Velika priča o hakerima: Toliko su opasni da postoje stručnjaci za pregovaranje

Nekoliko dana nakon Dana zahvalnosti prošle godine Kurtis Minder dobio je poruku od čovjeka čija je mala građevinsko-inženjerska tvrtka u američkoj saveznoj državi New York hakirana. Minder i njegova sigurnosna tvrtka GroupSense cijelo su vrijeme primali ovakve pozive i mailove, od kojih su mnogi bili prožeti panikom. Zaposlenik u pivovari, tiskari ili kompaniji za web dizajn pojavio bi se jednog jutra na poslu i pronašao zaključane sve računalne datoteke te zahtjev za plaćanjem otkupnine u kriptovaluti, piše The New Yorker.

Neke su poruke bile agresivne (“Nemojte misliti da smo budale, o vama znamo više nego što vi znate o sebi”), druge lakonske (“Ups, vaše važne datoteke su šifrirane”) ili one s lažnim isprikama (“Žao nam je, ali sve su vaše datoteke šifrirane”). Neke su poruke iznudu predstavljale kao legitimnu poslovnu transakciju, kao da su hakeri obavili korisnu sigurnosnu reviziju: “Gospodo! Vaše je poslovanje u ozbiljnom riziku. Postoje značajni propusti u sigurnosnom sustavu vaše tvrtke.”

Val napada ransomwareom

Poruke su obično uključivale link do web stranice na mračnom webu, dijelu interneta kojem se može pristupiti samo uz poseban softver, gdje ljudi odlaze raditi tajne stvari. Kad su žrtve otvorile stranicu, iskočio je sat koji je odbrojavao nekoliko dana za ispunjavanje zahtjeva za otkupninom. Sat je počeo otkucavati zlokobno, poput tajmera spojenog na bombu u akcijskom filmu. Chat je omogućavao razgovor s hakerima, prenosi index.

U posljednjih godinu dana val napada ransomwareom učinio je ovo pandemijsko razdoblje još težim. U prosincu je vršiteljica dužnosti američke Agencije za kibernetsku sigurnost i sigurnost infrastrukture rekla da ransomware “brzo postaje nacionalni gorući problem”. Hakeri su napali proizvođače cjepiva i istraživačke laboratorije. Bolnice su izgubile pristup protokolima kemoterapije, školski okruzi su otkazivali nastavu. Kompanije koje se trude omogućiti rad na daljinu našle su se posljednje ugrožene od hakera. U svibnju je napad ransomware grupe DarkSide natjerao na zaustavljanje mrežu Colonial Pipeline, koja gorivom opskrbljuje veći dio istočne obale SAD-a. Isključivanje, koje je potaknulo cijene plina i dovelo do niza paničnih kupnji, skrenulo je pozornost na potencijal ransomwarea da onemogući kritičnu infrastrukturu. Tjedan dana poslije napada, nakon što je Colonial platio otkupninu od 4.4 milijuna dolara za vraćanje svojih sustava na internet, osamdeset posto benzinskih crpki u Washingtonu još uvijek nije imalo goriva.

FBI savjetuje žrtvama da izbjegavaju pregovore s hakerima

FBI savjetuje žrtvama da izbjegavaju pregovore s hakerima, tvrdeći da plaćanje otkupnina potiče kriminalno ponašanje. To žrtve dovodi u nezgodan položaj.

“Bolnica ne može jednostavno reći da neće platiti. Što bi trebala učiniti? Zatvoriti sve i pustiti ljude da umru?” rekao je za The New Yorker Philip Reiner, direktor neprofitnog Instituta za sigurnost i tehnologiju.

Organizacije koje ne plate otkupnine možda će morati mjesecima obnavljati svoje sustave, a ako su podaci o kupcima ukradeni i procurili tijekom napada, regulatorna tijela mogu ih kazniti novčanom kaznom. Godine 2018. grad Atlanta odbio je platiti otkupninu od otprilike pedeset tisuća dolara. Umjesto toga, pokušavajući se oporaviti od napada, potrošila je više od dva milijuna dolara na kriznu komunikaciju s javnošću, digitalnu forenziku i savjetovanje. Za svaki slučaj ransomwarea koji završi u vijestima postoji mnogo više malih i srednjih kompanija koje radije šute o svom problemu, a više od polovice njih plaća hakerima, pokazuju podaci kompanije za kibernetsku sigurnost Kaspersky.

