Množstvo ľudí sa domnieva, že ransomware a kybernetické útoky sa ich netýkajú, že Slovensko je príliš malá a nezaujímavá krajina pre hackerov. Títo ľudia sa veľmi mýlia, dokazujú to stovky útokov formou ransomwaru, ktoré sa odohrali na Slovensku. Väčšina firiem sa snaží takéto útoky čo najviac utajiť, aby sa o nich nedozvedela široká verejnosť, avšak niektoré ransomware útoky sú natoľko ničivé, že sa to utajiť nepodarí. Na Slovensku je známych niekoľko prípadov, kedy firmy zverejnili svoje skúsenosti s ransomwarom a my ich postupne zanalyzujeme.
Firma Mäspoma a polmiliónové výkupné
Spoločnosť Mäspoma je veľký slovenský výrobca korenín. Jej tržby sa za posledné dva roky pohybovali na hranici 30 miliónov eur a zisky presiahli milión eur. Ransomware útok prebehol cez Veľkú noc v apríli 2022, vďaka čomu kybernetický útočník získal dostatok času na to, aby kompletne zašifroval a zablokoval všetky počítače a IT systémy. Po Veľkej noci sa zamestnanci vrátili do práce, ale väčšina počítačov, účtovné, obchodné systémy a servery boli nefunkčné. Následne bola nájdená správa od kybernetického útočníka, ktorý za obnovenie dát požadoval výkupné pol milióna dolárov v kryptomene.
Kybernetický útok mal na firmu ničivý dopad, Mäspoma zo dňa na deň stratila prístup k elektronickej komunikácii a žiaden zamestnanec si nedokázal zobraziť pracovnú emailovú komunikáciu, firma nevedela prijímať nové objednávky, riešiť dodávky od dodávateľov a v dôsledku znefunkčnenia účtovných systémov nedokázala ani vystavovať faktúry svojim odberateľom. Ďalším veľmi nepríjemným následkom znefunkčnenia účtovných systémov je to, že firma si po ransomware útoku nedokázala plniť svoje záväzky voči štátu, čiže nebolo možné uhradiť dane a odvody zamestnancov. Zamestnanci obchodného oddelenia nemali prístup k účtovným a transakčným kontaktom s obchodnými partnermi, čo enormne sťažilo expedíciu tovaru, ktorý firma dodáva na Slovensku, Maďarsku a v Čechách. Zároveň má firma dodávateľov korenín v rôznych častiach sveta a ransomware útok veľmi sťažil logistiku pri dovoze surovín, ktoré firma potrebuje na výrobu svojich produktov.
Spoločnosť Mäspoma sa zo začiatku snažila s kybernetickým útočníkom vyjednávať a bola ochotná zaplatiť 50 000 dolárov z požadovaného pol milióna. Útočník situáciu videl inak a bol ochotný zľaviť maximálne na sumu 450 000 dolárov. V tejto chvíli sa firma rozhodla, že útočníkovi nezaplatí a s pomocou IT firiem sa pokúsi počítače a systémy obnoviť. Problém nastal, keď firma zistila, že zálohy sú dostupné len do konca roka 2021 a väčšina dát od januára 2022 až do apríla nebola zálohovaná. Na obnovu dát za prvé štyri mesiace 2022 musela spoločnosť využiť svojich zamestnancov, ktorí vďaka svojej ochote (práca cez víkendy a nadčasy) dáta manuálne nahodili do systémov. Postupné obnovovanie systémov trvalo takmer mesiac a až do mája musela firma fungovať vo veľmi provizórnych podmienkach, kedy napríklad odberatelia nedostávali faktúry, alebo zamestnanci museli používať svoje súkromné emaily namiesto pracovných.
Podľa vyjadrenia vedenia spoločnosti ich náklady na odstránenie ransomware útoku, obnovu dát, nadčasy zamestnancov, IT služby, vyšli na niekoľko stoviek tisícov eur. Pri spätnej analýze kybernetického útoku sa prišlo na to, že vstupným bodom pre ransomware, bol práve phishing. Jeden zo zamestnancov dostal podvodnú phishingovú emailovú správu, ktorá obsahovala infikovanú prílohu. Toto je jeden z dôvodov, prečo firma Mäspoma začala po útoku intenzívne pracovať na IT bezpečnosti svojej firmy a hlavne na vzdelávaní svojich zamestnancov. Prepracované kurzy a školenia kybernetickej bezpečnosti poskytuje napríklad služba SAFELab, ktorá dokáže naučiť zamestnancov ako bezpečne odhaliť phishing, vishing a ďalšie kybernetické hrozby. Zo štatistík vyplýva, že až 70% úspešných ransomware útokov začína práve phishingom.
Slovenské štátne lesy
Ďalší známy kybernetický incident potvrdzuje fakt, že sa útočníci zameriavajú najčastejšie na firmy, ktorým sa za posledný rok rapídne zvýšili zisky. Štátny podnik LESY Slovenskej republiky si svoje zisky zlepšil medziročne o viac ako 11 miliónov eur z 800 000 na 12 200 000 eur a to pri obrate cez 230 miliónov eur. Práve tieto čísla boli pre kybernetických útočníkov veľmi zaujímavé a rozhodujúce pre použitie útoku pomocou ransomwaru.
Firma samotná nezverejnila informácie a detaily o ransomware útoku, kvôli aktuálne prebiehajúcemu vyšetrovaniu, ale následky a rozsah útoku bol zverejnený svedectvami a informáciami od zamestnancov a samotných odberateľov drevárskeho tovaru. Útok prebehol začiatkom septembra 2022, pričom firme znefunkčnil účtovné a obchodné systémy a zašifroval pracovné počítače zamestnancov, ktorí stratili prístup k svojim emailových schránkam. Rovnako boli znefunkčnené aj registračné pokladne a firma nemohla preberať platby za drevo v hotovosti.
Následky útoku spôsobili to, že firma nemohla vystavovať faktúry odberateľom, predávať palivové drevo, nemohla komunikovať s obchodnými partnermi a odberateľmi cez email, nebolo možné realizovať elektronické aukcie na tovar, znefunkčnený bol aj systém pre kontrolu ťažby a transportu dreva a nebol možný ani nákup dreva cez krátkodobé kontrakty.
Aktuálne nie je známe, aká je výška požadovaného výkupného a či ransomware len znefunkčnil systémy, alebo sa mu podarilo aj odcudziť citlivé dokumenty a osobné údaje. Podľa štatistického úradu firma zamestnáva do 4 000 zamestnancov, ak by sa teda kybernetickým útočníkom podarilo dostať k ich osobným údajom, jednalo by sa o závažný problém aj z pohľadu legislatívy GDPR. Aj keď nevieme, aká výška výkupného bola požadovaná, tak sa dá odhadovať, že prekročila hranicu jedného milióna eur.
To, či sa štátny podnik rozhodol výkupné zaplatiť, alebo v akom stave boli zálohy IT systémov, nám aktuálne nie je známe. Firma zverejnila len krátke stanovisko o tom, že postupne obnovuje svoje systémy a sprístupňuje ich používateľom. Rovnako nie je známe, akým spôsobom sa ransomware dostal do firemnej siete. Štatisticky najpravdepodobnejšie ale je, že pred samotným ransomware útokom predchádzala dobre plánovaná phishingová kampaň cielená na zamestnancov. Práve zamestnanci sú častokrát tá najzraniteľnejšia časť firemnej IT infraštruktúry a vstupný bod pre kybernetických útočníkov.