Ransomwarový útok

• digitalizace.rvp.cz
  • Jak na kybernetickou bezpečnost nejen u vás ve škole

• ChatGPT
  • Kybernetická bezpečnost CZ (digitalizace.rvp.cz)

zdroj: npi.cz

zdroj: npi.cz

readme_safe_pay.txt

Greetings! Your corporate network was attacked by SafePay team. Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you. It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators. We’ve spent the time analyzing your data, including all the sensitive and confidential information, as a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation. As a result, all files of importance have been encrypted and the ones of most Now we are in possession of your files such as: financial statements, intelli-gence and publication on the Web with an open access containing information on bank details, transactions and other internal documentation, accounting records, lawsuits and complaints, personnel and customer files, as well as files Furthermore we successfully hacked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties. We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data. WE ARE THE ONES WHO CAN CORRECTLY DECRYPT YOUR DATA AND RESTORE YOUR INFRASTRUCTURE IN A SHORT TIME. DO NOT TRY TO DECRYPT YOUR FILES YOURSELF, YOU WILL NOT BE ABLE TO DO THIS, YOU WILL ONLY DAMAGE THEM AND WE WILL NOT BE ABLE TO RESTORE THEM. In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us or if we don’t fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process. In order to contact us, please use chat below, you have 10 days to contact us, after this time a blog post will be made with a timer for 3 days before the data is published and you will no longer be able to contact us.

To contact us follow the instructions:

Install and run „Tor Browser“ from https://www.torproject.org/download/

Go to http://safepayinabcABC123abcABC123abcABC123abcABC123.onion/

Log in with ID: abcABC123abcABC123abcABC123abcABC123 When you first login, you need to set a password. IMPORTANT if you are not a decision maker in your company, do not login to the chat. Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.

Our blog:

http://abcABC123abcABC123abcABC123abcABC123abcABC123abcABC123.onion

http://abcABC123abcABC123abcABC123abcABC123abcABC123.onion

Our TON blog: tonsite://safe_pay.ton

You can connect through your Telegram account.

readme_safe_pay.txt

Pozdrav! Vaše firemní síť byla napadena týmem SafePay. Vaši IT specialisté udělali řadu chyb při nastavování zabezpečení vaší firemní sítě, takže jsme mohli strávit docela dlouhou dobu ve vaší síti a kompromitovat vás. Byla to chybná konfigurace vaší sítě, která umožnila našim expertům zaútočit na vás, takže berte tuto situaci jednoduše jako placenou vzdělávací lekci pro vaše systémové administrátory. Strávili jsme čas analýzou vašich dat, včetně všech citlivých a důvěrných informací, v důsledku toho byly všechny důležité soubory zašifrovány a ty nejzajímavější pro nás byly ukradeny a jsou nyní uloženy na bezpečném serveru pro další využití. V důsledku toho byly všechny důležité soubory zašifrovány a ty nejzajímavější Nyní máme ve svém vlastnictví vaše soubory jako: finanční výkazy, zpravodajské a publikační materiály na webu s otevřeným přístupem obsahující informace o bankovních údajích, transakcích a další interní dokumentaci, účetní záznamy, žaloby a stížnosti, personální a zákaznické soubory, stejně jako soubory Navíc jsme úspěšně napadli většinu serverů, které jsou pro vás zásadní důležitosti, nicméně po dosažení dohody je odemkneme co nejdříve a vaši zaměstnanci budou moci obnovit své každodenní povinnosti. Navrhujeme vzájemně výhodné řešení tohoto problému. Zaplatíte nám a my zachováme fakt, že vaše síť byla kompromitována v tajnosti, smažeme všechna vaše data a poskytneme vám klíč k dešifrování všech vašich dat. JSME TI, KDO MOHOU SPRÁVNĚ DEŠIFROVAT VAŠE DATA A OBNOVIT VAŠI INFRASTRUKTURU V KRÁTKÉM ČASE. NEPOKOUŠEJTE SE DEŠIFROVAT VAŠE SOUBORY SAMI, NEBUDETE SCHOPNI TO UDĚLAT, POUZE JE POŠKODÍTE A MY JE NEBUDEME SCHOPNI OBNOVIT. V případě dohody je naše pověst zárukou, že všechny podmínky budou splněny. Nikdo s námi nikdy nebude vyjednávat nebo pokud nesplníme svou část a my to jasně uznáváme! Nejsme politicky motivovaná skupina a nechceme nic jiného než peníze. Pokud zaplatíte, dodržíme všechny podmínky, na kterých jsme se dohodli během vyjednávacího procesu. Abychom vás mohli kontaktovat, použijte prosím chat níže, máte 10 dní na to nás kontaktovat, po této době bude zveřejněn blogový příspěvek s časovačem na 3 dny před zveřejněním dat a už nebudete moci nás kontaktovat.

