Záznam internetového rozhovoru v následujícím boxu by snadno mohl být součástí vyjednávání mezi dvěma obchodními společnostmi. Pokud pominete částečně chybějící interpunkci, chybějící velká písmena a také poněkud zlověstně znějící poslední větu, nese se v duchu běžného vyjednávání.
- Český překlad
- Anglický originál
A: Oceňuji slevu a vaše vlídná slova, ale upřímně řečeno jsme doufali, že se dohodneme na něčem, na co bychom měli k dispozici hotovost. Naprosto rozumím, že pro vás je to obchod, ale mým úkolem teď je udržet firmu nad vodou. Zcela upřímně, pokud by to bylo osm milionů dolarů, museli bychom zdvojnásobit tržby, abychom pak nemuseli zavřít. Byli bychom schopni dát dohromady 3,7 milionu dolarů, kdybychom dokázali najít kompromis. Nechci zlehčovat práci vás a vašeho týmu, pouze se snažím zabránit dalšímu propouštění na naší straně.
B: Vážíme si vaší nabídky, ale pochopte vy i nás, takto si stojí trh, a vy jste dostali odpovídající cenovou nabídku. bohužel, nabídnutá cena nestačí na to, abychom se dohodli, dali jsme vám 20procentní slevu, protože jsme připraveni skutečně vyjednávat, ale protože vidíme vaše obchodního ducha a okamžitě jsme vám nabídli zajímavou slevu, můžeme nabídnout ještě slevu dalších 5 % a splátkový kalendář. Například, za 4 miliony dolarů dostanete Decryptor (nástroj na rozšifrování dat, pozn.red.) a až zaplatíte zbytek, smažeme všechna soukromá data.
A: I appreciate the discount and the kind words here, but to be honest, we were hoping for something that we could actually have available cash for. I completely understand that this is a business for you, but right now I'm tasked with trying to keep our business afloat. In all honesty, $8M puts us in a spot where we would need to double current revenue to keep our doors open. We were willing to get you $3.7M potentially today if we could have found common ground. I don't mean to belittle you and your team's work here, I'm just trying to help prevent further layoffs on our side.
B: We appreciate your offer, but understand us too, this is the market and you have been offered an adequate price. unfortunately, the amount you offered is not enough to close our deal with you, we gave you 20% not because we are ready to bargain heavily, but because we see your business spirit and immediately gave you a good discount, we can offer 5% discount more and payment by installments. For example for $4M you will get the Decryptor and after you will pay the rest amount, we will delete all the private Data.
Jak jste asi pochopili z poslední věty, ve skutečnosti jde o jednání o výkupném. Zveřejnil ho novinář Jack Stubbs pracující pro agenturu Reuters. Objevil kupodivu stále nesmazaný záznam chatu, ve kterém profesionální hackeři vyjednávali se svou obětí.
Identitu zločinců známá není, jejich obětí byla v tomto případě velká cestovní agentury Carlson Wagonlit Travel (CWT), která se specializuje především na firemní klientelu. Šlo o útok pomocí tzv. „ransomware“. To je cynicky řečeno škodlivý software s nejlepším „obchodním modelem“ a právě z tohoto důvodu v posledních letech také velmi rychle rostoucí segment počítačové kriminality.
O ransomwaru jsme v minulosti psali obšírněji (včetně seznamu malwaru, u kterého existuje nástroj, jak se placení vyhnout). V tuto chvíli stačí říci, že v principu jde o „únos“ dat. Útočník nějakým způsobem pronikne do systému oběti a nalezená data (dnes často včetně případných záloh) zašifruje. Klíč od zašifrovaných souborů pak nabídne oběti.
Podobná jednání jsou pochopitelně skrytá očím veřejnosti a my nemáme představu o tom, jak vypadají. Ovšem v případě CWT se Jack Stubbs dostal ke konverzaci, kterou vedli nejmenovaní zástupci obou stran v anonymním chatroomu (přesnou adresu Stubbs neuvedl a není jasné, zda konverzace nebyla již smazána). Část zmínil ve zprávě k události, více ukázek z rozhovoru zveřejnil na svém Twitteru.
Adresa chatroomu se objevila přímo na počítačích firmy po jejich zašifrování. Zástupce CWT se do ní přihlásil méně než dva dny po útoku. Nevíme, kdo to byl, podle svých slov spadá přímo pod finančního ředitele firmy.
Ozval se mu zástupce útočníků, který se v rozhovoru označuje jako „Podpora“ (Support). Ve skutečnosti jde o zástupce „provozovatelů“ ransomwaru, který dostal název RagnarLocker, který bezpečnostní firmy poprvé zaznamenaly v prosinci 2019 (více o něm např. na této stránce). Jde o poměrně sofistikovaný nástroj, který se používá podle všeho k cíleným útokům. Výzva k zaplacení, která je součástí kódu malwaru, obsahuje údaje pro tu či onu společnost.
