Hackerii au distrus site-ul UMF și au cerut bani pentru deblocare. DIICOT e pe fir

Procurorii DIICOT anchetează o plângere primită de la Universitatea de Medicină şi Farmacie „Grigore T. Popa“ din Iaşi cu privire la un atac informatic de tip ransomware care le-a distrus site-ul. Atacul a venit în luna decembrie cel mai probabil în urma faptului că un angajat neatent a deschis un e-mail care a introdus virusul în sistem, iar acesta a început să cripteze toate fişierele la care a avut acces. Surse apropiate anchetei spun că, dacă atacul ar fi avut loc într-o zi de weekend sau în vacanţă, iar echipa de IT a universităţii nu ar fi apucat să intervină la timp pentru a opri răspânderea virusului, ar fi compromis toate sistemele informatice ale UMF Iaşi.

Atacurile de tip ransomware criptează toate fişierele pe care reuşesc să le acceseze şi atacatorii solicită o sumă de bani pentru deblocarea lor, sumă ce trebuie achitată într-o perioadă scurtă de timp. Deşi nici reprezentanţi ai universităţii şi nici surse din cadrul anchetei nu au putut confirma pentru „Ziarul de Iaşi“ cu exactitate suma, diverse persoane din zona IT care au lucrat cu sistemele universităţii precizează că, dat fiind nivelul pierderilor de date, cel mai probabil s-au cerut zeci, chiar sute de mii de euro. Versiunea veche a site-ului a fost practic distrusă complet şi s-au pierdut toate documentele care au fost publicate acolo, însă atacul a fost oprit înainte să ajungă la platforma didactică şi de e-learning.

În momentul de faţă, cu resurse interne, universitatea a reuşit să lanseze un site nou, pornind de la tema generală a platformei news.umfiasi.ro, pe care reîncarcă documentele lipsă după ce sunt scanate din nou din arhiva fizică.

„Am făcut imediat plângere penală la DIICOT, şi în rest nu ştim mai multe, aşteptăm să vedem care este mersul lucrurilor. Ne-am reorganizat şi încercăm să punem la punct noul site şi să ne refacem. Nu au fost afectate documente ale studenţilor sau alte platforme online, doar site-ul“, a declarat prof.dr. Viorel Scripcariu, rectorul UMF Iaşi.

Cel mai probabil, explică experţii, au mai fost lansate atacuri în aceeaşi perioadă şi la alte instituţii publice din Iaşi care fie nu au trecut, fie au infectat doar anumite fişiere şi s-a făcut plata, fie au fost oprite la timp cu minime stricăciuni.

„Sunt oameni care habar nu au pe ce butoane să apese la calculator“

„Ziarul de Iaşi“ a discutat cu specialişti în IT de la universită­ţile din Iaşi care au acceptat, sub protecţia anonimatului, să comen­teze situaţia de la UMF şi şansele ca aşa ceva să se întâmple într-o universitate sau o instituţie pu­blică. Concluziile lor sunt că aşa ceva se poate întâmpla oricând, pentru că vectorul de atac al acestor infiltraţii de tip ransomware, de răscumpărare, sunt oamenii, iar în universităţi, spun aceştia, sunt foarte mulţi oameni care nu ştiu în continuare cum să opereze un calculator şi care pică în plase de tipul „prinţul din Nigeria“.

„Sfatul profesioniştilor este să aveţi foarte mare grijă pe ce daţi click, că de regulă atacurile acestea vin pe e-mail şi când omul nu citeşte e-mailul şi dă click pe un executabil sau pe un «jar» sau pe un script sau un «vbs». Un document pe care oricum nu ar trebui să dea click şi care instalează atunci «jucărioara», iar apoi adio, s-a terminat. Cea mai bună protecţie este să fii foarte atent pe ce dai click. Iar ca să educi lumea… e dezastru. Poate peste 20 de ani va fi mai uşor, dar acum sunt oameni care habar nu au pe ce butoane să apese la calculator. E imposibil să educi sute de oameni cum să fie precauţi, să ştie cum să se apere. Dintr-o sută, unul sigur «o muşc㻓, a precizat un conducător de Departament IT de la una dintre universităţile din Iaşi.

Chiar dacă le plăteşti hackerilor, tot rămâi expus

Aceştia explică şi că nici solu­ţiile software, oricât ar fi de performante, nu reuşesc să identifice la timp toate situaţiile de criptare. Ele sunt folosite oricum în universităţi, dar cum soluţia lor este să scaneze bazele de date şi să identifice din viruşii sau atacurile deja identificate, e posibil să nu fie actualizate la timp. Însă atunci când eşti infectat, explică specia­liştii consultaţi de „Ziarul de Iaşi“, nu există garanţia că, dacă plăteşti, ai scăpat.

De regulă, hackerii folo­sesc o serie de canale de Internet pentru comunicare, care fac de­tec­ţia lor foarte dificilă. Cer ca plata răscumpărării pentru deblocarea fişierelor să fie în bitcoin şi dau termene foarte scurte, 2-5 zile, pentru plată. Dacă în cele cinci zile nu se face plata, aceştia nu mai urmăresc canalele de chat şi chiar dacă te hotărăşti să plăteşti, tot rămâi cu datele blocate. Dar există şi şansa unui „hack“ suplimentar şi în operaţiunea de decriptare.

„Ei îţi dau de regulă un fişier tip «.exe» pe care să îl instalezi şi să te apuci să decriptezi fişierele. Dar nu ai garanţia că el nu lasă urme la tine în sistem sau în reţea. Mai există un tip de atac numit «second stage», când tu plăteşti, decriptezi, dar nu îţi dai seama că, făcând asta, deschizi anumite porţi în sistemul tău prin care hackerii intră, fac o analiză a infrastructurii din firmă sau din universitate şi îşi dau seama care sunt calculatoarele cel mai uşor de atacat, şi atunci le atacă şi pe acelea“, au mai precizat sursele citate.

Specialiştii au mai explicat că, în cazul unei universităţi, este foarte dificil să ţii un departament IT cu oameni foarte buni fiindcă salariile sunt plafonate de grilele de salarizare, şi în privat se câştigă şi de şapte-opt ori mai bine.