Stručnjak za pregovaranje

Posljednjih godinu dana 44-godišnji Minder vodi pregovore između tvrtki i hakera, što je uloga koja nije postojala prije samo nekoliko godina. Nekoliko stručnjaka za pregovaranje o ransomwareu i osiguravajuće tvrtke s kojima redovito surađuju pomažu ljudima da se snađu u svijetu kiberiznude. No, optužuju ih za poticanje kriminala olakšavanjem isplate hakerima. Ipak, s ransomwareom u porastu, ne nedostaje im klijenata. Minder, koji je blag i nepretenciozan i čiji je razgovor isprekidan samozatajnim smijehom, postao je slučajni stručnjak. “Dok sam razgovarao s vama, već sam primio dva poziva”, rekao je tijekom razgovora za The New Yorker u ožujku.

Čovjek koji ga je kontaktirao u studenom objasnio je da je napad, djelo hakerskog sindikata poznatog kao REvil, učinio nedostupnima ugovore i arhitektonske planove kompanije. Svaki dan tijekom kojeg su datoteke ostale zaključane bio je još jedan dan kad osoblje nije moglo raditi.

“Nisu imali ni zaposlenog IT osoblja”, rekao je Minder. Tvrtka nije imala policu kiberosiguranja. Čovjek je objasnio da je bio u kontaktu s tvrtkom na Floridi koja je obećala dešifrirati datoteke, ali je prestala odgovarati na njegove mailove. Želio je da Minder pregovara s hakerima kako bi dobio ključ za dešifriranje. “Ljudi koji me kontaktiraju uznemireni su, jako su uznemireni”, kaže Minder.

Kao dijete Minder je posjetio oca u mlinu u kojem je radio, u središnjem Illinoisu, i gledao ga kako diže vreće brašna od 50 kilograma. Njegova majka, koja je radila u državnoj službi, sjedila je u klimatiziranom uredu uz šalicu kave. Nije sasvim razumio što je njezin posao, osim što se činilo da uključuje puno tipkanja.

Nakon fakulteta, početkom 90-ih godina, dobio je posao tehničke podrške kod lokalnog davatelja internetskih usluga. U roku od godinu dana unaprijeđen je u pomoćnika administratora sustava, što je podrazumijevalo praćenje dnevnika poslužitelja. Počeo je primjećivati neobičan obrazac, za koji je na kraju shvatio da je dokaz hakiranja.

“Hakeri bi koristili naše usmjerivače kao ono što bismo sada nazivali pivot point, odbijajući se od njih kako bi napadali nekog drugog, pa je izgledalo kao da napad da dolazi od nas”, objasnio je Minder.

Napadači su obično bili hobisti koje je više zanimalo pokazivanje svojih vještina nego izazivanje štete. Minder je bio zadovoljan što je uspio nadmudriti hakere.

U početku je bio scareware

U to su vrijeme hakeri dokazali da mogu nanijeti ozbiljnu štetu. Dvadeset tisuća javnozdravstvenih istraživača širom svijeta dobilo je 1989. godine disketu koja je sadržavala informativni program o pomagalima. Ali disk je također sadržavao zlonamjerni program koji se sada smatra prvom instancom ransomwarea. Nakon što su korisnici 90 puta ponovno pokrenuli računalo, na ekranu se pojavio tekst koji ih je obavijestio da su njihove datoteke zaključane. Tada su njihovi printeri izbacili poruku o otkupnini s uputom da pošalju 189 dolara na poštanski pretinac u Panami. Zlonamjerni softver, koji je poznat kao trojanski virus Aids, stvorio je Joseph Popp, evolucijski biolog koji je studirao na Harvardu. Popp, čije je ponašanje postajalo sve nestabilnije nakon uhićenja, proglašen je nesposobnim za suđenje, a kasnije je osnovao utočište za leptire u saveznoj državi New York.

Poppovu strategiju – šifriranje datoteka privatnim ključem i zahtijevanje naknade za njihovo otključavanje – danas često koriste ransomware grupe. No, hakeri su u početku preferirali pristup poznat kao scareware, u kojem su računalo zarazili virusom koji se manifestirao kao umnožavanje skočnih prozora sa zloslutnim porukama: “Sigurnosno upozorenje! Vaša privatnost i sigurnost su u opasnosti.” Skočni su prozori poručili korisnicima da kupe određeni antivirusni softver kako bi zaštitili svoje sustave. Hakeri, koji su se predstavljali kao softverske kompanije, tada bi mogli primati uplate kreditnim karticama, koje nisu bile dostupne onima koji primjenjuju ransomware. Početkom 2000-ih godina hakerski ransomware programi obično su tražili nekoliko stotina dolara, u obliku darovnih kartica ili pretplaćenih debitnih kartica, a za dohvat novca trebali su posrednici, koji su izvukli velik dio dobiti.

