Říkají si DarkSide a jsou nejznámějšími kybernetickými vyděrači světa, kteří vyřadili z provozu například americký ropovod Colonial Pipeline, což mělo za důsledek výpadky dodávek napříč východním pobřežím USA.
Právě s DarkSide se nedávno střetl kyberbezpečnostní tým společnosti PwC, jehož součástí byli i Češi. Jakub Javorský a Marek Nejedlý z PwC pro Forbes.cz popisují, jak jejich boj s nejznámějšími hackery planety probíhal.
Dva hektické dny plné stresu a dvě probdělé noci. Pro lidský organismus poměrně velká zátěž, máte toho dost a těšíte se, až si odpočinete a vyspíte se. Nahlíženo optikou odvrácení probíhajícího rozsáhlého kybernetického útoku, je to naopak slušný čas na to, abyste zajistili, že škody budou minimální.
A i když vám ještě adrenalin proudí v žilách a mozek se jen pomalu vrací z vysokých otáček, může vás navíc těšit, že jste porazili jednoho z nejsofistikovanějších a mediálně nejznámějších protivníků současnosti.
Popořádku: Dlouhodobě je v kyberprostoru jednou z největších hrozeb takzvaný ransomware. Tedy útok, který naruší provoz vyhlídnuté firmy zašifrováním IT systémů a nutí ji, zpravidla v kryptoměně, zaplatit výpalné za to, aby mohla svou infrastrukturu a data znovu používat. Jednoduše řečeno, útočníci oběti vydírají. Často úspěšně.
V posledních čtyřech měsících navíc na tohle pole vstoupila skupina hackerů, která si říká DarkSide. Gang začal poskytovat jiným hackerům škodlivý šifrovací software jako službu. Marketingově by se řeklo „ransomware as a service“. Zkrátka pro své „zákazníky“ či „partnery“ z řad kybernetických zločinců vytvoří škodlivý kód přímo na míru vytipované oběti. Za odměnu si potom skupina bere podíl na výkupném.
Tento gang tráví dny, týdny a měsíce tím, že hledá mezeru v obvodu kybernetické obrany oběti. Nejčastěji takovou, o které sama oběť neví, a jejíž náprava by tak zabrala hodně času. Skupina DarkSide se soustředí hlavně na velké globální korporace, u nichž je pravděpodobné, že vzhledem k míře škody způsobené vyřazením jejich byznysu radši výkupné zaplatí.
Nejznámějším případem z poslední doby bylo paralyzování amerického ropovodu Colonial Pipeline. Nicméně jsou známy stovky dalších útoků, na kterých se ransomware od DarkSide podílel.
Mezi další známé oběti patří firmy jako Toshiba nebo JBS. Skupina se ale nevyhýbá ani českým společnostem a institucím. Ze zveřejněných útoků v posledních měsících se členové DarkSide podíleli na ataku na Národní knihovnu, České dráhy nebo olomoucký magistrát.
A právě s DarkSide se náš kyberbezpečnostní tým PwC nedávno utkal. Časová posloupnost celé bitvy byla následující.
Kolem úterní půlnoci si IT administrátoři globální maloobchodní společnosti začali všímat, že více jejich serverů selhává. Zaměstnanci začali hlásit šifrované notebooky. Nebylo těžké zjistit, že se jedná o ransomware útok a stojí za ním DarkSide. Jednoduše proto, že si gang řekl o výkupné v řádu několika milionů dolarů.
Náš tým byl kontaktován ve středu v poledne, později odpoledne jsme začali shromažďovat data z klíčových postižených systémů a ve čtvrtek ráno jsme měli vážného kandidáta na „pacienta nula“. Tedy počítač, který jako první podlehl hackerům a jehož prostřednictvím byla napadena celá síť.
Stopy ukazovaly na stolní počítač v jedné z malých kanceláří v obchodním centru na předměstí Prahy. Vzhledem k vrcholící vlně pandemie covidu-19 bylo přitom v tu dobu celé obchodní centrum zavřené.
Na místo jsme dorazili ve čtvrtek a pracovali tam do večera. Forenzní získávání stop z infikovaného počítače jsme zahájili tak rychle, až jsme zaskočili místní ochranku, která nás paradoxně považovala za zloděje.
Opravdoví zloději, respektive vyděrači, si v tu dobu nejspíš naopak mysleli, že mají navrch a plán vychází. Podezření na pacienta nula se totiž v obchodním centru neprokázalo. A to i přes to, že heslo administrátora napsané tučnými písmeny na lepíku na monitoru naši úvahu v první chvíli spíše podporovalo.
Článek je rozdělen na dvě části, pokud si chcete přečíst jeho zbytek, klikněte na následující tlačítko.