Jak nás kontaktovat, postupujte podle instrukcí:

Nainstalujte a spusťte „Tor Browser“ z https://www.torproject.org/download/

Jděte na http://safepayinabcABC123abcABC123abcABC123abcABC123.onion/

Přihlaste se s ID: abcABC123abcABC123abcABC123abcABC123 Při prvním přihlášení si musíte nastavit heslo. DŮLEŽITÉ pokud nejste osobou s rozhodovací pravomocí ve vaší společnosti, nepřihlašujte se do chatu. Kontaktujte nás a počkejte na odpověď, zaručujeme, že odpovíme co nejdříve a vše vám znovu vysvětlíme podrobněji.

Náš blog:

http://abcABC123abcABC123abcABC123abcABC123abcABC123abcABC123.onion

http://abcABC123abcABC123abcABC123abcABC123abcABC123.onion

Náš TON blog: tonsite://safe_pay.ton

Můžete se připojit přes svůj Telegram účet.

1. TECHNICKÝ PRINCIP ÚTOKU

Fáze útoku:

• Iniciální průnik: Útočníci získali přístup do sítě (pravděpodobně phishing, zneužití RDP, nebo zranitelnost)
• Lateral movement: Pohybovali se po síti „quite a long period of time“ – to znamená měsíce aktivní přítomnosti
• Data exfiltrace: Před šifrováním ukradli citlivá data (double extortion)
• Šifrování: Zašifrovali soubory asymetrickou kryptografií (pouze oni mají privátní klíč)
• Kompromitace serverů: Napadli kritické servery, ne jen stanice

Technické indikátory:

• Použití Tor sítě pro anonymitu (.onion adresy)
• Šifrovací algoritmus s vysokou pravděpodobností AES + RSA
• Centralizované řízení přes C2 (Command & Control) servery
• Telegram jako alternativní komunikační kanál

2. PSYCHOLOGICKÉ MANIPULAČNÍ TECHNIKY

A) Snížení oběti na kolena

„Your IT specialists made a number of mistakes“

• Vyvolává styd a pocit selhání u IT týmu
• Podkopává důvěru managementu v IT oddělení
• Vytváří internal blame game

B) Falešná profesionalita a „respekt“

„Greetings!“ ... „treat this situation as simply as a paid training session“

• Tón je zdvořilý, téměř přátelský
• Snaží se vypadat jako „businessmen“, ne zločinci
• Normalizují situaci jako „business transaction“

C) Bagatalizace útoku

„as simply as a paid training session for your system administrators“

• Minimalizují závažnost
• Sugerují, že to není tak zlé
• Snižují psychologickou bariéru k zaplacení

D) Časový nátlak (Scarcity principle)

„10 days to contact us, after this time a blog post will be made with a timer for 3 days“

• 10 dní na kontakt
• 3 dny před publikací dat
• Celkem 13 dní = vyvolává paniku a unáhlená rozhodnutí
• Zabraňuje důkladné analýze a konzultacím