Danas je ransomware

Kalkulacija se promijenila lansiranjem Bitcoina 2009. godine. Kako su omogućena digitalna plaćanja bez otkrivanja identiteta, ransomware je postao unosniji. Kada je Minder 2014. godine osnovao GroupSense u Arlingtonu, u američkoj saveznoj državi Virginiji, svima su na pamet padale kibernetičke prijetnje i krađa potrošačkih podataka, poput podataka o bankovnom računu ili brojeva socijalnog osiguranja. Minder je angažirao analitičare koji su govorili ruski, ukrajinski i urdu. Predstavljajući se kao kiberkriminalci, vrebali su na tržnicama mračnog weba, prateći tko prodaje informacije ukradene iz korporativnih mreža. No, kako su nadogradnje sigurnosnih sustava otežale krađu podataka, kiberkriminalci sve su se više okretali ransomwareu. FBI procjenjuje da se 2015. godine u SAD-u događalo tisuću ransomware napada dnevno, a sljedeće godine taj se broj učetverostručio. Mike Phillips, voditelj prijava kompanije za kiberosiguranje Resilience, kaže kako se danas sve svodi na ransomware.

Kriminalne organizacije stoje iza većine napada ransomwareom. U svojim internetskim interakcijama prikazuju mješavinu adolescentnog držanja i profesionalizma, skloni su referencama za videoigre i riječ “zlo”, ali također koriste sve sofisticiraniju poslovnu strukturu. Veće skupine uspostavljaju pozivne centre kako bi pomogle žrtvama kroz zbunjujući postupak dobivanja kriptovalute, a onima koji pravovremeno uplate obećavaju popuste. Neke ransomware grupe, uključujući REvil, rade na modelu partnerstva, pružajući hakerima alate za pokretanje napada u zamjenu za udio u dobiti. REvil također vodi pregovore o otkupnini u ime svojih povezanih društava.

“Postalo je prelako ući u ovaj posao. Svatko se može time baviti”, rekao je Reiner iz Instituta za sigurnost i tehnologiju, dodavši kako se dogodila nevjerojatna komodizacija cijelog postupka.

Razne tehnike

Hakeri koriste razne tehnike za pristup računalima neke kompanije, od ugrađivanja zlonamjernog softvera u privitak e-maila do korištenja ukradenih lozinki za prijavu na udaljena računala koja radnici koriste za povezivanje s kompanijskim mrežama. Mnoge kriminalne udruge imaju sjedište u Rusiji ili bivšim sovjetskim republikama, ponekad njihov zlonamjerni softver uključuje kod koji zaustavlja napad na računalo ako je njegov jezik postavljen na ruski, bjeloruski ili ukrajinski. Neki od kriminalnih sindikata zapošljavaju sadašnje ili bivše pripadnike vojske, ali čini se da im je više stalo do novca nego do geopolitičkih makinacija. “Apolitični smo. Uopće nema politike. Ne zanima nas tko će biti predsjednik. Radili smo, radimo i radit ćemo”, rekao je čovjek koji tvrdi da je predstavnik REvila u intervjuu s ruskim YouTuberom.

Phillips kaže sljedeće: “Plaćajući otkupninu, moguće je da će to biti kapital za novi pothvat na mračnom webu u Silicijskoj dolini.” Ransomware grupe, poput njihovih kolega iz Silicijske doline, kreću se brzo i lome sve oko sebe. U svibnju 2017. napadom WannaCry zaraženo je 300.000 računala kroz stare i nezaštićene verzije Microsoft Windowsa. U Velikoj Britaniji hitna vozila morala su se preusmjeriti iz pogođenih bolnica, a Renaultova tvornica zaustavila je proizvodnju. Samo tri godine nakon tog napada predstavnik REvila nazvao je ovaj pristup “vrlo glupim eksperimentom”. Hakeri WannaCryja zatražili su otkupnine od samo 300 do 600 dolara, prikupivši oko 140.000 dolara.

Nakon WannaCryja ransomware grupe koncentrirale su se na sektore u kojima kombinacija labave sigurnosti i niske tolerancije na poremećaje čini plaćanje vjerojatnijim i unosnijim – industrijsku poljoprivredu, proizvodnju, naftne usluge, općinske vlasti. Grupe tempiraju prekide za razdoblja akutne ranjivosti: škole u kolovozu, neposredno prije povratka učenika; računovodstvene tvrtke tijekom porezne sezone. Određeni sindikati specijalizirali su se za “lov na velike”, pokrećući ciljane napade na kompanije dubokog džepa. Skupina koja implementira soj ransomwarea Hades usredotočena je na kompanije s prihodima većim od milijardu dolara. Druga grupa dizajnira prilagođeni zlonamjerni softver za svaki biznis. Tijekom webinara koji je 2019. godine organizirao Europol sigurnosni stručnjak spomenuo je da kriptovalutu Monero u osnovi nije moguće pratiti i ubrzo nakon toga REvil je počeo tražiti isplate otkupnine u Moneru, umjesto u Bitcoinu.

