დღეს ჯანდაცვის სფეროსათვის კიბერუსაფრთხოება, ენერგო სისტემების ანალოგიურ უსაფრთხოებასთან ერთად, უმნიშვნელოვანესი საკითხი გახლავთ. უკანასკნელი 5 წლის განმავლობაში ეს ორი სფერო, საბანკო სექტორთან ერთად, ხშირად ხდება ჰაკერების სამიზნე. ჰაკერებმა კარგად იციან, რომ ამ სამივე სფეროსთვის დრო უძვირფასესია და თუ ისინი შეფერხდნენ ან სულაც გაჩერდნენ, ეს უდიდესი დანაკარგების მომტანი იქნება. ამის ფონზე კი თავდაცვითი მექანიზმების ამოქმედებამ კიდევ უფრო მეტი მნიშვნელობა შეიძინა.

რეიკის რენსომვეარი ჯანდაცვის სექტორის წინააღმდეგ

რეიკის რენსომვეარი რენსომვეარების ცნობილ ოჯახს მიეკუთვნება. თავად რენსომვეარი კი სწორედ ის ვირუსია, რომელსაც თქვენი სისტემის სრულად კომპრომიზირება და დაკრიპტვა არცთუ რთულად შეუძლია.

პირველად, რეიკის რენსომვეარი 2018 წელს გამოჩნდა. ის ლაზარუსის ჰერმესის ვირუსის ბაზაზე იყო მოდიფიცირებული. ლაზარუსი ჩრდილო კორეული ჰაკერული ჯგუფია, რომელმაც ჰერმესის ვირუსი ტაივანის საბანკო ანგარიშების გასატეხად 2017 წელს გამოიყენა. ზოგიერთი ფიქრობს, რომ თავად რეიკის რენსომვეარიც ამ ჯგუფის მიერ არის შექმნილი, მიუხედავად იმისა, რომ მის უკან რუსული ჰაკერული დაჯგუფება დგას.

რეიკის რენსომვეარმა ფაილების აღდგენისათვის, ისტორიულად, მოთხოვნის ყველაზე დიდი რეინჯი წამოაყენა. თითოეულ დავირუსებულ სისტემაზე ისინი 12-13 ბიტკოინს ითხოვდნენ.

2019 წელს ფედერალური ბიუროს აგენტმა განაცხადა, რომ რეიკს ჯამში 144 მილიონის ღირებულების ბიტკოინი გადაურიცხეს, რაც გაცილებით მეტია, ვიდრე პირველი რენსომვეარის გენგის შემოსავალი.

ასევე იხილეთ: თინეიჯერები, რომლებმაც Microsoft და NVIDIA გატეხეს — როგორ მუშაობს ჰაკერული დაჯგუფება LAPSUS$

რეიკის გავრცელება საკმაოდ სწრაფად ხდება, რადგან ჰაკერები ამისათვის ექსპლოიტის სახით Zerologon-სა და SMB-ს იყენებენ. ეს კი მათ გავრცელებას კიდევ უფრო მეტად უწყობს ხელს. საინტერესოა, რომ საავადმყოფოების შემთხვევაში ტელეფონებიც კი დაავირუსეს. მათ შორის ის დანადგარები, რომელიც კომპიუტერებთან იყო კავშირში. სწორედ ესაა მთავარი მიზეზი, რის გამოც ისინი საკმაოდ ხშირად უპირატესი პოზიციიდან ესაუბრებიან კომპანიებსა თუ სახელმწიფო სტრუქტურებს. შეგვიძლია ვთქვათ, რომ მოლაპარაკების დროს შანტაჟიც კი ბევრჯერ გამოუყენებიათ.მოლაპარაკებები ძირითადად, კიბერუსაფრთხოების დეპარტამენტებსა და ჰაკერებს შორის იმართება. თუ კიბერუსაფრთხოების ჯგუფები კლინიკებს არ ჰყავთ, ხშირად ამ ყველაფერში პოლიციელები ერთვებიან.

