14:03
26/3/2020

“Zaszyfrowano nam dane i musimy zapłacić”. Kiedyś taki problem traktowano jako wewnętrzną sprawę firmy lub instytucji. Niestety coraz częściej ransomware nie tylko żąda okupu, ale też grozi wyciekiem, a poza tym “naruszenie ochrony danych” to nie tylko “wyciek”.

Coraz więcej mówi się o tym, że o wyciekach danych osobowych należy powiadomić albo Urząd Ochrony Danych Osobowych (art. 33 RODO) albo nawet osoby, których dane dotyczą (art. 34 RODO). Niestety w tak podanej informacji czai się mała nieścisłość. Tak naprawdę istnieje obowiązek informowana nie tylko o wyciekach, ale o naruszeniach ochrony danych, a do takich naruszeń zaliczymy również modyfikację danych albo ich zniszczenie, nawet jeśli nie skutkowało ono wyciekiem.

To oznacza, że atak ransomware’u na firmę lub instytucję jest nie tylko incydentem bezpieczeństwa, ale także naruszeniem ochrony danych, które może podlegać “samodonosowi” do UODO. Na tym jednak nie koniec bo twórcy oprogramowania ransomware coraz częściej grożą ujawnieniem przejętych danych i chwalą się dostępem do nich. To oznacza, że atak ransomware’u staje się de facto wyciekiem,  a więc tym bardziej podlega zgłoszeniu.

Jak nie zapłacisz to ujawniamy

Już w ubiegłym roku twórcy ransomware’u o nazwie Maze wpadli na to, że można wzmocnić żądanie okupu zapowiedzią ujawnienia danych. Stworzyli oni stronę internetową do wytykania wycieków i ujawnili na niej listę ośmiu ofiar, które odmówiły płacenia okupu. Brian Krebs potwierdził, że przynajmniej jedna z tych firm rzeczywiście padła ofiarą ransomware’u choć informacja o tym nie przedostała się do mediów.

Fragment strony, na której twórcy Maze publikowali informacje o ofiarach (źródło: Krebs On Security)

O determinacji twórców Maze może świadczyć fakt, że kontaktowali się oni z dziennikarzami (m.in. z serwisem Bleeping Computer) i pokazywali im informacje mające dowodzić skutecznej eksfiltracji danych. Dziennikarze przekornie pytali jaka jest gwarancja, że dane ofiary nie zostaną ujawnione pomimo wpłacenia okupu? Przestępcy przekonywali, że zależy im na pieniądzach a nie na danych, co nie jest do końca przekonujące.

Już przy okazji Maze  mówiono o tym, że ataki ransomware’u należy traktować jak wycieki danych. Ponadto z informacji pojawiających się na forach darknetowych wyraźnie wynikało, że twórcy złośliwych programów nie stronią od przeglądania tego, co później zostało zaszyfrowane, a zresztą czemu mieliby tego nie robić?

Strategia nabrała popularności

Wkrótce tę samą strategię podchwyciły inne rodziny ransomware’u. Operatorzy złośliwego oprogramowania Sodinokibi, którzy z powodzeniem atakowali m.in. urzędy i dentystów, w grudniu 2019 roku ogłosili zamiar wykorzystywania wykradzionych danych ofiar by skłaniać je do wpłaty okupu. Groźby były spełniane np. w lutym 2020 roku opublikowano pliki należące rzekomo do dużej nowojorskiej firmy z branży mody. Przestępcy twierdzili, że weszli w posiadanie 60 tys. rekordów z danymi osobowymi oraz 70 tys. dokumentów finansowych.

Operatorzy Nemty oraz DoppelPaymer byli następni. Ci pierwsi opublikowali m.in. plik o objętości 3,5 GB, który zawierał dane na temat pewnej zaatakowanej firmy. Operatorzy DopplePaymera posunęli się do uruchomienia strony o nazwie Dopple Leaks, na której w chwili obecnej widnieją dane 11 firm. Strona jest dostępna w sieci Tor.

Strona Dopple Leaks

 

Dopple Leaks: Przykładowe pliki opublikowane w ramach nacisku na zapłatę okupu

Wymieniona na stronie firma Pemex (Petróleos Mexicanos – meksykańskie przedsiębiorstwo naftowe) nie kryła się specjalnie z atakiem i komunikowała swoje problemy. Atak na tę firmę porównywano z atakiem na Norsk Hydro. W tym przypadku przestępcy żądali okupu w wysokości przekraczającej 4,8 mln USD i można śmiało powiedzieć, że zaatakowanie tej firmy jest jednym z czołowych osiągnięć tej grupy przestępczej.

