10:34 29. října 2020
Názory
Získat krátkou URL
8854
Sledujte nás na

V prosinci loňského roku byl počítačový systém nemocnice v Benešově napaden virem Ruyk, který dle českých médii údajně pochází z RF. Jak tento virus funguje a mohou špičkové týmy IT pirátů pocházet výhradně z Ruska? Na dotazy Sputniku odpověděl Valentin Cholmogorov, analytik a redaktor časopisu Hacker a specialista na internetové hrozby Dmitrij.

Útok na velká vydavatelství a nemocnice po celém světě

Benešovská nemocnice není jedinou institucí, která zažila útok tohoto počítačového viru. Koncem prosince totiž Ruyk napadl systém největší těžařské společnosti OKD v Karviné. Společnost potřebovala týden na opravu systému a obnovení fungování továrny. Virus je od loňského podzimu známý také v Austrálii, USA a ve Španělsku. Jeho cílem byly velké lékařské instituce a společnosti zabývající se kybernetickou bezpečností.

Spojenými státy Ruyk nejvíce otřásl začátkem minulého týdne, a to během útoku na systém vydavatelství Tribune Publishing, kvůli kterému došlo ke zpoždění publikace několika významných amerických časopisů, včetně Los Angeles Times, Wall Street Journal a San Diego Union Tribune.

Dalším terčem útoku tohoto viru se stala ukrajinská společnost, která byla údajně spojena se synem Joeho Bidena. Podle New York Times ruští hackeři údajně zaútočili na ukrajinskou plynárenskou společnost Burisma. Pokusy o „hacknutí“ společnosti, v jejímž představenstvu byl Hunter Biden, syn potenciálního rivala Donalda Trumpa v nadcházejících prezidentských volbách, se údajně začaly odehrávat začátkem listopadu 2019.

Proč se s problémem potýkala česká regionální nemocnice?

Člověk obvykle „chápe“ cíl hackerů u výše uvedených příkladů: jedná se o významné hospodářské subjekty a politické oponenty. Proč by ale hackeři útočili na českou regionální nemocnici? Podle Valentina Cholmogorova, analytika a redaktora časopisu Hacker, nejsou terčem toho viru jen politické cíle, ale spíše hledá zranitelná místa v počítačovém systému.

„Šiřitelé trojských škodlivých programů (Ryuk patří k tomuto typu malwaru, pozn. red.) si obvykle nevybírají své oběti na základě politických důvodů. Jeho oběťmi jsou uživatelé, jejichž počítačové systémy jsou zranitelné a nejsou zabezpečené před útoky, nebo uživatelé, kteří lehkovážně otevírají e-mailové zprávy s nebezpečnými přílohami. Kromě toho se Ryuk může samostatně šířit po síti i bez zásahu uživatele, a to v podobě síťového červa,“ vysvětlil expert.

Odborník na internetové hrozby Dmitrij uvedl, že tento virus proniká do počítačového systému pomocí specifické kombinace slabých míst. Podle jeho názoru tedy může zaútočit pouze na cíle, v nichž se tato slabá místa nachází. Dmitrij spatřuje důvod útoku na benešovskou nemocnici v tom, že „v počítačovém systému byla vada, kterou vir zneužil“. Ve skutečnosti se podle něj to samé stalo již během útoků virů WannaCrypter, notoricky známého jako Petya, které využívají stejnou metodologii.

Podle specialisty na internetové hrozby lze podezřelou aktivitu v síti poměrně snadno odhalit. Tvrdí tedy, že si místní odborníci nemohli nevšimnout podezřelé aktivity ve své síti. Například, v podobných případech se mohou náhle vypnout antivirové programy. V tomto případě by IT odborníci obvykle měli zjišťovat důvod, proč došlo k jejich odpojení.

Dmitrij také připustil, že samotný nemocniční systém mohl být nabourán již dávno: „Možná byl nemocniční systém nabouráván delší dobu. To znamená, že nejde o jeden počítač, ale o celý systém, který je pravděpodobně sestaven z několika serverů. Mohli je použít pro své vlastní účely. Cílů tohoto útoku může být milion. Nakonec se ale z nějakého důvodu rozhodli systému se zbavit a navíc se pokusili vymáhat peníze.“

Jak virus Ruyk útočí

Podle portálu Hashtelegram.com virus Ryuk blokuje na infikovaném počítači přístup k datům a zpřístupňuje je pouze po nezákonném zaplacení výkupného v kryptoměně. Podle publikace tedy oběti viru za 5 měsíců vyplatily vyděračům přes 700 bitcoinů (1 bitcoin = 8613,34 Kč). Například, podle posledních údajů, na podzim roku 2019 se tři nemocnice ve Spojených státech rozhodly hackerům peníze zaplatit.