Kad se čini da kompanije nerado pregovaraju, direktori dobivaju prijeteće telefonske pozive i poruke na LinkedInu. Prošle je godine Campari Group izdala priopćenje za javnost umanjujući nedavni ransomware napad. Kao odgovor na to, hakeri su pokrenuli oglasnu kampanju na Facebooku, koristeći profil tvrtke Chicago d.j., koju su također hakirali, kako bi posramili konglomerat pića.

“Ovo je smiješno i izgleda kao velika debela laž. Možemo potvrditi da su povjerljivi podaci ukradeni i govorimo o ogromnoj količini podataka”, napisali su hakeri. Prošle su godine printeri u jednom južnoameričkom maloprodajnom lancu počeli izbacivati poruke s otkupninom umjesto računa.

Kako je Minder pregovarao

U novije vrijeme kriminalni sindikati dodali su iznudu u svoje scenarije. Oni pregledaju i izvuku povjerljive datoteke prije nego što šifriraju sustav. Ako ne bude udovoljeno zahtjevu za otkupninom, prijete da će osjetljive podatke objaviti u medijima ili ih staviti na dražbu na crno. Hakeri su zaprijetili da će objaviti pornografsku zalihu izvršnog direktora i da će informacije o žrtvama koje ne plaćaju otkupninu podijeliti s preprodavačima. “Bilo je organizacija za socijalni rad kojima su hakeri prijetili da će iznijeti informacije o ranjivoj djeci”, rekao je Phillips za The New Yorker.

Prije nego što je ransomware postao dominantan u Minderovu životom, bio je ušao u rutinu. Pješačio je do posla, kamo je obično stizao prvi i odlazio zadnji. Na putu kući zaustavio se u kafiću na čaši vina i salati. Vraćajući se u svoj stan, u kojem je živio sam, radio bi za svojim stolom dok ne bi zaspao. Izlazio je uglavnom u lokalni moto klub, BMW Bikers of Metropolitan Washington.

Početkom prošle godine GroupSense je pronašao dokaze da je haker provalio u veliku kompaniju. Minder je namjeravao poslati upozorenje, ali poslužitelj je već bio kompromitiran. Haker je kompaniji poslao zahtjev za otkupninom, prijeteći da će objaviti datoteke. Kompanija je pitala Mindera može li voditi pregovore o otkupnini. U početku je oklijevao jer nije bio siguran ima li vještine za to, ali na kraju su ga nagovorili.

Da bi dobio na vremenu, Minder je predložio da kompanija potvrdi primitak zahtjeva za otkupninom. Počeo je proučavati pregovaranje, gledajući MasterClassove vodiče i čitajući knjige bivših pregovarača s taocima. Naučio je da bi trebao izbjegavati iznošenje protuponuda u okruglim brojevima, što se može činiti proizvoljnim, te da ne bi trebao popuštati bez razloga. Tijekom sljedećih nekoliko tjedana, dok se razgovor s hakerom odvijao, Minder je otkrio da ima smisla za pregovore. Dao je sve od sebe da se poveže s hakerom koji nije bio povezan s bilo kojim od glavnih ransomware sindikata. Kad se haker požalio na to koliko je vremena i truda uložio u provalu u kompaniju, Minder je pohvalio njegove vještine i rekao: “Vi ste vrlo talentirani haker i htjeli bismo vam platiti, ali ne možemo platiti koliko tražite.”

Pregovori su postali sveobuhvatni. Na motociklističkom putovanju sa svojom djevojkom, Minder se stisnuo uz logorsku vatru sa svojim laptopom kako bi nastavio komunicirati. Na kraju je haker pristao na cijenu koju je osiguravatelj smatrao prihvatljivom. “Mislim da sam mogao spustiti još malo da sam imao više vremena, ali kompanija za kiberosiguranje je rekla da je to dovoljno”, prisjeća se Minder.

Ubrzo je Minder dobio još posla. Ponekad je to bila istaknuta kompanija suočena s višemilijunskom otkupninom, a pregovori bi trajali tjednima. Ponekad je to bila mala tvrtka ili neprofitna organizacija koju je preuzeo pro bono i pokušao je završiti tijekom vikenda. No, GroupSense je rijetko zarađivao novac od pregovora. Neki pregovarači o ransomwareu naplaćuju postotak od iznosa za koji umanje otkupninu. Umjesto toga, Minder je naplaćivao satnicu i nadao se da će se neke od organizacija kojima je pomogao prijaviti za osnovni proizvod GroupSensea, sigurnosni softver.