„Dobrý den! Co pro vás můžeme udělat“, začíná rozhovor Podpora. Zástupce CWT se zeptal na podmínky rozšifrování souborů. Útočníci mu nejprve poskytli přesnější výčet toho, co mají k dispozici a nabídli „ochutnávku“ rozšifrování dvou náhodně vybraných souborů jako důkaz toho, že klíč skutečně existuje (to útočníci slíbili už ve zprávě, že data společnosti mají). Evidentně se snažili vzbudit v protistraně důvěru a přesvědčit ji, že hodlají svou část dohody splnit.
But the online chat room where the ransom negotiations took place was left online, giving a rare and *incredibly* interesting insight into how these things actually go down https://t.co/WmkI19Dxt8
V další části rozhovoru útočníci požádali o 10 milionů dolarů. S tím se napadaná firma nehodlala smířit a její zástupce přistoupil k vyjednávání. Nejprve se odkázal na zmínku v úvodním požadavku výkupného, kde se píše, že „pokud se nám ozvete do 2 dní od průniku, můžeme vám nabídnout VELMI VÝHODNOU CENU“ (velká písmena použili už vyděrači, pozn.red.).
Zástupce společnosti nepovažuje 10 milionů dolarů za „velmi VÝHODNOU CENU“ a žádá slevu. Útočníci souhlasí, že společnosti splnila uvedené podmínky pro „získání slevy“. Následuje vyjednávání, které opět nemáme k dispozici celé. Velkou část dostupného textu jsme uvedli v úryvku na začátku článku. Obě strany vyjednávají především o výši částky, ale také rychlosti zaplacení a přesném harmonogramu plnění „závazků“. Loupež za bílého dne působí v „korporátním slangu“ zcela přirozeně.
Personally I was surprised at how professional and collegial the whole conversation was. From beginning to end, this was treated a business transaction for both parties https://t.co/UyzetQeVab
Nakonec se shodnou, že výkupné bude činit 4,5 milionu dolarů. Vyděrači s tím souhlasili pod podmínkou, že platba proběhne během následujících 24 hodin. Za částku poskytnou CWT nástroj na dešifrování souborů a smažou všechny soubory na svém serveru, aby nedošlo k úniku firemních informací CWT.
Na závěr přidají několik bezpečnostních rad, jejichž užitečnost jistě může být sporná (proč by například zahrnuli do svých rad zalepení všech „děr“, které znají?) a velmi slušně se svou obětí rozloučí. CWT poděkuji za rychlé vyřízení, „Podpora“ se loučí slovy: „Není zač, pracovat s profesionály je radost. Pokud budete mít nějaké otázky, neváhejte se na nás obrátit.“
"It's a pleasure to work with professionals."
One of the last messages is the hackers offering to wipe the contents of the chat. It was not deleted. https://t.co/cIxsnWug90
Všimněte si, že útočníci nabízí možnost chat smazat, ale z neznámého důvodu k tomu ještě nedošlo hned po skončení rozhovoru. Zřejmě proto, že zástupce CWT nepotvrdil, že si z chatu opsal všechny důležité informace. Vyděrači mu nabídli, že chat smažou až jim napíše, že má vše potřebné.
Platba
Jak to u ransomwaru bývá, zaplacení výkupného proběhlo v kryptoměně. A to 28. července do bitcoinové „peněženky“ útočníků. CWT nejprve zhruba 14 minut po půlnoci 28. července světového času poslala na adresu vyděračů jeden bitcoin (a zbytek sobě do jiné peněženky). O nějakých 25 minut později, zřejmě poté, co dostala potvrzení, že transakce proběhla, poslala do stejné peněženky i zbytek sumy, která při tehdejším kurzu činila celkem 414 bitcoinů (to je tato transakce).
Pak následovalo „vyprání“ bitcoinu, které stopovali analytici společnosti ZenGo. Výkupné si pachatelé během 20 minut od obdržení částky rozdělili na dvě části (v této transakci), do dvou různých peněženek směřovalo zhruba 102,5 a 310,5 bitcoinu.
ZenGo se domnívá, že šlo o dělení mezi dvěma spolupracovníky či spolupracujícími skupinami. Například z toho prostého důvodů, že v jedné z cílových peněženek bitcoiny zůstaly několik hodin, z druhé hned zamířily k „vyprání“. Lze si snadno představit například to, že majitelé každé z nich jsou v jiném časovém pásmu. Je to ovšem pouze dohad.
„Vyprání“ přeběhlo relativně jednoduše. Bitociny jsou dobře sledovatelné, protože seznam všech provedených operací je veřejně dostupný (tato otevřená „účetní kniha“ slouží v podstatě jako doklad pravosti). Kdokoli se tak může podívat, kolik je v té které bitcoinové peněžence právě bitcoinů, a ze které peněženky přišly. Nelze si je tedy poslat na „tajný účet ve švýcarské bance“, takové účty bitcoin z principu neumožňuje.
