Ruska hakerska skupina LockBit pohvalila se kibernetičkim napadom na KBC Zagreb zbog kojeg je prošlog četvrtka kompletan informatički sustav bolnice pao te je u samo nekoliko sati sve prebacilo papirnati mod i pisanje nalaza rukom.
I dok je javnost dobila informaciju da se sustav već idući dan vratio u normalu te se dobio dojam da je sve natrag opet pod kontrolom uz prilično šturu informaciju da je hakerski napad bio ozbiljan, kao nova vijest eksplodirala je informacija da se ruska hakerska grupa pohvalila popisom hakiranog sadržaja bolnice.
Naveli su da je to medicinska dokumentacija, pregledi i studije pacijenata, doktorski znanstveni radovi, kirurgija, podacima o organima i darivateljima, banke organa i tkiva, podaci o zaposlenicima (adrese, brojevi telefona), pravni dokumenti zaposlenika, podaci o donacijama i odnosima s privatnim tvrtkama, knjiga donacija, podaci o rezervama lijekova, izvješća o povredi osobnih podataka.
Dakle, niz vrlo osjetljivih podataka za koje se ne može ni slutiti što bi značilo ako kriminalna organizacija nešto s njima učini.
LockBit je objavio da je dao i deadline, odnosno datum ucjene i to 18. srpnja, dajući naslutiti da su dali uvjet otkupnine, ali nisu otkrili i o kojem je iznosu riječ.
Neslužbeno smo doznali da su hrvatske službe upoznate s ovom ruskom zloglasnom hakerskom skupinom i da znaju za njihovu objavu.
No službene potvrde hrvatskih vlasti o tome nema. Ni na naš upit o tome je li bolnica ucijenjena od ruskih hakera, do objavljivanja ovog teksta nisu odgovorili ni iz KBC-a Zagreb, ni iz SOA-e.
Iz Ministarstva unutarnjih poslova navode tek šturo da provode kriminalističko istraživanje s ciljem utvrđivanja okolnosti napada te da uvažavajući tajnost izvida nisu u mogućnosti dati više informacija.
Sam hakerski napad krenuo je oko jedan u noći prošlog četvrtka, a koliko je bio ozbiljan i velik govori i podatak da je odmah dignuto 100-tinjak stručnjaka. Pomoćnik ravnatelja KBC-a Zagreb Milivoj Novak nakon napada tvrdio je da nije došlo do curenja podataka, ali ako je točno ono što su sad hakeri objavili, moguće je da ipak jest.
Što znamo o hakerskoj grupi LockBit?
Platforma za kibernetičku sigurnost SOC Radar navodi kako je LockBit lani bila najaktivnija globalna grupa koja razvija Ransomwarea viruse za kibernetičke napade. Učestalost njihovih napada iz godine u godinu raste.
Smatra se da su ovi hakeri odgovorni možda za trećinu svih Ransomware napada u prvom kvartalu 2023. u svijetu. Ove kibernetičke kriminalce prvi su put primijetili u rujnu 2019. godine, a najaktivnija Ransomware grupa postali su 2022.
Prema podacima platforme SOCRadar samo u prvom kvartalu prošle godine imali su više od 300 najavljenih žrtava, ali podaci o tome variraju i spominje se da u najavi imali i više od 1000 napada.
Tvrtka Atento iznijela je procjenu da se težina njihovih napada penje na 42,1 milijun dolara u 2021. godini, a da ukupne financijske štete uzrokovan zlonamjernim radnjama LockBita možda premašuju milijarde dolara.
Oni koji prate njihov rad upozoravaju da grupa razvija i nove sojeve zlonamjernog Softwarea LockBit 3.0 kojim se sad hvale da su napali KBC Zagreb. Ta verzija virusa poznata je i kao LockBit Black.
Kakav je to virus LockBit 3.0?
LockBit 3.0 smatra se nasljednikom virusa LockBit i LockBita 2.0 dobro poznatih u svijetu cyber kriminalaca.
Kriminalci koriste različite taktike za napade na široku lepezu tvrtki i institucija te njihove kritične infrastrukture. Često koriste i model dvostruke iznude, a poznati su i po regrutiranju outsidera po hakerskim forumima, čak raspisuju za to i natječaje.
