fbpx

Uniwersytet Kalifornijski płaci milionowy okup cyberprzestępcom

Marek Lesiuk
Ransomware - hack Cyberprzestępczość

Uniwersytet Kalifornijski w San Francisco zapłacił 1,14 mln dolarów okupu grupie cyberprzestępczej NetWalker. Stoi ona za niedawnym atakiem z wykorzystaniem ransomware’u na system komputerowy uczelni.

Jak wynika z doniesień, na serwerach Szkoły Medycyny Uniwersytetu Kalifornijskiego w San Francisco (UCSF) odkryto włamanie. Ransomware NetWalker zaszyfrowało nieujawnioną póki co część danych, następnie zaś, w stylistyce małpującej nieco niskobudżetowe filmy gangsterskie, zaproponowało uczelni „współpracę”. Włamanie miało, wedle oficjalnego oświadczenia, mieć charakter lokalny, zaś zarażone serwery – zostać szybko odizolowane od reszty uczelnianego systemu.

Koszta postępu naukowego?

Tym niemniej, w sposób umiarkowanie korespondujący z urzędowo optymistycznym, uspokajającym tonem, władze Uniwersytetu podjęły decyzję o złożeniu uszu po sobie i zapłaceniu okupu. Tłumaczą się, twierdząc, iż „zaszyfrowane dane [z zaatakowanych serwerów] są istotne dla pracy akademickiej, jaką prowadzimy dla dobra ogółu”.

Wytłumaczenie to może eufemistycznie określić jako mało konkretne (która bowiem uczelnia nie powie o sobie, że jej praca jest istotna dla dobra ogółu, nawet jeśli ogół ma na ten temat inne zdanie?), choć należy zaznaczyć, iż akurat Szkoła Medycyny UCSF jest zaangażowana w prace nad sposobami walki z epidemią COVID-19, co w teorii faktycznie może czynić wspomniane dane wartymi wysiłku.

Czy szanowny pan złodziej raczy ukraść nieco mniej?

Decydenci uniwersyteccy próbowali przy tym negocjować wysokość okupu, pomimo częstej daremności tych prób – jak bowiem trzeba być naiwnym, by liczyć na dotrzymywanie słowa przez szantażystów? Ci ostatni żądali pierwotnie sumy 3 mln dol. (naturalnie w kryptowalucie), uczelnia natomiast wyraziła gotowość zapłaty 780 tys. dol.

W toku korespondencji, która się wywiązała (a której fragmenty przedstawiła BBC), wymuszacze zaprezentowali popis obezwładniającej bezczelności, twierdząc, że nie po to tyle się „napracowali”, żeby teraz dostać kwotę, której „niskość” uważają za „obelgę”. Władze Uniwersytetu z kolei usiłowały kluczyć, twierdząc, iż z uwagi na epidemię i następujący kryzys, ich budżet jest w ruinie.

Po słownych akrobacjach oraz łechtaniu swojego ego (demonstrując przy tym pozę, jak gdyby wyświadczali jakąś łaskę, a nie wymuszali nielegalny i nienależny haracz), przestępcy zaakceptowali najpierw sumę 1,5 mln – poniżej której, jak stwierdzili, już nie zejdą – by następnie zejść do kwoty 1,14 mln dolarów – w przeliczeniu 116,4 BTC .

Wyższa edukacja – drogą do wysokich zarobków…

Włamanie do systemów Uniwersytetu Kalifornijskiego w San Francisco nie jest jedynym w ostatnim czasie atakiem hakerskim skierowanym przeciwko uczelniom wyższym. Są one wygodnym i dość łatwym celem, z uwagi na ilości danych, jakimi obracają, rotację studentów i pracowników, źródła finansowania i charakter instytucjonalny, czy też (zwł. w przypadku co bardziej „liberalnych” szkół) specyficzną uczelnianą subkulturę polityczną.

Cyber-napaści podobne w formie, z wykorzystaniem ransomware’u NetWalker, odnotowano w czerwcu wobec Uniwersytetu Stanowego Michigan, a także Columbia College w Chicago. O ile reakcja tej ostatniej uczelni póki co jest niejasna, o tyle kierownictwo Uniwersytetu z Michigan zdało się odnaleźć w sobie coś na kształt etyczno-intelektualnego kręgosłupa.

Samo nie wydało żadnego oświadczenia, przedstawiciele kampusowej policji poinformowali jednak, iż – w jaskrawym kontraście do przypadku kalifornijskiego – uczelnia odrzuca, ze względów pryncypialnych oraz kryminologicznych, możliwość opłacania się cyberprzestępcom.

Et ad nauseam…

Jak wiadomo nie od wczoraj, spełnianie żądań ludzi, którzy uważają, że wolno im kraść cudzą własność tylko dlatego, że mają taką okazję, jedynie wbija ich w jeszcze większe zadufanie i bezczelność niż dotychczas. Wcale nie zapewnia także bezpieczeństwa – słaba (tj. płacąca okup) ofiara nieodmiennie będzie ponownie przyciągać padlinożerców.

Co równie istotne, jest to zachowanie w dłuższej perspektywie bardzo szkodliwe społecznie. Dążenie, by – bez względu na koszty – szantażyści nie osiągnęli przez swoje działania nic, prócz frustracji i poczucia bezsilności, jest bowiem jedynym długofalowo skutecznym sposobem ich zniechęcenia.

Niestety, póki szantażowane jednostki, firmy i instytucje będą płacić żądane od nich haracze, cyberszantażyści wciąż będą ponawiać próby dokonywania wymuszeń.