Bitcoinové transakce čekají na ověření peer-to-peer sítě. Pokud by někdo chtěl poslat peníze, které nemá, neprojde taková transakce "hlasováním". Ověřené transakce se pak dostanou do oficiálního sdíleného řetězce ("blockchain"). Bitociny, které nemají historii v blockchainu, prostě a jednoduše neexistují. Bitcoiny tak nelze „schovat“ a pak zase někdy vytáhnout ze „sejfu“ o několik let později. V takovém případě nebudou anonymní, jejich historie bude perfektně známá.
Ale je možné „špinavé bitcoiny“ rozpustit v nějaké sdílené peněžence, kam si peníze může vložit každý. Z ní si pak zločinci vytáhnou peníze v podstatě čisté na nějakou další připravenou adresu. Pokud majitelé „společné peněženky“ svůj nárok prokáží jinak než adresou své původní peněženky, v bitcoinové „účetní knize“ už původ jejich bitcoinů není zaznamenán.
Jak funguje bitcoinVirtuální platforma nabízí paradoxně zároveň jak anonymitu, tak naprosto transparentní účty. Zatím se ale matematická kryptoměna potýká se špatnou pověstí, velkými výkyvy a nepochopením veřejnosti. Dostane příležitost změnit svět, nebo zůstane doménou hazardních hráčů a drogových dealerů?  |
Ovšem velké částky řádově v stovkách bitcoinů (a tedy milionů dolarů) budí pozornost, a tak je nejprve vyděrači rozmělnili na více menší částek. Podle ZenGo v tomto případě větší část výkupného (tj. cca 310,5 bitcoinu) byla nejprve rozdělena na dvě poloviny. Jednu polovinu postupně pachatelé poslali v menších obnosech na bitcoinovou burzu Binance. Druhou rozdělili nerovnoměrně mezi několik dalších burz.
Co se s penězi stalo dále, už není jasné. Pachatelé si je mohl například vyměnit za zcela anonymní kryptoměnu (tj. například ZCash), či vybrat jinak. Nebo si ji nevybrali vůbec, protože v době psaní článku byla část prostředků stále v peněženkách, kam směřovaly přímo po zaplacení výkupného, například 10 bitcoinů v této peněžence..
Platí se častěji?
Nejčastější rada obětem ransomware, která veřejně zaznívá, je neplatit. Ovšem jako v případě pravidla „únoscům nikdy neplatíme“, i toto pravidlo se v praxi zjevně často nedodržuje. To koneckonců naznačuje skutečnost, že ransomware je stále rozšířenější. Evidentně se vyplácí.
FBI sice ve své zprávě o vývoji internetové kriminality za rok 2019 (v PDF) uvádí, že má v databázi případy s celkovou škodou pouze 8,9 milionu dolarů, ale to je s největší pravděpodobností statistika zkreslená tím, že většina obětí případy nenahlašuje. Buď data odepíše, nebo se pokouší s pachateli dohodnout.
Z jednoho jediného případu bychom rozhodně neměli dělat trend, placení výkupného ovšem zřejmě není tak výjimečnou událostí. Například společnost Garmin, kterou postihl na konci července rozsáhlý výpadek, se také podle všeho stala cílem ransomwaru. A podle informací serveru BleepingComputer vyděračům za klíč zaplatila (byť to oficiálně popřela).
Novináři získali i kopii dešifrovacího programu, jejich informace vypadá věrohodněji než prohlášení vedení firmy. Vyděrači údajně žádali původně 10 milionů dolarů, tedy stejně jako v případě CWT, žádné věrohodně vyhlížející informace o tom, kolik Garmin nakonec měl zaplatit, ovšem zveřejněny nebyly.
Někdy to jde zadarmoPokud je ransomware „správně“ napsaný, k datům se bez zaplacení nedostanete. Ovšem proti některým druhům vyděračského softwaru už se můžete účinně bránit. Antivirové firmy vyvíjejí dešifrovací utilitky, které jsou ke stažení zcela zdarma. |
Spolehlivé statistiky o tom, jak často oběti přistupují na požadavky útočníků a za dešifrování svých dat zaplatí, k dispozici nejsou. Popis vývoje v oblasti ransomwaru ovšem naznačuje, že pachatelé našli cílovou skupinu, která je ochotná platit. Nejsou to jednotliví individuální uživatelé, ale spíše instituce, které shromažďují více dat než jednotlivci. Ať už jde o obchodní společnosti či třeba nemocnice, včetně těch českých.
Udržet bezpečnou sít v rámci velké organizace není zcela levná záležitost, vhodných cílů bude patrně k dispozici dost. Jak nasvědčuje vzácný pohled do zákulisí, minimálně někteří vyděrači si zřejmě snaží vytvořit pověst „spolehlivých partnerů“, kteří plní své sliby i hrozby. Proč by to dělali, kdyby „v oboru“ nechtěli zůstat? A proč by v něm chtěli zůstat, kdyby se jim zločin nevyplácel? Případ CWT zřejmě nebude tak výjimečný.