Inną firmą “ukaraną” publikacją na Dopple Leaks jest Bretagne Télécom, francuskie przedsiębiorstwo z branży usług chmurowych i telekomunikacji. Ta firma okupu nie zapłaciła gdyż udało jej się odszyfrować pliki. Można by powiedzieć, że historia dobrze się skończyła, ale wcale tak nie było bo wyciek i tak może zaboleć. Przecież kary za RODO grożą także firmom będącym ofiarami ataków (zob. przypadek Morele oraz British Airways).

Nowi gracze

Nefilim to kolejny ransomware, który od niedawna zaczął informować o przejęciu danych i grozi ich opublikowaniem. Przynajmniej taka groźba znajduje się w żądaniu okupu.

Notka z żądaniem okupu od Nefilim

Dwie inne rodziny ransomware’u CLOP i Sekhmet– zdecydowały się na utworzenie stron wyciekowych o nazwach (odpowiednio)  CL0P^_- LEAKS oraz Leaks leaks and leaks. Informował o tym Bleeping Computer, który pokazał również zrzuty wyciekowych stron. O ile CLOP jest dość dobrze znany o tyle Sekhmet to dość nowy gracz, który najwyraźniej od razu chce pojechać na fali grożenia wyciekiem.

UODO: Około 100 zgłoszeń dotyczących ransomware

Pytaliśmy UODO czy polscy administratorzy danych zgłaszają do niego ataki ransomware. Rzecznik prasowy Adam Sanocki powiedział nam, że “do UDOO są zgłaszane naruszenia związane z działaniem złośliwego oprogramowania typu ransomware”. Urząd nie prowadzi dla nich odrębnych statystyk lecz szacuje, że od początku 2020 roku było ok. 100 takich zgłoszeń.

Tu jeszcze raz chcemy podkreślić, że ataki ransomware nie od dziś powinny być traktowane także jako naruszenia ochrony danych. Teraz jednak mamy powody aby traktować je jako wycieki a nie tylko naruszenia, a więc tym bardziej firmy dotknięte tym problemem powinny rozważyć podjęcie kroków przewidzianych w art. 33 i 34 RODO. No i niestety to oznacza, że robienie backupów nie jest wystarczającą odpowiedzą na problem ransomware’u.

Jeśli porównamy dane wyciekowe krążące po darknecie oraz podawane do publicznej wiadomości informacje o wyciekach to szybko możemy dojść do wniosku, że wciąż wiele firm wybiera przemilczenie ataku “oprogramowania szyfrującego dane”. To może się lada dzień okazać próbą “kiszenia wycieku”, co niekoniecznie będzie najlepszym pomysłem.

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. kolejny przykład debilizmu RODO

    • @gut7777
      > kolejny przykład debilizmu RODO

      @Dominik
      > Dlatego należy rejestrować firmy tam gdzie nie ma RODO. Klucz USA Delaware ;)

      Ludzie (i to slowo jest uzyte tutaj w bardzo szerokim znaczeniu) tacy jak wy sa swietnym przykladem tego dlaczego RODO jest potrzebne.

      GLOWNYM POSZKODOWANYM wycieku jest osoba/instutucja jest osoba do KTOREJ NALEZALY DANE KTORE ZOSTALY UJAWNIONE/WYKRADZIONE/ZNISZCZONE, a nie podmiot u ktorego doszlo do wycieku i jesli nie bylo w tym winy tego drugiego albo niebedzie konsekwencji albo pojawia sie mozliwosc rekompensaty. Gdzie tu problem?

      Jak bardzo zryty beret trzeba miec zeby burzyc sie bo ktos nagle musi odpowiadac za WLASNE ZANIEDBANIA, ktore bez RODO trwaly by i do konca swiata bo to jak bardzo w du* takie elementy maja to ze moga zniszczyc komus zycie jest absolutnie niedopomyslenia (i czesto wlasnie tak sie dzialo, ludziom niszczono zycie i pojawila sie presja na aktualizacje prawa, bo tego typu obostrzenia wprowadza sie WLASNIE w reakcji na naduzycia (tu olewanie bezpieczenstwa, skutkujace wyciekami/falszowaniem danych)).

  2. > No i niestety to oznacza, że robienie backupów nie jest wystarczającą odpowiedzą na problem ransomware’u

    Nie jest i nigdy nie było. Naruszenie to naruszenie, nigdy nie wiadomo dokąd dane trafiły.

    Dlatego trzeba się zabezpieczać przez fizyczną izolację systemów, bo kopia zapasowa nie zabezpiecza przed włamaniem. A tak w ogóle – zbierać jak najmniej danych, czego ani rządy, ani podmioty prywatne jeszcze nie zrozumiały.