Prošlog ožujka, nakon zatvaranja ureda GroupSensea, Minder je koračao u krug u svom stanu od 44 četvorna metra. Odvezao je svoja dva motocikla u unajmljenu kuću u Grand Junctionu u Coloradu. Iako se svijet raspadao, slučajevi ransomwarea su se stalno javljali. Minder je sam vodio pregovore; nije želio odvratiti pozornost svojih zaposlenika i otkrio je da posao zahtijeva određenu emocionalnu finesu. “Većina naših zaposlenika stvarno su tehničari, a ovo nije tehnička vještina, ovo je fina vještina. Teško je ljude osposobiti za to”, objasnio je Minder.

Početna razmjena poruka bila je presudna. Ljudi koji pregovaraju u svoje ime imali su tendenciju ponižavati hakere, ali to ih je samo razveselilo. Minder je imao za cilj prenijeti svojevrsnu toplu snishodljivost. Njegova djevojka, koja govori rumunjski, ruski, ukrajinski i nešto litavskog, pomogla mu je da pronađe kolokvijalne izraze koji će dati pravi ton. Volio je hakere nazivati kuznečik, “skakavac” na ruskom jeziku.

Povremeno je Minder pozivan da pokuša spasiti pregovore koji su otišli u krivom smjeru. Ako hakeri osjete da se pregovori odvijaju presporo ili osjete da im se laže, mogli bi prekinuti komunikaciju. Slijedom savjeta Chrisa Vossa, bivšeg FBI-eva pregovarača u talačkim situacijama, Minder je pokušao uspostaviti “taktičku empatiju”, zrcaleći jezične obrasce hakera.

Većinu vremena Minder je bio u kontaktu s predstavnikom jednog od sindikata: “Prva osoba s kojom razgovarate je podrška prve razine, koji će reći da želi surađivati, ali kako mora dobiti odobrenje svog šefa za davanje takve vrste popusta.”

GroupSense udružio se s CipherTraceom, tvrtkom za analizu blockchaina, koja je Minderu omogućila da ustanovi je li stvoren određeni kriptonovčanik i da prati njegove transakcije. Određivanje prosječnih uplata koje se slijevaju u novčanik dalo mu je osjećaj vrijednost, tako da je mogao izbjeći preplaćivanje. Shvatio je da sindikati rade prema scenariju. “Često možemo otići do klijenta i reći kako će to ići prije nego što započne”, kaže Minder.

Ponekad ni s klijentima ne ide sve glatko. Minder je vodio sve njihove komunikacije putem sigurnog portala. Neki su htjeli urediti svaku poruku hakerima.

Drugi su bjesnili ili bili frustrirani: “Ponekad pregovarate u dva smjera odjednom – s hakerom i sa žrtvom. Morate imati osobnost da budete empatični, ali i davati upute na način koji nije konfrontirajuć.”

Minder je uvidio da taktika pritiska i zahtjevi za otkupninom eskaliraju. Prema podacima stručnjaka za ransomware Coveware, u 2018. godini prosječna je uplata bila oko 7000 dolara. Godine 2019. narasla je na 41.000 dolara. Te godine jedan veliki sindikat objavio da se raspušta, nakon što je za manje od dvije godine prikupio dvije milijarde dolara otkupnina. “Mi smo živi dokaz da možete učiniti zlo i pobjeći bez ikakvih posljedica”, napisao je sindikat u oproštajnoj poruci.

Do 2020. prosječna otkupnina iznosila je više od 200.000 dolara

Do 2020. prosječna otkupnina iznosila je više od 200.000 dolara, a neke su kiberosiguravajuće kuće počele napuštati tržište. “Mislim da osiguravatelji nisu razumjeli rizik koji preuzimaju. Brojevi u 2020. bili su stvarno loši, ali na kraju godine svi su rekli – 2021. bit će još gora”, rekao je Reiner.

Jedna je gerilska skupina 1971. otela britanskog menadžera u argentinskoj tvornici za preradu mesa. Nekoliko tjedana kasnije oslobođen je nakon što je njegov poslodavac platio 250.000 dolara otkupnine. Sljedeće je godine elektronička kompanija platila dvostruko više za povratak otetog direktora.

