RANSOM-WAR

2017 წელს დაიწყო გლობალური შეტევები, სახელად Notpettyaattack, რამაც დაახლოებით $10 მილიარდის ოდენობის ზიანი მოუტანა მთელ მსოფლიოს

By
Entrepreneur-ის კონტრიბუტორები საავტორო სტატიებში გამოხატავენ მათ პირად მოსაზრებებს.
You're reading Entrepreneur Georgia, an international franchise of Entrepreneur Media.

უკრაინაში მიმდინარე საომარი მოქმედებების ფონზე მომატებულმა კიბერთავდასხმებმა განსაკუთრებით აქტუალური გახადა კიბერუსაფრთხოების საკითხები, რის შესახებაც საკუთარ საავტორო ბლოგს კომპანია CyberOwl-ის კვლევითი განყოფილების მთავარი სპეციალისტი − ლევან აბესაძე გვიზიარებს.

დღეს, რუსეთ-უკრაინის ომში უამრავი ჰაკერული დაჯგუფებაა ჩართული. განსაკუთრებით შეგვიძლია გამოვყოთ დასავლეთის მხარეს მყოფი Anonymous და Againstwest. თუმცა მეორე მხარესაც იმყოფებიან საკმაოდ მძლავრი ჯგუფები, ისეთები, რომლებიც უკვე ბოლო ათი წელია დომინირებენ კიბერსივრცეში. ესენი გახლავთ: Conti, FreePeople ATP, Lapsus$ და Storm Ransomware. მხოლოდ ამ ოთხის ჩამოთვლაც კი საკმარისია იმისთვის, რათა მივხვდეთ, რამხელა ძალასთან გვაქვს საქმე.

მოქმედებები არ დაწყებულა ომის მიმდინარეობისას. გაცილებთ ადრე, თვეებით ადრეც კი, შეტევები განხორციელდა უკრაინის სამთავრობო საიტებზე, განსაკუთრებით კი მიზანში ჰყავდათ ამოღებული უკრაინული ბანკები.

სლოვაკ მკვლევართა ჯგუფმა ESET, ბოლო თვეების განმავლობაში განხორციელებული შეტევები შეისწავლეს და აღმოაჩინეს ვირუსის ტიპი, რომელიც HermeticWiper-ის სახელით გახდა ცნობილი. ისინი ადასტურებდნენ, რომ ამ ვირუსის გავრცელება საკმაოდ მასშტაბური აღმოჩნდა უკრაინაში და ათასობით კომპიუტერი უკვე ჩათრეული იყო ამ პროცესში.

თუმცა, ამავდროულად, მოქმედებდა Ransomware-ის ტიპი Wiperware/Pseudo, რომელიც უშუალოდ ორიენტირებული იყო იმაზე, რომ მაქსიმალური ზიანი მიეყენებინა ოპერაციული სისტემისთვის და ყველაფერი წაეშალა ისე, რომ მისი აღდგენა ფაქტობრივად შეუძლებელი გამხდარიყო. ამ ყველაფერზე ჯერ კიდევ 2022 წლის 13 იანვარს ისაუბრა Microsoft-ის წარმომადგენელმა.

რა არის Ransomware? − ეს გახლავთ კრებითი სახელი მავნე პროგრამებისა, რომელთაც მძევლად აჰყავთ ჩვენი სისტემა. მათი გადმოწერისა და დაყენების შემდეგ, ისინი ახდენენ სისტემის შიფრაციას კრიპტოგრაფიული მეთოდების გამოყენებით. ამის შემდეგ პროგრამა გვთხოვს ფულს კრიპტოგრაფიული გასაღების მისაღებად და ჩვენსავე სისტემის გასაშიფრად.

არის თუ არა ყველა ეს RansomWare ერთი დიდი გეგმის ნაწილი, რომელსაც სათავე 2017 წელს დაედო? − დიახ, შესაძლოა. 2017 წელს დაიწყო გლობალური შეტევები, სახელად Notpettyaattack, რამაც დაახლოებით $10 მილიარდის ოდენობის ზიანი მოუტანა მთელ მსოფლიოს.

