Múlt héten a Black Shadow hackercsoport kibertámadás útján hozzáfért az alapvetőn ingatlan, autó és utazási biztosításokban érdekelt Shirbit Biztosító Társaság adataihoz, majd közölte a céggel, hogy ha 24 órán belül nem fizet közel egymillió dollárt, több ezer érzékeny információt fognak kiszivárogtatni.
Ezt követően a hétvége során kétszer is megduplázzák a tétet és a végső határidő lejárta után, vagy még több adatot hoznak nyilvánosságra vagy értékesítik azokat.
A Shirbit elutasította a zsarolást és nyilatkozatban erősítette meg, hogy nem engednek az ilyen jellegű terrorizmusnak, továbbá a szakértőkkel való konzultáció után arra a következtetésre jutottak, hogy a támadók célja inkább stratégiai, mint pénzügyi indíttatású.
Izraelben ritkán fordul elő hasonló kaliberű hackertámadás. A kormányválság és a koronavírus aktuális harmadik hulláma közepette az eset súlyossága több okból is felhívta a héber média és a szakemberek figyelmét.
A hackereknek sikerült feltörni a Shirbit számítógépes hálózatát, és nagy mennyiségű adatot ellopni a vállalat szervereiről. A kezükbe kerültek az alkalmazottak fizetési bizonylatai, az ügyfelek által benyújtott kárigények – ideértve például a biztosítási értékbecslők jelentését és a kórházi nyilvántartásokat –, valamint sok személyi igazolványról készült másolat.
Miközben a Black Shadow betartva „ígéretét”, többek között egy izraeli bíró részletes személyes adatait is közzétéve az interneten, nyilvánvalóvá vált, hogy az izraeli kormányzati szervek is érdekeltté váltak az adatok további kiszivárogtatásának megfékezésében, ugyanis a Shirbit számos kormányalkalmazott számára is nyújtott biztosítási szolgáltatásokat.
A hackercsoport a második határidő (szombat reggel) letelte után újabb fenyegetések sorát tette közzé, a „THE END” képernyőfotó, valamint hitelkártya adatok megosztása kíséretében Telegramon és Twitteren.
A különböző izraeli kiber-hírszerző cégek a biztosító társaság adataihoz való hozzáférés módjáról eddig sokat nem tudtak kideríteni, azt viszont hangsúlyozták, hogy a Shirbit védelmi hálózata, többek között VPN-rendszerei nem voltak kellően biztonságosak, ráadásul a koronavírus miatt az otthoni munkavégzés során hálózatuk még sebezhetőbbé vált.
A biztosító közleménye szerint sikerült 90 százalékban visszaállítani a hálózat biztonságát és weboldaluk is várhatóan hamarosan működni fog. A társaság ugyanakkor elismerte, hogy több mint kétezer dokumentum szivárgott ki, köztük legalább 130 ügyfél személyi igazolványa. A cég rövid időn belül értesítette azokat az ügyfeleket, akik a támadás áldozatai lettek anélkül, hogy tudtak volna róla és az érintett bankkártyákat időközben letiltották.
Az ügy jogi eljárási szakaszba lépett, de a támadókat még nem sikerült azonosítani, ugyanis a belépés után természetesen eltüntettek minden nyomot.
Jelenleg az még mindig nem világos, hogy a hackereknek hogyan sikerült betörni a biztosító számítógépes hálózatának rendszerébe és azt sem tudni, hogy pontosan mit akarnak elérni.
Több lehetséges ok is felmerült mint például a rosszul sikerült üzleti megállapodás vagy személyes bosszú, illetve az ideológiai indíttatású, izraeli szervezetek elleni támadás.
Miközben még folytatódnak a tárgyalások, a Shirbittel dolgozó szakemberek arra következtetnek, hogy a Black Shadow támadása nem tűnik profilozható, úgynevezett pénzügyi indítékú, váltságdíjas akciónak.
Két nappal a biztosító szerveinek feltörése után a hackerek váltságdíjat követelve azzal fenyegettek, hogy 50 bitcoin (közel egymillió dollár) kifizetésével az ellopott információk internetes közzététele megállítható. Ellenkező esetben megduplázzák a váltságdíjat, majd további rövid időn belül ismét a duplájára, vagyis 200 bitcoinra emelik a tétet.
A héber médiának nyilatkozó szakértők szerint, beleértve a biztosító társaságnak az incidens kezelésében ténylegesen részt vevő szakembereit, minden jel arra utal, hogy a hackerek nem igazán pénzt akarnak. Úgy tűnik, hogy egy olyan csoportról van szó, amely ideológiai és Izrael-ellenes okokból indított támadást.
A szakma szerint általában működésének módjai, vagy akár az általuk alkalmazott technikák alapján lehet azonosítani a támadókat. A Black Shadow viselkedése azonban nem vezethető vissza korábbi hasonló váltságdíjas esetekhez.
A Shirbit az együttműködő szakemberek tanácsai alapján arra a következtetésre jutott, hogy nem sok értelme van a tárgyalásoknak, illetve a váltságdíj esetleges kifizetésének ugyanis semmilyen garancia nincs arra, hogy a csoport leáll az információk kiszivárogtatásával illetve esetleges “piaci” értékesítésével.
Az úgynevezett zsarolóvírus (ransomware) gyártói a szakma szemében relatív jóhírnévnek örvendenek, ami azt jelenti, hogy a túszul ejtett felhasználók adatait váltságdíj megfizetése esetén újra elérhetővé teszik.
Ezeknek a csoportoknak a védjegye a “megbízhatóság”, ugyanis csak abban az esetben tudnak újabb szervezetektől váltságdíjat követelni, amennyiben hitelességük nem szenved csorbát.
Miközben a Shirbit állítja, hogy az akció célpontja valójában nem a biztosító, hanem maga a zsidó állam, a hackerek a Kan közszolgálati műsorszolgáltatónak azt nyilatkozták, hogy
„ha az állam ellen lennénk, eladnánk az információkat Izrael ellenségeinek. Eddig a cégen kívül senkivel sem tárgyaltunk.”
Majd a Shirbittel folytatott állítólagos pénzügyi szempontokat hangsúlyozó párbeszédet képernyőfotókkal igazolták.
A Shirbit-ügy tanulsága izraeli szempontból, hogy miközben személyi igazolvány, orvosi dokumentum, számlák, csekkfüzetek és egyéb érzékeny információk kerültek nyilvánosságra az incidens következményeként egyrészt a biztosító ügyfeleinek és alkalmazottainak személyes információi akár terrorista csoportok vagy ellenséges hírszerző ügynökségek kezébe is kerülhetnek, akkor is, ha nem feltétlenül ez volt a kibertámadás célja. Másrészt mind a biztosító, mind ügyfelei további zsarolás célpontjává válhatnak.
Nem mellesleg a legfőbb tanulság, hogy az érzékeny személyes adatok birtokában lévő számos izraeli szervezet nem rendelkezik megfelelő szintű védelemmel hasonló támadások esetére.