მოლაპარაკების დროს ხშირად გარკვეული ტიპის კომპრომატები ჟღერდება, რომელიც მეორე კომპანიას არაფრის მთქმელად მიაჩნია და ფიქრობს, რომ რეზონანსს მათი გასაჯაროება არ გამოიწვევს. თუმცა, ყოველთვის ასე არ ხდება. ხანდახან გვაქვს ისეთი მომენტები, როდესაც ჰაკერები იმაზე კარგად ერკვევიან საკითხებში, ვიდრე ეს ჩვენ წარმოვიდგენია. მსგავსი შემთხვევა დაფიქსირდა WIZARD SPIDER-ისა და ერთ-ერთი ამერიკული სააავამდყოფოს მოლაპარაკებების დროსაც: გარკვეული ტიპის კომუნიკაციის შემდეგ, საავადმყოფოს წარმომადგენლებმა რეიკის რენსომვეარის უკან მდგომ პირებს განუცხადეს, რომ ისინი არ აპირებდნენ "გამოსასყიდის" გადახდას. საპასუხო წერილში კი ისეთი დოკუმენტი გაჟღერდა, რომლის დასახელების შემდეგაც კომპანიამ თანხა მყისიერად გადაიხადა.

რეიკის რენსომვეარმა 235 საავადმყოფო დააინფიცირა ამერიკის მასშტაბით. ასზე მეტი საავადმყოფო კი დიდ ბრიტანეთში. ეს ტალღა განსხვავდებოდა კონტის ამჟამინდელი რენსომვეარისგან, თუმცა ორივე რენსომის უკან ერთი და იგივე ჯგუფია. რეიკის რენსომვეარის ჩატვირთვას სერვერიდან ყველანაირი წინაპირობით დაახლოებით ხუთი საათი სჭირდება.

რეიკის რენსომვეარმა შეძლო ის, რომ დაახლოებით 100 მილიონი დოლარი შეაგროვა კომპანიებისგან, რაც საკმაოდ დიდი თანხაა, განსაკუთრებით თუ გავითვალისწინებთ მათი ტაქტიკის ტიპს, რომელიც მხოლოდ საავადმყოფოებისა და ჯანდაცვის სისტემის მიმართ გააჩნდათ. ასევე, გასათვლისწინებელია ისიც, რომ სწორედ ჯანდაცვის სამინისტროს აქვს ყველაზე ცოტა დრო პრობლემის გამოსასწორებლად. მათთვის მნიშვნელოვანია, საავადმყოფო შეუფერხებლად მუშაობდეს. ალბათ, ესაა ერთ-ერთი მიზეზი იმისა, თუ რატომ თანხმდებიან გადახდაზე საკმაოდ სწრაფად.

ხშირად პანიკის დროს ყველაზე მაღალია შანსი, რომ გზა გაეხსნას არა მარტო ერთ დაჯგუფებას, არამედ რამდენიმეს. ეს დაგვანახა რუსეთ-უკრაინის ომმაც, როდესაც რამდენიმე ჯგუფი, რომლებიც საერთოდ არ განსხვავდებოდნენ პოლიტიკური ობობებისგან, სათავისოდ ჩაერთვნენ ამ მოვლენებში. მსგავსი იყო ლოქბიტის შემთხვევაც, რომელმაც ბრიჯსტოუნის სისტემის დაკრიპტვა მოახერხა. ამით, ფაქტობრივად, სამხრეთ ამერიკის მასშტაბით კომპანია გააჩერა.

როგორია რეიკის რენსომვეარის ტაქტიკა

რეიკის რენსომვეარის უშუალო ტაქტიკაზეც თუ ვისაუბრებთ, კარგი იქნება გამოვყოთ მათი პირველი ჩატვირთვის ეტაპი. ეს გახლავთ BazarLoader მელვეირი, რომელიც იტვირთება, ფაილს სერვერისკენ გზავნის და შემდგომ უკვე სერვერიდან გადმოწერს რენსომვეარს, რაც სისტემას მთლიან დაკრიპტავს იწვევს.