პრევენციის მიზნით კომპანიებმა გააძლიერეს იმ ვირუსების კვლევა, რომელიც ამ პერიოდში ფიქსირდებოდა. ასევე, Pettya-ს წინამორბედებზე განხორციელდა ფართო მასშტაბური კვლევა, თუმცა ვირუსი მაინც განაგრძობდა პროგრესს და პიკურ ნიშნულს უკვე 2018 წელს მიაღწია, როდესაც WANNACRY გავრცელდა უფრო ფართო მასშტაბებით და მოიცვა თითქმის ყველა სფერო. ამ ყველაფერში კი დადანაშაულებულ იქნა ჩრდილოეთ კორეული დაჯგუფება Lazarus, რომელიც დღეს ამ ომში უკვე რუსეთის მხარეს იბრძვის.

ეს იყო რეკორდული დავირუსების მაჩვენებელი. Europol-ის მონაცემებით, დაახლოებით 200 000 კომპიუტერი დავირუსდა ევროპის მასშტაბით, 7 საათის განმავლობაში. საბოლოოდ კი მარკუს ჰატჩინსი გახდა გმირი, რომელმაც ამ ვირუსს გასაღები უპოვა. თუმცა საქმე აქ ის გახლავთ, რომ შემქმნელებმა დატოვეს გარკვეული ტიპის გასასვლელი გზა თავადვე. ეს ცოტა უცნაური იყო, თუმცა ამას მარკუს ჰატჩინსიც აღიარებს. მარკუსი მას შემდეგ ჩაერთო საქმეში, რაც ბრიტანეთის ჯანდაცვის სამინისტრო სრულ კოლაფსამდე მივიდა, კიბერთავდასხმის გამო.

კიბერომი

ომის დაწყებიდან დღემდე, ჰაკერები ფაქტობრივად ყოველდღიურად ახორციელებენ შეტევას მასშტაბურ კორპორაციებზე. უკრაინის კიბერუსაფრთხოების სამინისტრო აცხადებს, რომ მასიურად „იბომბება" მათი ვებგვერდები 24/7 რეჟიმში. საინტერესოა ისიც, რომ ეს პროცესი, რომელსაც რუსი ჰაკერები მიმართავენ, ხშირად Botnet-ის რეჟიმშია წარმოებული, რაც კიდევ ერთხელ ამტკიცებს იმას, რომ ბოლო წლების განმავლობაში ისინი მასიურად ავრცელებდნენ ვირუსებს იმდაგვარად, რომ ანტივირუსისთვის თუ უსაფრთხოების სისტემებისთვის ეს ამოუცნობი ყოფილიყო. ასევე, ვფიქრობ, მათ ბევრი სხვა ვირუსი დატოვებულიც კი ჰქონდათ კომპანიებში და ახლა აამოქმედეს. ჩემი აზრით, Samsung-ისა და Toyota-ს გატეხაც ამ ყველაფერთან პირდაპირ კავშირშია.

თავისუფლად შეგვიძლია ვისაუბროთ იმაზე, რომ კიბერომში გუნდებს გარკვეული ტაქტიკა აქვთ შემუშავებული და ამ ტაქტიკას მიჰყვებიან. თუ გადავხედავთ რუსების ჯგუფს და შემდეგ ჩავხედავთ MITRE-ს, ვნახავთ, რომ მათი ძირითადი უნარ-ჩვევები სწორედ ვირუსთა ტიპოლოგიებზე და მათ შექმნაზე გადის. ალბათ ეს ჯგუფები სწორედ ამიტომ იქნა არჩეული. თამამად შეგვიძლია განვაცხადოთ, რომ კიბერომში მათი დამარცხება საკმაოდ რთული იქნება მათსავე მუშაობის სპეციფიკიდან გამომდინარე.

რუსული დაჯგუფებების გეგმები

რუსული დაჯგუფებების გეგმები ეკონომიკურ ზარალზეა გათვლილი, არა ერთჯერადად, არამედ პროგრესირებადი წაგებით, რაც აისახება თუნდაც იმაში, რომ როცა ყველაზე მეტად გაძვირდა ვიდეობარათები, სწორედ მაშინ მოახერხეს და Nvidia-ს დაესხნენ თავს, რაც გარკვეულწილად, კომპანიის რეიტინგსა და პროდუქტის ფასის კლებაზე პირდაპირ აისახა. ამან გამოხმაურება პოვა ბირჟებზეც, რამაც Nvidia-ს ღირებულება საკმაოდ დააგდო.

