Amerykańska przedsiębiorczość. Zarobili miliony na płaceniu okupów crackerom i są bezkarni

Proven Data i MonsterCloud. Co łączy te dwie nazwy? Pod obiema skrywają się amerykańskie firmy, oferujące klientom odzysk danych zaszyfrowanych dla okupu przez oprogramowanie ransomware. Jednak przedsiębiorstwa te łączy coś jeszcze. Mianowicie ani jedno, ani drugie w rzeczywistości nie podjęło walki z crackerami. Zamiast tego płacili okupy, pobierając prowizje.

W latach 2015 - 18 ransomware znany jako SamSam sparaliżował sieci komputerowe w Ameryce Północnej i Wielkiej Brytanii. Straty szacowane są na ponad 30 mln i dotyczą co najmniej 200 placówek. Na liście poszkodowanych są nie tylko duże przedsiębiorstwa i centra logistyczne, takie jak Prezbiteriańskie Centrum Medyczne w Los Angeles czy Port w San Diego, ale także całe miasta, m.in. Atlanta i Newark w stanie New Jersey – relacjonuje "ArsTechnica".

W Atlancie ofiarą padł system obsługi wodociągów. Natomiast w Kolorado wezwana musiała dostać Gwardia Narodowa, kiedy całkowicie utracono dostęp do dokumentacji medycznej pacjentów służby zdrowia. Przestępcom się opłaciło. Łącznie zainkasowali ponad 6 mln dol. okupu.

Na konferencji prasowej w listopadzie ubiegłego roku wskazano podejrzanych. Ówczesny zastępca prokuratora generalnego, Rod Rosenstein, ogłosił, że atak zorganizowało dwóch Irańczyków. Oskarżył ich o próbę dezorganizacji państwa i organizację wymuszeń. – Wiele celów SamSam to agencje publiczne odpowiedzialne za ratowanie życia – grzmiał Rosenstein. – Ograniczyli ich zdolność do zapewnienia opieki zdrowotnej chorym i rannym – stwierdził. I dodał stanowczo: – Przestępcy wiedzieli, że zamknięcie systemów może pociągnąć za sobą niewinne ofiary.

Ale to dopiero początek. Pisząc oświadczenie z tamtego dnia, FBI stwierdziło, że "przestępcy byli poza zasięgiem amerykańskich organów ścigania". Pomogło prywatne przedsiębiorstwo odzyskujące dane – Proven Data. Sęk tkwi w tym, że według danych ujawnionych przez byłego pracownika, Jonathana Storfera, w istocie rzeczy przez okres około jednego roku dokonywano regularnych płatności na konta crackerów. Taką wersję wydarzeń potwierdzają dziennikarze śledczy z ProPublica.

Pomimo iż transakcje odbywały się w bitcoinach, ProPublice udało się prześledzić cztery płatności. Jak wynika z badań Chainalysis, zlecone w 2017 i 2018 r., z portfela internetowego Proven Data do portfela określonego w żądaniu włamywaczy. Następnie środki przeszły przez 12 różnych adresów, zanim dotarły do Irańczyków. Później proceder zablokował Departament Skarbu USA, zakazując płatności do tego konkretnego miejsca docelowego na mocy sankcji wymierzonych w Iran.– Nie zdziwiłbym się, gdyby znaczna ilość oprogramowania ransomware finansowała terroryzm, a także zorganizowaną przestępczość – skwitował sytuację Storfer.

Podsumowując – nieznana grupa cyberprzestępców paraliżuje państwo, a FBI nie potrafi ani ich namierzyć, ani chociaż odszyfrować danych. Zgłasza się prywatna firma, która oferuje "najnowszą technologię", pozwalającą rzekomo rozwiązać problemy śledczych. Pobiera niemałe kwoty, ale przez rok zdaje się odpierać ataki, więc nikt nic nie podejrzewa. Niemniej finalnie okazuje się, że tak naprawdę do żadnego odparcia ataku nie doszło. Wprost przeciwnie – firma cały czas opłacała się włamywaczom, licząc sobie ekstra na poczet prowizji do własnej kieszeni.

Myślisz, że to szczyt bezczelności? Nie – tym wykazała się druga z firm w zestawieniu, MonsterCloud. ProPublica ustaliła, że działali w sposób analogiczny do Proven Data. Tyle że szef, zamiast podkulić ogon i schować się w cieniu, uznał, że zaistniałą sytuację racjonalnie wyjaśni. – MonsterCloud nie wprowadza klientów w błąd, gdyż nigdy nie obiecuje, w jaki sposób zostaną odzyskane dane. (...) Mamy tak wysoki wskaźnik skuteczności, dzięki znajomości napastników i ich metod działania – oświadczył Zohar Pinhasi, piastujący w MonsterCloud stanowisko prezesa. Opisywania tych metod jednak odmówił, powołując się na konieczność dochowania tajemnicy handlowej.

Trochę paradoksalnie, Proven Daty i MonsterCloudu nie można postawić przed sądem. Podpisując umowę z klientami, w tym przypadku służbami USA, zadeklarowali przywrócenie plików i danego słowa dotrzymali. Klient znał cenę usługi. Świadomie ją zaakceptował. Inna sprawa, że dziennikarze zwracają uwagę na jeszcze jeden fakt. Całkowitych kosztów nigdy nie podawano wprost. Usługa deszyfracji kosztowała mniej niż okup, ale obie firmy świetnie opanowały zdolność do namawiania klientów na opłaty dodatkowe. Ci płacili im za kolejne audyty i operacje mające na celu poprawę zabezpieczeń systemów. Teraz ciężko określić, ile z tych działań przeprowadzono rzetelnie, a ile to zwykła farsa. Prawo amerykańskie płacenia okupu za ransomware nie zabrania.