Poduzetnici u Srednjoj Americi neprestano su bili otimani 1973. godine, a njihove su otkupnine rasle alarmantnom brzinom: Coca-Cola je platila milijun dolara; Kodak je platio 1.5 milijuna dolara; British American Tobacco platio je 1.7 milijuna dolara; Firestone je platio tri milijuna.

Jedan direktor oslobođen je za 2.3 milijuna dolara, a do trenutka kada je ponovno otet, dvije godine kasnije, cijena je porasla na 10 milijuna. Tada su Juan i Jorge Born, nasljednici multinacionalnog konglomerata za preradu hrane, zarobljeni u zavjeri koja uključuje lažne ulične natpise i operativce odjevene u telekomunikacijske djelatnike i policajce. Na kraju su otkupljeni za 60 milijuna dolara, plus odjeća i hrana za milijun dolara koji će se podijeliti siromašnima. Prihvaćanje rizika od otmice bilo je dio posla izvršnog direktora, rekao je njegov poslodavac Gustavu Curtisu, američkom menadžeru koji radi u Kolumbiji, neposredno prije otmice 1976. godine.

Tijekom većeg dijela ljudske povijesti otmica je bila uglavnom lokalna stvar, kojom su upravljali određeni obredi i uzajamnost. Globalizacija, politička destabilizacija i rastuća nejednakost nadmašili su te norme. U Italiji su kriminalne bande otimale bogate strance i djecu poljoprivrednika, jedne je godine 80 ljudi zadržano radi otkupnine. John Paul Getty odbio je za svog otetog unuka platiti više nego što je mogao odbiti od poreza – navodno tri milijuna dolara.
Osiguranje za otmicu i otkupninu kao sektor nastalo je nakon otmice i ubojstva bebe Lindbergh 1932. godine. Veličina tržišta 1970. godine iznosila je oko 150.000 dolara, a do 1976. iznosila je 70 milijuna dolara. Većinu polica preuzeo je londonski Lloyd's, glavno svjetsko tržište specijalističkog osiguranja. Ubrzo su analitičari rizika savjetovali osiguranicima kako spriječiti otmice, privatne zaštitarske tvrtke nudile su zaštitu na terenu, a pojavili su se i posebni pregovarači, koji su uskakali kad stvari krenu po zlu.

Control Risks osnovali su 1975. godine bivši pripadnici britanskih specijalnih snaga kako bi pomogli industriji osiguranja da se nosi s problemom otmice. Njegovi su voditelji svoj posao obavljali u diskreciji. Kada su 1977. godine dvojica osnivača uhićena u Kolumbiji , nitko nije bio sasvim siguran je li tek pokrenuta pregovaračka industrija legalna, pa su proveli deset tjedana u pritvoru pišući kodeks ponašanja za svoju kompaniju.

Otprilike tri četvrtine kompanija s popisa Fortune 500 uložilo je u osiguranje za otmicu i otkupninu, ali bilo je neke nelagode zbog preusmjeravanje zarade mafiji, terorističkim skupinama i kriminalnim bandama. “Postoji osjećaj da ne biste trebali previše zaraditi”, rekao je suosnivač Control Risksa za The Times 1979. godine. Italija, Kolumbija i Velika Britanija zabranile su osiguranje za otmicu i otkupninu.

Ransomware ima manje “kinetičkog utjecaja” od otmica

Međutim, Anja Shortland, profesorica političke ekonomije na King’s Collegeu u Londonu, kaže da su privatni posrednici u otmicama ključni u pokretanju onoga što ona naziva “disciplinom otkupnine”. Control Risks nije samo pregovarao o otkupninama, pružao je također sigurnosne revizije, savjetujući kompanije o tome kako uopće spriječiti otmicu osoblja. Osiguravatelji su nudili snižene premije kompanijama koje su pojačale sigurnost, smanjujući općenito stope otmica. Kad su se otmice ipak dogodile, vješti pregovarači držali su zahtjeve za otkupninom pod kontrolom. U posljednje vrijeme rješava se oko 90 posto otmica, obično plaćanjem otkupnine, a kad su uključeni stručnjaci, stopa uspješnosti raste na 97 posto. Zemlje koje su zabranile osiguranje za slučaj otmice odvele su pregovore u podzemlje.

Shortland se specijalizirala za ekonomiju kriminala: “Većina kreće od toga da u poslovanju neće biti većih problema s kriminalom. A ja samo prihvaćam te veće probleme.” Kako bi bolje razumjela industriju otmice za otkupninu, pomno je proučavala tržište piratstva i otmice u Somaliji, gdje je uvidjela kako privatni osiguravatelji, savjetnici i pregovarači njeguju određenu predvidljivost u naizgled neurednoj razmjeni.