  3. Dlatego należy rejestrować firmy tam gdzie nie ma RODO. Klucz USA Delaware ;)

    • Miejsce rejestracji firmy nie ma żadnego zaczenia.

      Posiadasz, przetwarzasz, przesyłasz dane kogokolwiek kto znajduje się na terytorium Europejskiego Obszaru Gospodarczego = obowiązuje Cię RODO.

    • jak zarejstrjesz w delaware to dalej gdpr rodo cie dotyczy jesli obslugujesz ludzi w lub z UE

  4. Nie dotyczy to podmiotów ,które są osobami prawnymi czyli firmami. Wiec działalność szyfrowania danych oraz deszyfracji można prowadzić. Poza tym mając firmę w USA możesz olać RODO. Już widzę ściąganie tej kary, z anonimowej spółki ze Stanów przez Polski urząd. Tak samo SPAM wysyłany jest z Rosji i też nic się nie będzie działo. Urząd się tym nie zajmie, możesz spróbować zgłosić. Wiec RODO to kolejny bubel i problem dla zwykłych firm, kto chce się stosuje kto nie chce olewa …

    • Trudności ze ściągnięciem kary nie zmieniają faktu, że w razie przetwarzania danych osób z UE, RODO taką spółkę obowiązuje.

  5. Powoli będziemy zmierzać ku fundamentalnej zmianie w koncepcji przechowywania wrażliwych danych. Tak by ataki na dane ukierunkowane na zidentyfikowanie użytkownika lub podszycie się pod niego, przestały mieć sens. Zanonimizowane dane, tylko klucz publiczny użytkownika. Gdy wrażliwe dane będą potrzebne to taka firma będzie musiała odpytać serwis który będzie każdy z nas posiadał. Koncepcja wymaga dalszego opracowania :)

  6. W dzisiejszych czasach nawet księgowa mysi się znać na zagadnieniach bezpieczeństwa informatycznego.

    Ze screenów wynika, że WinXP nadal jest na celowniku (podobno nie ma już na niego wirusów ale stare dziury mogą być niezałatane), a WinServer 2012 nie taki bezpieczny jak go malują, a na nim siedzi wiele RDP’sów.

    Ciekawy jestem czy można by użyć Winę+Linux dla zmniejszenia ryzyka wycieku.

    • Z tego co kojarze odnosnie Windowsa XP, to nie jest dokladnie tak ze nie ma naniego wirusow (chociaz propagacja robakow jest wciaz hamowana patchami wydawanymi lata po ukonczeniu wsparcia czy odpornoscia innych systemow) tylko z tego co kojarze chociaz duza ilosc malware moze zarazic i funkcjonowac na windowsie XP, po zakonczeniu wsparcia byl on notorycznie wykorzystywany do testowania bezpieczenstwa oprogramowania (wirtualne maszyny jednokrotnego uzytku) wiec wirusy traktuja XP jak czerwona flage podobnie jak niektore rodzaje oprogramowania antywirusowego, oprogramowanie monitorujace (zwlaszcza siec), nawet glupia deflautowa tapeta i kompozycja pulpitu traktowane sa jak oznaka niebezpieczenstwa i wirus nie rozrabia :)

      W koncu kto zaryzykuje botnet na Windowsa 7/10 dla szansy na zainfekowanie Windowsa XP pani Jagody gdzie do zdobycia jest dial-up i kilka zdjec kota w 320p, a i to tylko jesli trafi sie na pania Jagode a nie jedena z tysiecy pulapek…

    • Zapomnialbym – mozna probowac jeszcze kopac bitcoiny, tyle ze nawet Win7 nie ruszy na wiekszosci nowego sprzetu, nawet takiego technicznie wspieranego – trzeba byc specem zeby odpalic go nawet na ostatniej wspieranej generacji (a nawet tam nie bylo porywajacej wydajnosci)

  7. To pokazuje absurd kolejnego przepisu, niby jest ale go nie ma. Nawet u nas to widać dane sobie wyciekły i co ? Zgłoszenie i problem z głowy tylko się napisze ładne oświadczenie PR i sieci zabezpieczenia po włamaniu. Ludzie już się przyzwyczajają. Gdyby kara była duża, to się przeciągnie w czasie postępowanie wiadomo jak u nas sąd działa (spróbuj zareklamować uszkodzone buty po tygodniu w niektórych sklepach, tylko sąd uznają … rok zabawy zwykle a to prosta sprawa) i zlikwiduje spółkę w najgorszym wypadku. I z jakiej racji kasa zapłacona trafia do urzędu ,a nie do obywatela ? Urząd dostaje ją za co przepraszam. Może jeszcze premia dla urzędnika. Oczywiście RODO obowiązuje tak jak jeżdżenie 50 km w terenie zabudowanym…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: