Hackeři přebírají taktiky mafie. Vybírají výpalné pod hrozbou DDoS útoku

Obrázek gangstera sedícího za stolem, telefonuje si zrovna nejspíš o výpalné.Nechcete DDoS?
Zaplaťte, hrozí hackeři firmám

„To je ale pěkná věc, ta vaše firemní síť, se všemi těmi důležitými servery a webovými stránkami. Byla by hrozná škoda, kdyby se jí něco mělo přihodit.“

Klasické triky mafiánů pro vymáhání výpalného nyní začala využívat skupina hackerů, která si říká Armada Collective.

Firmám hrozí masivním DDoS útokem, pokud jim nezaplatí velké částky v bitcoinech.

Takové věci se v současnosti bohužel dějí relativně často. Tento případ je ale jedinečný – Armada Collective totiž nakonec na nikoho neútočí. Vše jsou jen plané výhružky.

Přesto si takto „hackeři“ přišli podle odhadů na stovky tisíc dolarů od mnoha společností.

  • Výzkum firmy CloudFlare, která se zabývá internetovou bezpečností, odhalil, že zločinci vystupující jako Armada Collective už mají na vymáhání peněz zavedený postup.

Nejdříve pošlou na všeobecný e-mail vyhlédnuté firmy výhružný e-mail. V něm požadují přeposlání e-mailu lidem, kteří v podniku mohou dělat rozhodnutí. Představí se jako Armada Collective, nechvalně proslulá skupina hackerů. A pod pohrůžkou DDoS útoku žádají poplatek za ochranu v bitcoinech – částka se u různých firem pohybovala od deseti bitcoinů (v přepočtu zhruba 111 tisíc korun) do padesáti bitcoinů (přes půl milionu korun).

Z psychologického hlediska je použití obecného e-mailu shodou okolnosti docela dobrým tahem. Schránku spravuje s největší pravděpodobností někdo s minimálními znalostmi IT, a na takového člověka tato hrozba může udělat velký dojem. Svou paniku pak bude šířit směrem vzhůru, na vyšší management – který také potřebnými znalostmi a nadhledem mnohdy neoplývá. Firmám se pak může jako nejjednodušší řešení jevit zaplacení požadované částky. Kdyby byl první e-mail mířený přímo na systémové administrátory, s největší pravděpodobností by ho s minimální obřadností hodili do koše.

Spousta společností se k tomuto kroku naštěstí nakonec odhodlala. Skupině Armada Collective podniky nezaplatily. A nic se jim v odvetě nestalo.

Vyhrožující útočníci totiž nebyli žádní géniové.

Vidět je to už z jejich zprávy, která tvrdí: „Naše útoky jsou extrémně silné – někdy i přes 1 Tbps za sekundu. A dokážeme projít přes CloudFlare a další vzdálené ochrany. Žádná levná obrana nepomůže.“ Všimněte si zbytečného doplnění „za sekundu“ po zkratce jednotky Tbps – která pochopitelně znamená terabit za sekundu, takže dalších časová upřesnění nejsou třeba. Naznačuje to, že možná útočníci ve skutečnosti ani nijak schopnými hackery nejsou.

Výzkumníci navíc při zpětném procházení jednotlivých případů zjistili, že vyděrači poslali do mnoha firem stejné bitcoinové adresy. Z povahy bitcoinu ale vyplývá, že by takto ani nemohli zjistit, které z firem jim výpalné zaplatily a které ne.

Možná proto se zločinci rozhodli zachovat ke všem stejně a na nikoho nezaútočili.

Druhou – a více pravděpodobnou – možností je, že nikdy žádných útoků ani schopni nebyli.

Půjčíme si známé jméno a vyděláme na tom

Podle pátrání odborníků to vypadá, že si jméno známe hackerské skupiny Armada Collective jen propůjčili jiní kriminálníci. Skutečná Armada Collective totiž všechny své dřívější výhružky splnila.

