In institutiile publice din Romania au existat in acest an doua-trei cazuri in care anumiti utilizatori s-au confruntat cu CryptoWall 3.0, un nou tip de malware care iti cripteaza fisierele si cand a terminat criptarea intregului hard disk iti cere bani ca sa poti sa decriptezi fisierele, a declarat intr-un interviu video pentru HotNews.ro Augustin Jianu, directorul general al CERT-RO (Centrul National de Raspuns la Incidente de Securitate Cibernetica). Acesta a precizat ca nu au fost decat "2-3 cazuri" si ca expertii CERT-RO au gasit modalitatile de recuperare a datelor, fara a fi nevoie sa se plateasca sumele solicitate.

Augustin Jianu, directorul general al CERT-ROFoto: Hotnews

HotNews.ro a realizat in aceasta luna un reportaj video la sediul proiectului pilot al Centrului de inovare in securitate cibernetica din Bucuresti, lansat luna trecuta cu ocazia Summitului regional privind securitatea cibernetica care a avut loc in Capitala.

Cu aceasta ocazie l-am intrebat pe directorul general al CERT-RO, Augustin Jianu, care au fost cele mai mari amenintari cibernetice din acest an, ocazie cu care am aflat ca unul dintre cele mai suparatoare tipuri de malware - CryptoWall 3.0 - si-a facut simtita prezenta si in institutii publice din tara.

VIDEO Cryptowall 3.0 in institutii publice din Romania:

Material realizat cu echipament Nikon

Cele mai importante declaratii ale lui Augustin Jianu pe tema CryptoWall 3.0:

  • Sunt din ce in ce mai prevalente atacurile de tip ransomware. In anii trecuti vazusem anumite tipuri de cryptolockers si alte variante de malware. Anul acesta am vazut CryptoWall 3.0 destul de des aparand si cred ca oamenii ar trebui sa stie ca este unul dintre cele mai suparatoare genuri de malware.
  • In general un malware care doar iti fura date si informatii de pe calculator este facut sa fie insesizabil de catre utilizator si in principiu nu-l deranjeaza. Eventual acesta doar constata ca ii merge calculatorul putin mai greu, dar nu stie ca a fost infectat.
  • In schimb CryptoWall ce face? Iti cripteaza fisierele si cand a terminat criptarea intregului hard disk iti cere bani ca sa poti sa decriptezi fisierele. Practic, ti-a criptat filme, poze fisiere si documente. Toata munca ta de pe acel calculator nu se mai afla in proprietatea ta si iti cere bani ca sa poti avea acces la ele.

HotNews.ro: In randul institutiilor publice ati avut astfel de cazuri?

Augustin Jianu: Da.

HotNews.ro: Anul acesta?

Augustin Jianu: Da.

HotNews.ro: Si cum v-ati descurcat?

Augustin Jianu: Ne-am descurcat bine. Nu foarte multe. Vreo- 2-3 cazuri.

HotNews.ro: Pana la urma a trebuit sa platiti?

Augustin Jianu: Nu. Am gasit alte metode. (...) A fost o intamplare, nu au fost institutiile in sine atacate. Un utilizator oarecare din acea institutie a primit un email sau un link pe Facebook, a dat un click pe care nu trebuia sa-l dea si in felul acesta a ramas fara fisiere. Nu au fost tragedii.

(..)

  • Daca d-voastra aflati primul (n.a de existenta unui atac cibernetic), cum e cazul de CryptoWall, vedeti efectiv ca v-a aparut o fereastra, nu va da accesul la fisiere si va cere bani ca sa aveti acces la acestea, trebuie sa stiti ca exista CERT-RO, ne contactati si in masura in care este posibil trimitem niste oameni sa va ajute.
  • In cazul programelor de tip ransomware sunt  cateva proceduri prin care se poate recupera o parte din date, daca nu chiar toate. Eventual putem prin colaborare cu parteneri internationali sa vedem cheile private cu care au fost criptate aceste fisiere si sa incercam chiar decriptarea si sa si functioneze, dar asta tine de operatiuni un pic mai extinse, atunci cand se detecteaza anumite centre de comanda si control ale acestui malware de tip cryptowall si gasim cheile private acolo. 
  • Partenerii internationali in momentul in care au dat jos un centru de comanda si control vad IP-urile si cheile private cu care au fost criptate. Ei vad ca sunt IP-uri din Romania, trimit informatiile CERT-ului din Romania. Apoi noi preluam informatia, incercam sa aflam al cui este IP-ul si sa-i oferim cheia si metoda de decriptare si bineinteles sa-l invatam cum sa faca de acum incolo sa nu se mai infecteze.