Uređenost koja se oslanja na uzajamnu pretpostavku dobre vjere koristi svim stranama, smatra Shortland. Otmičari dobivaju očekivanu stopu povrata, otete osobe mogu razumno očekivati da će biti puštene netaknute, a kompanije u opasnim područjima mogu pretpostaviti da njihovo osoblje neće biti oteto, ali ako ipak bude oteto, gotovo sigurno neće biti ubijeno. A osiguravajuća društva i savjetnici mogu naplatiti svoje naknade.

Ransomware ima manje “kinetičkog utjecaja” od otmice, kaže Bill Siegel, suosnivač Covewarea, odnosno nitko ne šalje odsječene uši poštom. No, u ekonomskom smislu razlike su male. “Oni stvaraju vrlo slične vrste institucija onima koje je stvorila zajednica otmica i otkupnina, ali kasne oko osam godina”, rekla je Shortland.

Kad je postalo jasno da slučajevi ransomwarea ne posustaju, Minder je dvoje svojih zaposlenika obučio za vođenje pregovora. Jedan od njih bio je Mike Fowler, bivši detektiv za narkotike iz Sjeverne Karoline. Rad u tajnosti naučio je Fowlera kako se uklopiti u karakter, što je sastavni dio učinkovitog pregovarača. Prošlog studenog Fowler je bio pregovarač za jednu građevinsku kompaniju. Kad se prijavio na web stranicu na mračnom webu, primijetio je da tajmer pokazuje kako su u pregovorima već prošla tri dana. Razgovor je već bio u tijeku.

Tko god je razgovarao u ime kompanije, bio je agresivan. Kad su hakeri zatražili 200.000 dolara za otključavanje datoteka, pregovarač je isprva ponudio 10.000 dolara, a zatim se brzo popeo na 14.000, pa na 25.000.

“Drugoj strani to govori da ovdje ima više novca”, rekao je Fowler. Hakeri su postali frustrirani. “Prijavili ste godišnji prihod od četiri milijuna dolara. Od vas očekujemo veći novac”, napisali su hakeri. Posljednja poruka u chatu stigla je od hakera dva dana ranije: “Jeste li spremni na dogovor uz cijenu od 65.000 dolara?”

Fowler i Minder pokušali su shvatiti što se dogodilo. Klijenti su inzistirali na tome da nikada nisu odlazili na tu web stranicu, a još manje komunicirali s hakerom. Tada je Fowler podsjetio Mindera na nedavni post na REvilovom blogu, upozorivši na lažne posrednike koji kažu da mogu dešifrirati datoteke, umjesto toga, posrednici bi potajno pregovarali s hakerima prije nego što bi dešifrirane datoteke ponudili na tržištu. Mindera je iznenadilo što sindikat za kiberkriminal izdaje upozorenje o prevarantima. No, klijenti su priznali da su kontaktirali MonsterCloud, tvrtku s Floride koja se reklamira kao “vodeći svjetski stručnjak za kiberterorizam i ransomware”. Web stranica MonsterClouda potaknula je žrtve da koriste njegove usluge umjesto da plate otkupninu. To se vjerojatno svidjelo šefovima građevinske tvrtke koji su radije platili softversku tvrtku na Floridi nego poslali otkupninu stranom kriminalnom sindikatu.
Minder je ubrzo saznao da je, nedugo nakon što je haker REvila zatražio 65.000 dolara, predstavnik MonsterClouda rekao građevinskoj tvrtki da datoteke može povratiti za 145.000 dolara.

Prema istrazi ProPublice, MonsterCloud ima dugu povijest tajnih pregovora s hakerima. ProPublica je razgovarala s nizom bivših klijenata koji su vjerovali da su njihove datoteke otključane a da nisu platili otkupninu, iako je većinu ransomwarea nemoguće dešifrirati ako u kodu nema pogreške. MonsterCloud jedna je od nekolicine američkih tvrtki za oporavak podataka za koje se čini da slijede sličan poslovni model. Navodeći da dešifriraju datoteke pomoću visokotehnoloških alata, ove tvrtke omogućavaju svojim klijentima da vjeruju kako se ransomware može ukloniti bez plaćanja kriminalcima, što je strategija koja je posebno privlačna za klijente MonsterClouda koji se financiraju iz javnih izvora, poput općina ili policijskih odjela. Ransomware skupine prepoznaju da tvrtke za oporavak podataka mogu biti unosni partneri; jedna nudi promotivni kod posebno za takve tvrtke. MonsterCloud je odbio razgovarati o svojim metodama s ProPublicom. “Radimo u sjeni. Kako radimo, to je naš problem. Dobit ćete svoje podatke. Sjednite, opustite se i uživajte u vožnji”, rekao je direktor MonsterClouda Zohar Pinhasi.