აგრეთვე, საინტერესოა ისიც, რომ რეიკი თავდაპირველად ვორმის სახის ვირუსით იტვირთება, რომელიც გაშვებას თვითნებურად იწყებს და თქვენი "დახმარება" სისტემაში ჩასატვირთვად სულაც არ სჭირდება. ამას ის ავტომატურად აკეთებს, როგორც კი ფაილი თქვენს კომპიუტერში მოხვდება. რეიკის დაკრიპტული ფაილები მთავრდებოდა, როგორც RYK და იყენებდა კრიპტოგრაფიული კუთხით AES256-ს, რაც Microsoft’s CryptoAPI-ს მიეკუთვნება. ფაილების სახით კი დესკტოპზე ისახებოდა RyukReadMe.txt და RyukReadMe.htm, რომლებიც გვამცნობდნენ კომპიუტერის შესაძლო დავირუსებასა და თანხას, რომელიც ჰაკერებისთვის უნდა გადაგვეხადა.

რეიკის რენსომვეარის მოხვედრა კომპიუტერში ძალიან ჰგავდა ფიშინგ იმეილს. სრულიად თუ არა, 95% მსგავსად ხვდებოდა სისტემაში. თავდაპირველად მოსული იმეილის ხარჯზე კომპიუტერში ეშვებოდა ემოტეტი, რომელიც ტვირთავდა ტრიკბოტს. ხოლო, შემდგომი ნაბიჯი გახლდათ პრივილეგიების მოპოვება და ფაილების მოპარვა-გადაგზავნა სერვერზე; ხოლო ბოლო ნაბიჯი კი უკვე რეიკის რენსომვეარის ჩატვირთვა გახლდათ. ხშირ შემთხვევაში, ძველი ტაქტიკისგან განსხვავებით, რენსომვეარის შემქმნელები პირდაპირ აღარ უშვებენ ვირუსს. ყველაფერი დახვეწეს, რადგან ხშირად რენსომვეარის დადგენა უსაფრთხოების სისტემებს საკმაოდ უმარტივდებოდათ. ამგვარად, შესაძლებელი იქნებოდა ყველანაირი უსაფრთხოების სისტემის გათიშვა და "მუშაობის" დაწყება, თუნდაც ღამის 4 საათზე. იგივე გააკეთა კონტიმ, ირლანდიის ჯანდაცვის სამინისტროსთან დაკავშირებით.

როდესაც გარკვეული ტიპის შეტევებს ეხება საქმე და მობილიზების საჭიროება დგება, ამ დროს ყველაზე გამოცდილი კადრების შერჩევა მიმდინარეობს. მათ შორის, ჰაკერული დაჯგუფებებიდანაც ემატება ისეთი ხალხი, რომელიც ოდესღაც ისეთ ქეისზე მუშაობდა, რომელმაც მთლიანად სექტორი დააზიანა. როგორც ვხვდებით, რეიკის შემქმნელი ჰაკერები დიერის ვირუსის უკანაც იდგნენ 2015 წელს. მაშინ ფინანსური სექტორი დაზარალდა. დღეს კი ისინი უკვე ჯანდაცვის სამინისტროს უტევენ აქტიურად. მათი ტაქტიკა განიხილება, როგორც UNC1878. როდესაც ამ ტაქტიკას სიღრმისეულად ვაანალიზებთ, ვხედავთ 500-ზე მეტ კომპანიასა და ქეისში ფინანსურად მოტივირებულ რენსომვეარებს. მათი საწყისები კი ზუსტად რეიკსა და კონტისთან მიდის.