Directorul general al CERT-RO nu a oferit detalii referitoare la institutiile in cauza, sumele solicitate sau modul exact in care s-a rezolvat fiecare caz in parte. Totusi, o cautare pe internet, ne arata ca amenintarea acestui malware este destul de serioasa si ca atacatorii cer cate 500 de euro pentru decriptarea fisierelor intr-un termen de o saptamana. Dupa expirarea termenului, atacatorii dubleaza suma ceruta pentru a oferi acces la fisiere. Detalii aici.

VIDEO Cele mai mari amenintari cibernetice la nivel rezidential in 2014

Material realizat cu echipament Nikon

Augustin Jianu, directorul general al CERT-RO:

  • La nivel rezidential, cea mai mare problema este cea de botneti si de troyeni distribuiti prin email, prin Facebook.
  • Peste 2 milioane de IP-uri, din totalul de 2,4 milioane de IP-uri implicate anul trecut in incidente de securitate cibernetica, sunt rezidentiale si majoritatea au instalate pe ele o varianta sau mai multe de malware. Virusi, trojeni, worm. Astea sunt folosite ulterior in alte atacuri si sunt asseturi pe care hackerii care au compromis acele sisteme le vand online.
  • Spre exemplu, in gluma fie zis, daca ati vrea sa atacati o publicatie concurenta. Mergeti in online, cautati cateva ore, aflati ca exista un forum unde se vand sau se inchiriaza botneti de genul acesta si inchiriati timp de 2 zile un botnet cu ..nu stiu..500 de dolari si timp de 2 zile loviti in site-ul concurent si nu se mai poate conecta nimeni la el sa-si citeasca stirile. Asa functioneaza. Calculatoarele oamenilor din Romania si de peste tot din lume sunt vandute ca niste bunuri.

Alex, expert CERT-RO:

  • Primim foarte multe alerte referitoare la routere ale homeuserilor. Probabil ai si tu acasa un router wireless pe care nu ai intrat pe el decat cand l-ai cumparat, i-ai setat userul si parola si asta a fost tot. Noi primim  foarte multe alerte referitoare la astfel de dispozitive din zona rezidentiala care sunt ori cu parole default ori cu vulnerabilitati pentru care nu s-au instalat patch-urile de vreo 3-5 ani, care sunt destul de simplu de exploatat dupa care ai mai multe modalitati de monetizare.
  • Una dintre modalitati este schimbarea serverului de DNS care iti permite tie atacatorului sa redirectionezi cererea facuta de un user catre banca lui, catre un site al tau personal si sa interceptezi userul parola si sa ai apoi acces la contul lui bancar.
  • Poti sa initiezi atacuri folosind IP-ul si calculatorul acelui user rezidential care face atribuirea unui aatac mult mai grea. Acel client rezidential este folosit ca tap ispasitor, ca platforma de lansat alte atacuri. In momentul in care sa zicem ca vreau sa atac o firma din Romania folosesc astfel de clienti rezidentiali. Ei (n.a reprezentantii firmei atacate) cand se uita in log-urile de acces pentru a identifica cine le-a furat datele vor gasi acei clienti rezidentiali care nu au nici cea mai vaga idee ce s-a intamplat.
  • Reactiv, CERT-ul contacteza ISP-istul ii da o lista cu aceste probleme si apoi este la latitudinea furnizorului de internet ce cale de actiune urmeaza.

Mai multe detalii despre un malware de tip ransomware puteti citi chiar pe site-ul CERT-RO - aici.