Od listopadu loňského roku se po nich ale slehla zem – experti předpokládají, že se už tehdy skrývali před Interpolem, který jim šlapal na paty. Letos v lednu pak jeho detektivové při operaci Plejády zatkli dva členy hackerské skupiny DD4BC. Podle odborníků byla Armada Collective možná jen dalším z několika pseudonymů jejich skupiny.

Nikým nevyužívané jméno s velkou reputací vnuklo nejspíš někomu nápad na rychlé zbohatnutí. Není zatím jasné, kdo za výhružkami stojí, podle všeho ale nejsou ani žádného útoku schopni.

Přesto si tak podle odhadů analytiků přišli na více než sto tisíc dolarů, tedy přes dva a čtvrt milionu korun. Prakticky jen za hromadné rozeslání výhružných e-mailů. Mnoho firem a jejich vedení totiž postrádalo potřebné IT znalosti nebo alespoň pevné nervy a výpalné zaplatily.

A podle posledních zpráv jsou zatím útočníci stále aktivní. Jen si teď pro své aktivity propůjčili další opuštěné jméno. Britská policejní jednotka pro řešení kyberzločinu varovala, že dopisy požadující výpalné začala posílat „také“ hackerská skupina Lizard Squad. Většina jejích členů přitom byla už před nějakou dobou zatčena. S největší pravděpodobností se tedy jedná o stejné podvodníky.

Jak nenaletět? S žádnými útočníky nevyjednávejte

Finančním ztrátám se přitom mohli vyhnout. Stačilo přijmout za své jedno pravidlo, které praktikuje mnoho zodpovědných administrátorů po celém světě.

S útočníky se nevyjednává.

Možná si někdo řekne, že částka v řádu sta tisíců korun je ještě malou daní za nenarušený provoz třeba velkého e-shopu, který za den vydělá třikrát tolik.

Nejčastější typy DDoS útoků za první čtvrtletí 2016

Kdybyste narazili na výhružku skutečných hackerů, pokusili by se na vás zaútočit nejspíš těmito metodami. Podle reportu firmy Kaspersky byly nejčastějšími typy útoků za první čtvrtletí tohoto roku SYN záplavy (o kterých už jsme dříve psali), dál útoky přes protokoly TCP a HTTP. Oproti předchozímu čtvrtletí výrazně přibylo záplav ICMP, které fungují na principu hromadného zasílání žádostí o ping.

Je nutné si ale uvědomit jednu věc – pokud jednou se zaplacením výpalného souhlasíte, jaká je šance, že to útočníci nezkusí znovu? Možná to nebude zítra nebo za týden, ale třeba za měsíc může obdobný e-mail ve vaší schránce přistát znovu. A co teprve kdyby se o vaší firmě mezi hackery rozneslo, že za výpalné platíte? Zkoušet to na vaši společnost pak budou hackeři od Aljašky po Zimbabwe. A každou další splátkou výpalného jen pomáháte budovat útočníkům jejich infrastrukturu.

Místo toho raději budujte tu svoji. Dejte dostatek prostředků svým IT odborníkům, a pokud jste sami administrátory, tak si o potřebné prostředky řekněte u svého managementu. Je lepší investovat do bezpečnosti a DDoS útoky do budoucna zvládnout odrazit, než investovat do útočníků a být nadále zranitelní.

A pokud sami nemáte potřebné znalosti nebo zaměstnance, nebojte se přiznat si to. Každý z nás má přehled v jiné oblasti, nemůžeme být experty na všechno. Než obranu své infrastruktury odbýt, raději oslovte s prosbou o pomoc odborníky, kteří mají s DDoS útoky zkušenosti. Nebojte se obrátit třeba na ostřílené administrátory Masteru, kteří této problematice opravdu rozumí a pravidelně o obraně před DDoS útoky pořádají i přednášky.

Správné místo pro vaše data

NAŠE DATACENTRA NALEZNETE V PRAZE I V BRNĚ