უკრაინა და კონტილეიქსი

2022 წლის თებერვალში თვითერის ექაუნთის მიერ ე.წ contileaks (სახელწოდებით კონტილიქსი) გავრცელდა, რამაც გარკვეული კითხვები გააჩინა. მას შემდეგ, რაც ჩათი შეისწავლეს გაირკვა, რომ გარკვეული საკთხები უცნაურად უკავშირდებოდა ერთმანეთს.

ძირითადად, რენსომვეარის დეკრიპტორის შექმნას სჭირდება თვეები და ხშირად წლებიც. ეს მოითხოვს დიდ დროსა და სწავლებას. ასევე ფინანსებს. ამას ყველა ვერ აკეთებს, მხოლოდ რამდენიმე დიდ კომპანიას შეუძლია ამისთვის თავის გართმევა. თუმცა, არსებობს სპეციალიზირებული ჯგუფები, მაგალითად, კონტილეიქსი, რომელიც უკრაინას ეკუთვნის და უშუალოდ კონტის იკვლევს.

რამდენიმე დღის წინ დაიდო რენსომვეარის სორს კოდი, რომელიც 3.0 ვერსიას ეკუთვნის. თუმცა მისი შესწავლისას, დამაჯერებელი პასუხი სამწუხაროდ არ გაცემულა. ასევე, არ იმუშავა წინა დეკრიპტორმაც. ჯერჯერობით, კომპანიებს ჯერ კიდევ რჩევების საფუძველზე უწევთ ბრძოლა კონტის რენსომვეარის წინააღმდეგ.

ხშირად ზოგიერთი გვერდი საკმაოდ დეტალურ ინფორმაციას ავრცელებს. მაგალითად, სამოქმედო გეგმებს, თუ რა პროგრამებს იყენებენ დაჯგუფებები. ზოგიერთი ექსპერტის აზრით, ეს დამღუპველია. მათ მიაჩნიათ, რომ ზოგიერთს, ვისაც მიდრეკილება აქვს ჰაკინგისაკენ, ეს კიდევ უფრო გაუხსნის ხელ-ფეხს.

ამ მომენტში ეს ინფორმაცია ღირებულია რდგანაც ტაქტიკა არ შეცვლილა ჰაკერების და შეტევები ისევ აქტიურ ტემპში ხორციელდება, უბრალოდ უკრაინა რუსეთის ომის გამო მთელი აქცენტი უკრაინის მხარეს გადაიტანეს გარკვეულმა ჯგუფებმა, თუმცა ეს დროებითია და ამის მიუხედავად, ჰაკერები მაინც ახერხებენ იმას, რომ რაღაც დროის მონაკვეთში შეტევა შტატების ჯანდაცვის სამინისტროსკენ მიმართონ. მაგალითად, ამ კვირის განმავლობაში რამდენიმე საავადმყოფო რენსომვეარით დავირუსდა. ყველაზე მაშტაბური კიბერ თავდასხმა მედსტერის საავადმყოფოზე განხორციელდა ვაშინგტონში. საინტერესოა ასევე ისიც, რომ ჰაკერებმა მოახერხეს სრული ბექაფის წაშლა მანამ, სანამ სისტემაში ხარვეზებს შეამჩნევდნენ.

ბიურო და CISA კი ამბობენ, რომ მსგავსი გაუგებრობისგან თავის ასარიდებელ საუკეთესო ვარიანტს უსაფრთხოების სისტემების მუდმივი განახლება წარმოადგენს. ამას დამატებული, ინტენსიური ურთიერთობები ისეთ კომპანიებთან, რომელიც უკვე გამოცდილია მსგავსი პრობლემების აღმოფხვრაში.

შემდგომ სტატიაში ვისაუბრებთ მსგავსი მოვლენების პრევენციაზე, ასევე შემოგთავაზებთ იმ წესებსა და რეკომენდაციებს, რომელსაც კიბერუსაფრთხოების სპეციალისტები ჯანდაცვის სექტორს რისკების მინიმიზაციისათვის სთავაზობენ.