Zaobilazi određene jezike
Ovime privlače mnogobrojne hakere, niču i njihove podružnice i šire svoje zlonamjerne kriminalne radnje.
Sam virus LockBit 3.0 šifrira sadržaj do izvršenja napada, on inficira cijeli sustav a zanimljiv je detalj da u svom napadu izuzima sustave koji koriste pojedine jezike - na prvom mjestu ruski, potom rumunjski (Moldavija), arapski (Sirija), tatarski (Rusija) i dr.
Iako ova hakerska skupina tvrdi da se ne bavi politikom, ipak su mnoge mete članice NATO-a, a prema podacima SOCRadar-a, oko polovice napada s varijantom LockBit 3.0 pogađa američke tvrtke.
Ne može se reći da imaju određenu industriju na koju ciljaju, ali su im na meti češće sustavi zdravstva i obrazovanja, potom male i srednje organizacije te velike IT tvrtke.
Nekoliko je modaliteta napada, a jednom kad LockBit uđe u sustav žrtve, može modificirati svoje ponašanje.
Jedan od šest ransomeware napada u Americi je LockBitov
Nakon enkripcije, LockBit 3.0 ispušta poruku o otkupnini, a može slati i šifrirane informacije za naredbe i kontrolu.
Prema pisanju istog portala, Grupa LockBit odgovorna je za otprilike jedan od šest napada ransomwarea usmjerenih na SAD.
LockBit je izveo gotovo 1700 napada i stekao 91 milijun dolara otkupnine samo od žrtava u SAD-u.
Hakeri neprestano poboljšavaju varijante LockBita, a varijanta kojom su napali KBC Zagreb naziva se i LockBit Black.
Oni koji prate ovo područje navode i da je LockBit posrtao u svojim pokušajima da stvarno objavi nečije podatke, čak da su njihove prijetnje bile šuplje i da su služile jednostavno kao način iznude.
Hrvatski stručnjak za kibernetičku sigurnost Markom Gulanom u ranijem razgovoru za Danas.hr iznio je zanimljivost za Ransomware napade u kakav spada i LockBit. Komentirajući napad na Rebro (prije nego što su ruski hakeri objavili da stoje iza njega opa.), naveo je da se kroz takve napade sustav inficira iznutra.
"Takvi napadi mogu biti opasni kad napadač ima vrlo visok motiv. Treba shvatiti da napadač troši svoje resurse - znanje, vrijeme i novac. Ako netko želi napasti neku instituciju, on mora imati znanje o tome kako stvari funkcioniraju unutar sustava. Ne mogu hakeri samo tako pogoditi nečiju IP adresu, nego moraju biti prisutni u sustavu neko vrijeme ili imati nekog insajdera koji će im dati podatke", rekao nam je ranije Gulan.
Iznio je i podatak da svjetska statistika pokazuje da se prije uspješnog Ransomware napada prethodi dugotrajna priprema koja u prosjeku traje između 200 i 220 dana te da se žrtva potiho promatra iznutra. Štoviše, ponekad napadač može biti u sustavu godinama prije nego krene u akciju.
Službena istraga tek treba utvrditi odakle je i kada napad krenuo te kolika je šteta (ako jest) nastala.
Dodajmo i to da je hakerski napad na KBC Zagreb bio dan nakon hakerskog napada na financijske institucije - Zagrebačku burzu, Poreznu upravu, Hrvatsku narodbu banku, Ministarstvo financija. No ovo je bila druga vrsta napada - takozvani DDoS napad koji je krenuo izvana. To je inače jednostavniji i benigniji oblik napada gdje se meta "bombardira" izvana. I ovdje su ruski hakeri preuzeli odgovornost za napad i pohvalili se time, ali su naveli da ne stoje iza napada na Rebro te da oni nisu u ratu s civilima nego s rusofobnim vladama.
POGLEDAJTE VIDEO Stručnjak za sigurnost pojasnio zašto je došlo do napada i tko su hakeri koji su ukrali podatke