Ryuk je modifikací jiného vyděračského viru Hermes, který je známý již od roku 2017, vysvětlil Sputniku Valentin Cholmogorov. Podle něj lze zdrojové kódy Hermes na černém trhu koupit za 300 amerických dolarů. Přitom typickým rysem viru Hermes je, že nepůsobí na počítačích v Rusku, Bělorusku a na Ukrajině. „Tato vlastnost je obvykle rysem škodlivých trojských koní vytvořených obyvateli těchto zemí (tvůrci programů se tímto způsobem snaží chránit před trestním stíháním ve své zemi, nejsou žádné oběti, neexistují žádná trestní oznámení na policii ani trestní řízení),“ řekl Cholmogorov.

Odborník na internetové hrozby Dmitrij prohlásil, že na rozdíl od Ruyku ransomware WannaCry (nebo WanaCryptor) nešifroval všechny počítače, ale pouze ty počítače, které měly zranitelný RDP (remote desktop protokol).

„V té době byl zranitelný na mnohých místech a bylo to velmi kritické,“ uvádí. Ruyk používá jiný mechanismus, ve kterém je s největší pravděpodobností tato chyba zabezpečení již opravena, ale zřejmě ne všude. Protože kdyby toto zranitelné místo nebylo známo, pak by došlo k mnohem více obětem,“ poznamenal Dmitrij.

Platit nebo neplatit výkupné?

Minulý týden hejtmanka Středočeského kraje Jaroslava Pokorná Jermanová uvedla, že výkupné po nemocnici není vyžadováno a že nemocnice nic neplatila. Jermanová také řekla, že problém řeší s Centrem ochrany osobních údajů a Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Zeptali jsme se ruských odborníků, proč podle jejich názoru nebylo výkupné v případě české nemocnice vyplaceno.

„Vedení české nemocnice jsou rozumní lidé: zaplacení výkupného nezaručuje dešifrování dat. Navíc, když infikujete velké množství počítačů, může být výkupné opravdu velké,“ okomentoval dotaz analytik Cholmogorov. Podle iRozhlasu kompletní oprava počítačového systému bude nemocnici stát přes 40 milionů korun.

S tvrzením hejtmanky Jermanové však nesouhlasí specialista na internetové hrozby. Ten totiž prohlásil, že slova o tom, že nebylo požadováno výkupné, je „absolutní blbost a nesmysl“. Důvodem k takovému tvrzení je podle něj princip viru: program zašifruje všechna data, k nimž se dostane, a pak se objeví zpráva, že za dešifrování dat musíte zaplatit.

Všudypřítomní ruští hackeři

Podle řady amerických portálů, včetně Malwarebytes, klíč k šifrování viru Ryuk údajně vlastní ruský zločinecký gang Wizard Spider. Zeptali jsme se odborníků na jejich názor na takové prohlášení. Oba se shodli na tom, že je kybernetická kriminalita mezinárodní.

Dmitrij uvedl, že když se dříve účastnil podobných aktivit v menším měřítku, byly podobné skupiny nadnárodní. „Nikdy se nestává, že si sedne Vasja a Peťa, dají dohromady takovou skupinu hackerů a děsí celý svět. Ne, jedná se o vysoce kvalifikované odborníky v různých oborech. Všichni se zpravidla domluví anglicky a nachází se v různých částech světa. V mém týmu byl muž z Íránu. Jsou tam i Rusové, ale toto je odvážné prohlášení. Podle mě jde opět o hysterii kolem ruských hackerů, “ podělil se o své zkušenosti Dmitrij.

Analytik Cholmogorov rovněž tvrdí, že šiřitelé viru Ryuk byli automaticky zařazeni do kategorii „ruští hackeři“, a to na základě jazyků (virus neutočí na počítače v Rusku, Bělorusku a na Ukrajině). Ve skutečnosti ale podle něj může být šiřitelem kdokoli.

Názory vyjádřené v článku se nemusí vždy shodovat s postojem Sputniku.

Více:

Kreml reagoval na počítačovou kriminalitu ruských důstojníků
IBM prezentovala kvantového konkurenta osobních počítačů (FOTO, VIDEO)
Europol, USA a Belgie pomohly zneškodnit skupinu ukrajinských hackerů
Hlavním cílem FBI teď místo teroristů budou ruští hackeři a čínští špioni
Štítky:
NÚKIB, Benešov, časopis, nemocnice, Česká republika, počítač, hackeři, kyberútok, kyberbezpečnost, kybernetický útok, počítačový virus
Pravidla společenstvíDiskuse
Komentovat pomocí SputnikuKomentovat pomocí Facebooku
  • Komentář