ჯერჯერობით, ისინი ამ გონების თამაშს იგებენ, რადგანაც გეგმურად ამოუცნობია მათი ტაქტიკა და მათი ჩართულობა ამ ომში. აღსანიშნავია, რომ 2019 წელს BIOS-ის მეგამწარმოებელმა და ბაზრის ლიდერმა AMI შემოგვთავაზა თავდაცვითი ტაქტიკა ამ ვირუსის წინააღმდეგ. ეს ითვალისწინებდა BIOS-ის პაროლით აღჭურვას, რაც ვაიპერს მისი მწყობრიდან გამოსვლისაგან დაიცავდა, თუმცა არ ვიცით, დღეს ეს თავდაცვითი ტაქტიკა არის თუ არა ისევ აქტუალური.

ე.წ. „ღრუბლოვანი" სისტემები

რამდენიმე დღის წინ 52 ამერიკულ ტექნოლოგიურ გიგანტზე განხორციელდა შეტევა და ინფორმაცია მასიურად იქნა წაღებული. ეს ინფორმაცია გარკვეული დროის განმავლობაში არ ვრცელდებოდა, თუმცა საბოლოოდ, როცა ყოველივე საფონდო ბირჟაზე აისახა, უკვე ყველა მიხვდა რაშიც იყო საქმე. საუბარი კომპანიების საკუთრებაში არსებული მილიარდობით დოლარის დანაკარგს ეხებოდა. ამ შემთხვევაში Ransomware-ის ტიპი განსხვავებული იყო. საქმე გვქონდა RagnarokLocker-თან, რომელიც პირველად 2019 წელს გამოიყენეს სწორედ მსგავსი გლობალური შეტევებისთვის, თუმცა ამ შემთხვევაში უკვე მოდიფიკაცია განიცადა ვირუსმა და უფრო მძლავრი იერსახით დაგვიბრუნდა.

რა თქმა უნდა, კომპანიებს აქვთ „ღრუბლოვანი" სისტემები, სადაც ავტომატურად ახდენენ ფაილთა გადაცემას და შემდგომ, დაზიანების შემთხვევაში აღდგენას. მაგრამ საინტერესოა შემდეგი ფაქტი − კვლევების თანახმად, ზოგიერთი Ransomware „ღრუბლოვან" სისტემებსაც აზიანებს. CISA-ს მონაცემებით 2020 წლიდან მოყოლებული, ყველაზე ხშირად სწორედ „ღრუბლოვანი" სისტემიდან მოხდა ინფორმაციის გაჟონვა, რაც საკმაოდ უცნაურად უნდა მოგვეჩვენოს, თუ გავითვალისწინებთ მისი დაცულობისა და სანდოობის სქემას, მაგრამ თუ მკვლევრებს დავუჯერებთ, ეს ყველაფერი გამოწვეულია იმ სინქრონიზაციით, რომელსაც „ღრუბლოვანი" სისტემა მიმართავს ადგილობრივ ქსელთან. მაგალითად, თუ ერთი ფაილი, რომელიც დაშიფრულია და მოხვდა „ღრუბლოვან" სისტემაში, უკვე ყველა მომხმარებლისთვის დაშიფრულია და შეუძლია მოიცვას მთლიანი ქსელი. მსგავსი შემთხვევა პირველად დაფიქსირდა Google-ის Onedrive-ზე, როდესაც ერთი ფაილის სინქრონიზაციით 4000 სხვა ფაილის დავირუსება მოხდა. ამ შემთხვევაში, რაც თავდაცვისთვის ყველაზე რეალური გახლავთ, სარეზერვო ასლების გაკეთებაა.

ბოლო კვლევებით, ეს არის ჩამონათვალი ვირუსებისა, რომლებსაც შეუძლიათ „ღრუბლოვან" სისტემაზე ზემოქმედება:

  • Petyaransomware
  • RANSOM_CERBER
  • Ransomcloud

მსგავს შემთხვევებში, მკვლევრები ხშირად ურჩევენ კომპანიებს მანქანური სწავლება გამოიყენონ „ღრუბლოვანი" სისტემების დასაცავად. კერძოდ კი SpinOne, რომელიც აქტიურად აკვირდება მომხმარებელთა ანომალიურ ქცევას, ამის შესაბამისად ახდენს რეაგირებას და მიგითითებთ დავირუსებულ ფაილზე, რომელსაც შეუძლია სხვების ინფიცირება.