Kad je Minder svom klijentu objasnio situaciju, čovjek je počeo psovati. Budući da su pregovori već bili zamršeni, bila je mala šansa da bi Minder mogao natjerati hakere da pristanu na nižu cijenu. Klijent je zamolio Mindera da kaže hakerima da odjebu, ali Minder tvrdi da je to odbio. Umjesto toga, tvrtka je pokušala obnoviti datoteke iz sigurnosnih kopija i starih mailova. Minder je potaknuo klijenta da istraži kako se dogodio incident, ali tvrtka je djelovala nezainteresirano.

Minder je MonsterCloud prijavio Federalnoj komisiji za trgovinu, ali incident ga je nastavio mučiti: “Ako guglate ‘spasite me od ransomwarea’ ili ‘ransomware odgovora’, dobivate te tvrtke koje u osnovi profitiraju ili se lažno predstavljaju.”

U listopadu prošle godine američko Ministarstvo financija izdalo je savjet pregovaračima i tvrtkama za kiberosiguranje, upozoravajući da će možda biti kažnjeni zbog olakšavanja plaćanja kriminalcima. “To je loše. Možda su bili frustrirani, ali ja to smatram pomalo neodgovornim. Ako imate kompaniju od dvije milijarde dolara koja je kriptirana i nema dobre sigurnosne kopije, oduzeli su vam jedinu mogućnost. Dakle, upravo ste uništili kompaniju vrijednu dvije milijarde dolara”, rekao je Mike Convertino, bivši glavni službenik za informacijsku sigurnost Twittera.

No, činilo se da savjet ima učinak – broj žrtava ransomwarea koje su platile otkupnine smanjio se u posljednjem tromjesečju 2020. godine. Sadašnji Convertinov poslodavac, tvrtka za kiberosiguranje Resilience, sudjelovao je u radnoj skupini za ransomware, koja je uključivala predstavnike glavnih prodavača kibernetske sigurnosti i tvrtki za odgovor na incidente, kao i FBI-a i Ministarstva domovinske sigurnost, pod okriljem Instituta za sigurnost i tehnologiju.

“Naše se preporuke ne odnose na uklanjanje ransomwarea kao prijetnje, nego je njihov cilj dovesti ga na razinu na kojoj može biti učinkovito riješen”, rekao je John Davis, potpredsjednik tvrtke za kibersigurnost Palo Alto Networks. Te su preporuke uključivale zahtjev za prijavljivanjem plaćanja otkupnina vlastima i stvaranje fonda za podršku žrtvama koje se suzdrže od plaćanja otkupnina. U travnju je američko Ministarstvo pravosuđa objavilo da formira vlastitu radnu skupinu za ransomware koja će koordinirati privatni sektor, druge savezne agencije i međunarodne partnere.

Ransomware grupe rade na osnaživanju svoga imidža

U međuvremenu ransomware grupe rade na osnaživanju svoga imidža. DarkSide, skupina odgovorna za hakiranje sustava Colonial Pipeline, obećala je da neće napadati škole, bolnice, pogrebne kuće ili neprofitne organizacije, ciljat će samo velike korporacije. U listopadu je DarkSide izdao priopćenje za javnost u kojem je objavio da je upravo donirao 10.000 dolara u kriptovaluti dvjema dobrotvornim organizacijama. “Bez obzira na to koliko mislite da je naš rad štetan, drago nam je znati da smo pomogli promijeniti nečiji život”, napisao je sindikat.

No, onemogućavanje kritične infrastrukture stvorilo je još jednu razinu pažnje, kao i odgovora policijskih službi. DarkSide se ispričao što je prouzročio smetnje i, zvučeći poput kažnjene tehnološke tvrtke, obećao je djelovati umjereno, “kako bi izbjegao socijalne posljedice u budućnosti”. Nekoliko dana kasnije sindikat je objavio da su njegovi poslužitelji isključeni i da se njegov Bitcoin novčanik ispraznio, što je potencijalno pokazatelj policijskih akcija. Naizgled uplašen negativnim publicitetom, REvil je najavio da više neće napadati ciljeve u vladinom, zdravstvenom i obrazovnom sektoru.

“Ljudi koji to čine svakako će htjeti to ponoviti”, rekla je Shortland. Hakeri su se zabrinuli za svoju reputaciju, što je bio znak da se tržištem može upravljati. To nije značilo da će ransomware nestati. “Postoji određena količina otmice koja je prihvatljiva svima”, zaključila je Shortland za The New Yorker.

(E.M)