operare.”
Europa Liberă: Procentual, câte instituții plătesc răscumpărarea?
Bogdan Botezatu: „Este greu de spus pentru că, de regulă, instituțiile nu raportează acest lucru. Îl aflăm și noi din presă atunci când s-au efectuat plăți pentru atacuri de tip ransomware, cum a fost cel de acum câțiva ani.”
Europa Liberă: Dar în cazul utilizatorilor casnici?
Bogdan Botezatu: „Vă dau un exemplu. În ultimul an, o singură familie de ransomware (care înseamnă mai multe versiuni ale aceluiași tip de virus, n.r.) din cele 140 care au apărut de-a lungul anului 2018 a reușit să strângă aproximativ două miliarde de dolari din răscumpărări plătite de victime de pe tot globul. Am avut, de exemplu, situații în care victimele au venit pentru suport tehnic la noi, am avut cum să le decriptăm informațiile de-a lungul unui an, iar aceste informații decriptate ar fi însemnat 50 de milioane de dolari.”
Europa Liberă: Este ransomware cel mai grav tip de atac cu care se pot confrunta instituțiile?
Bogdan Botezatu: „În acest moment, da, pentru că un atac cu ransomware este foarte ușor de executat. Atacurile nu necesită cunoștințe speciale. Mai mult decât atât, un astfel de atac, odată executat pe un calculator, iar datele criptate, nu mai poate fi tratat prin simpla eliminare a virusului: datele rămân în continuare criptate fie până când reușim o metodă de decriptare, fie până când este făcută plata către atacatori în schimbul cheii de decriptare.”
Europa Liberă: Din ce zonă provin atacatorii?
Bogdan Botezatu: „În general, nu prea pot fi localizați pentru că folosesc tehnici de anonimizare pe internet cum ar fi acel internet întunecat („dark web”) care le permite să comunice cu victimele în mod securizat. În unele circumstanțe, atunci când reușim să mergem pe firul amenințării informatice și localizăm atactorii, aceștia se află de regulă în paradisuri de criminalitate informatică, cum ar fi China sau Rusia, ceea ce face imposibilă urmărilea lor penală sau extrădarea.”
Europa Liberă: Cum se pot feri atât instituțiile, cât și utilizatorii casnici de aceste atacuri ransomware?
Bogdan Botezatu: „Când vine vorba de ransomware, prevenția este cea mai bună apărare. Dacă reușim să instalăm o soluție de securitate performantă, cu capacități de detectare a ransomware-ului, dacă reușim să ne facem copii de siguranță regulat și să le păstrăm neconectate la aceleași calculatoare de pe care copiem informațiile, suntem oarecum acoperiți. Dacă, cu toate acestea suntem vizați de ransomware și informațiile sunt criptate, este foarte important să nu plătim răscumpărarea pentru că toți acești bani care merg către infractorii informatici finanțează cercetarea și dezvoltarea de alte amenințări informatice mult mai agresive care vor face noi victime în termen scurt.”
Facebook Forum