E) Dual threat (dvojí vydírání)

• Threat 1: Ztráta dat (šifrování)
• Threat 2: Zveřejnění citlivých dat (reputační škoda)
• Druhá hrozba je často horší než první

F) Social proof a garance

„our reputation is a guarantee that all conditions will be fulfilled“

• Prezentují se jako „spolehliví obchodníci“
• Odkazují na svou „reputaci“ v undergroundu
• Implicitně tvrdí: „Ostatní zaplatili a dostali data zpět“

G) Fear of loss vs. Hope

„DO NOT TRY TO DECRYPT YOUR FILES YOURSELF, YOU WILL ONLY DAMAGE THEM“

• Velká písmena = vyvolání strachu
• Strach z nevratné ztráty dat
• Zároveň nabízejí „hope“ – zaplatíš, vše bude OK

H) Isolace decision makera

„IMPORTANT if you are not a decision maker in your company, do not login“

• Izolují komunikaci jen na top management
• Zabraňují IT expertům analyzovat situaci
• Snižují pravděpodobnost, že někdo rozpozná taktiku

3. OBCHODNÍ MODEL ÚTOČNÍKŮ

Ransomware-as-a-Service (RaaS):

SafePay je pravděpodobně:

• Organizovaná skupina s jasnou strukturou
• Developers: Vytvářejí malware
• Operators/Affiliates: Provádějí útoky
• Negotiators: Jednají s obětmi
• Money launderers: Praní peněz přes kryptoměny

Revenue model:

„we want nothing more than money“

• Cílí na střední až velké firmy (nejvyšší ROI)
• Typická výkupná: $50,000 – $5,000,000
• Platba v Bitcoin nebo Monero
• Affiliate dostává 70-80%, developers 20-30%

4. CO UKRADLI (Data Inventory)

Z textu víme, že mají:

• Finanční výkazy (financial statements)
• Bankovní údaje (bank details, transactions)
• Smlouvy a právní dokumenty (lawsuits, complaints)
• HR data (personnel files)
• Zákaznická data (customer files)
• Interní dokumentace (internal documentation, accounting records)

To je GDPR nightmare – potenciální pokuty až 4% globálního obratu.

5. KOMUNIKAČNÍ STRATEGIE

Vícekanálová komunikace:

1. Tor chat (primární) – anonymní
2. Blog na dark webu – pro zveřejnění dat
3. TON network – Telegram Open Network
4. Telegram – backup kanál

Proč Tor?

• Anonymita: IP adresa nesledovatelná
• Bezpečnost: End-to-end šifrování
• Nedostupnost pro orgány: Dark web servery v nekooperativních zemích

6. TAKTICKÉ PRVKY

A) Honeypot ID

„Log in with ID: abcABC123abcABC123abcABC123“

• Unikátní ID pro každou oběť
• Trackují, kdo se přihlásil a kdy
• Mohou přizpůsobit vyjednávání

B) Password setup při první přihlášení

• Vytváří iluzi „bezpečné komunikace“
• Oběť si myslí, že má kontrolu
• Ve skutečnosti vše monitorují

C) „Professional“ approach

„we will reply as soon as possible, and we will explain everything“

• Zákaznický servis (!!)
• Rychlá reakce = zvyšuje důvěru
• „Helpdesk“ pro oběti

7. RED FLAGS A VAROVNÉ SIGNÁLY

Před útokem (co přehlédli):

• Dlouhá přítomnost v síti: „quite a long period of time“
• Lateral movement: Napadení „most of the servers“
• Data exfiltrace: Gigabajty dat ven ze sítě

Co selhalo:

• ❌ EDR/XDR (Endpoint Detection and Response) – nedetekoval podezřelou aktivitu
• ❌ SIEM (Security Information and Event Management) – neodhalil lateral movement
• ❌ Network segmentation – útočníci se dostali všude
• ❌ Data Loss Prevention (DLP) – masivní exfiltrace dat nezaznamenána
• ❌ Backup strategy – nezmínili offline backupy
• ❌ Privileged Access Management – útočníci získali admin práva

8. PSYCHOLOGICKÝ PROFIL OBĚTÍ

Kdo je náchylný zaplatit:

• Healthcare: Nemohou si dovolit downtime (lidské životy)
• Výrobní firmy: Každá hodina prostoje = obrovské ztráty
• Právní firmy: Citlivá klientská data
• Místní samosprávy: Veřejný tlak, žádné backupy

Decision-making pod tlakem:

Čas → Stres → Snížená kognitiva → Špatná rozhodnutí

9. SPRÁVNÁ REAKCE NA ÚTOK

❌ CO NEDĚLAT:

1. Neplatit hned – motivuje další útoky
2. Nekomunikovat samostatně – přizvat experty
3. Nesnažit se dešifrovat sami – můžete data zničit
4. Neskrývat incident – právní povinnost hlásit (GDPR, NIS2)

✅ CO DĚLAT:

1. Izolovat postižené systémy – zamezit šíření
2. Aktivovat incident response tým
3. Kontaktovat policii (NÚKIB v ČR, FBI/Europol)
4. Obnovit z backupů (pokud existují a nejsou kompromitované)
5. Forensic analýza – jak se dostali dovnitř
6. Právní konzultace – GDPR reporting (72 hodin)
7. PR management – připravit komunikaci pro média

10. PREVENCE DO BUDOUCNA

Technická opatření:

• 3-2-1 Backup rule: 3 kopie, 2 různá média, 1 offsite
• Immutable backups: Nelze smazat ani ransomware
• Zero Trust Architecture: „Never trust, always verify“
• MFA všude (Multi-Factor Authentication)
• EDR/XDR řešení s AI detekcí anomálií
• Network segmentation: Kritické systémy odděleně
• Regular patching: 80% útoků využívá známé zranitelnosti

Organizační opatření:

• Security awareness training – pravidelně, ne jednou ročně
• Phishing simulations – testování zaměstnanců
• Incident response plán – otestovaný, ne v šuplíku
• Cyber insurance – ale nečekat na zázrak
• Red team exercises – simulace útoku

11. EKONOMIKA RANSOMWARE

Proč je to lukrativní:

• Nízké riziko: Útočníci v Rusku/Severní Koreji/Íránu
• Vysoký profit: Průměrná výkupná $200,000
• Škálovatelnost: Automatizované útoky
• Kryptoměny: Těžko sledovatelné platby

Statistiky:

• 60% firem zaplatí výkupné
• 46% firem, které zaplatí, nedostanou všechna data zpět
• 80% firem, které zaplatí, je napadeno znovu do roka

12. PRÁVNÍ KONTEXT V ČR

Povinnosti podle GDPR:

• 72 hodin na nahlášení ÚOOÚ (Úřad pro ochranu osobních údajů)
• Bez zbytečného odkladu informovat dotčené subjekty
• Potenciální pokuta: Až 4% ročního obratu nebo 20 mil. EUR

NIS2 směrnice (od 2024):

• Povinné incident reporting pro kritickou infrastrukturu
• Přísnější bezpečnostní požadavky
• Osobní odpovědnost managementu

ZÁVĚR

Tento útok demonstruje:

1. Ransomware není jen technický problém – je to psychologická válka
2. Prevention > Response – investice do prevence je levnější než výkupné
3. Human factor – 90% útoků začíná lidskou chybou
4. Backups jsou kritické – ale musí být offline a testované
5. Komunikace je zbraň – útočníci jsou mistry manipulace

Nejdůležitější message:

„Neplatit výkupné by mělo být výchozí pozice. Každá platba financuje další útoky a dělá z vaší firmy opakovaný cíl.“