Útok ransomwaru WannaCry - WannaCry ransomware attack
 Snímek obrazovky s výkupným, které zbylo na infikovaném systému
| |
| datum | 12. května 2017-15. Května 2017 (počáteční ohnisko) |
|---|---|
| Doba trvání | 4 dny |
| Umístění | Celosvětově |
| Také známý jako | Transformace: Wanna → Wana Cryptor → Crypt0r Cryptor → Decryptor Cryptor → Crypt → Cry Přidání „2.0“ Krátkých jmen: Wanna → WN → W Cry → CRY |
| Typ | Kybernetický útok |
| Téma | Ransomware šifrující soubory s poptávkou 300–600 USD (prostřednictvím bitcoinů ) |
| Způsobit | Červ WannaCry |
| Výsledek | |
| Zatýkání | Žádný |
| Podezřelí | Lazarus Group |
| Obžalovaný | Dva Severokorejci obžalováni |
| Přesvědčení | Žádný |
| Podtyp | Ransomware |
|---|---|
| Místo původu | Pchjongjang , Severní Korea |
| Autoři | Lazarus Group (nepotvrzeno) |
Ransomware útok WannaCry bylo na celém světě kybernetického útoku v květnu 2017 podle WannaCry Ransomware cryptoworm , který cílené počítačích s Microsoft Windows operační systém pomocí šifrování dat a náročné platby výkupného v Bitcoin kryptoměna . Šířilo se to prostřednictvím EternalBlue , exploitu vyvinutého americkou Národní bezpečnostní agenturou (NSA) pro starší systémy Windows. EternalBlue ukradla a unikla skupina s názvem The Shadow Brokers nejméně rok před útokem. Zatímco společnost Microsoft dříve vydala záplaty k uzavření exploitu, velká část šíření WannaCry pocházela od organizací, které je nepoužily, nebo používaly starší systémy Windows, kterým již skončila životnost . Tyto opravy byly pro kybernetické zabezpečení organizace nezbytné, ale mnohé nebyly použity z důvodu zanedbávání, ignorace, špatného řízení nebo nedorozumění ohledně jejich důležitosti. Někteří tvrdili, že je potřeba nepřetržitého provozu, averze k riziku, že se dříve fungující aplikace rozbijí kvůli změnám oprav, nedostatku personálu nebo času na jejich instalaci nebo z jiných důvodů.
Útok začal v 07:44 UTC dne 12. května 2017 a byl zastaven o několik hodin později v 15:03 UTC registrací přepínače zabíjení objeveného Marcusem Hutchinsem . Přepínač zabití zabránil šifrování již infikovaných počítačů nebo dalšímu šíření WannaCry. Odhaduje se, že útok zasáhl více než 200 000 počítačů ve 150 zemích, přičemž celková škoda se pohybovala od stovek milionů do miliard dolarů . Bezpečnostní experti z předběžného vyhodnocení červa uvěřili, že útok pocházel ze Severní Koreje nebo agentur pracujících pro tuto zemi.
V prosinci 2017 Spojené státy a Spojené království formálně tvrdily, že za útokem byla Severní Korea .
Nová varianta WannaCry přinutila Taiwan Semiconductor Manufacturing Company (TSMC) dočasně uzavřít několik jejích továren na výrobu čipů v srpnu 2018. Virus se rozšířil do 10 000 strojů v nejmodernějších zařízeních TSMC.
Popis
WannaCry je ransomware cryptoworm , který cílené počítačích s Microsoft Windows operační systém pomocí šifrování (při uzamčení) dat a náročné platby výkupného v Bitcoin kryptoměna . Červ je také známý jako WannaCrypt, Wana Decrypt0r 2.0, WanaCrypt0r 2.0 a Wanna Decryptor. Je považován za síťového červa, protože obsahuje také transportní mechanismus, který se automaticky šíří. Tento transportní kód vyhledá zranitelné systémy, poté pomocí exploitu EternalBlue získá přístup a nástroj DoublePulsar nainstaluje a spustí jeho kopii. WannaCry verze 0, 1 a 2 byly vytvořeny pomocí Microsoft Visual C ++ 6.0 .
EternalBlue je zneužít implementace Microsoft své Server Message Block protokol (SMB) vydané stínu Brokers . Velká část pozornosti a komentářů kolem této události byla způsobena skutečností, že americká národní bezpečnostní agentura (NSA) (od níž byl pravděpodobně ukraden exploit) již tuto zranitelnost objevila, ale použila ji k vytvoření exploitu pro svou vlastní ofenzivní práci , spíše než to hlásit společnosti Microsoft. Microsoft nakonec tuto zranitelnost objevil a v úterý 14. března 2017 vydal bezpečnostní bulletin MS17-010, který podrobně popisoval tuto chybu a oznámil, že byly vydány opravy pro všechny verze systému Windows, které byly v té době aktuálně podporovány, což jsou Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 a Windows Server 2016 .
DoublePulsar je nástroj pro zadní vrátka , rovněž vydaný společností The Shadow Brokers dne 14. dubna 2017. Od 21. dubna 2017 výzkumní pracovníci v oblasti bezpečnosti uvedli, že existují desítky tisíc počítačů s nainstalovanými zadními vrátky DoublePulsar. Do 25. dubna zprávy odhadovaly, že počet nakažených počítačů by mohl být až několik stovek tisíc, přičemž počet se každým dnem zvyšuje. Kód WannaCry může využít výhod jakékoli stávající infekce DoublePulsar nebo ji nainstaluje sám. Dne 9. května 2017 soukromá společnost zabývající se kybernetickou bezpečností RiskSense vydala kód na GitHub s uvedeným účelem umožnit legálním testerům penetrace white hat testovat exploit CVE-2017-0144 na nepatchovaných systémech.
Po spuštění malware WannaCry nejprve zkontroluje název domény přepínače zabíjení ; pokud není nalezen, pak ransomware šifruje data počítače a poté se pokusí zneužít zranitelnost SMB k rozšíření na náhodné počítače na internetu a laterálně na počítače ve stejné síti. Stejně jako u jiných moderních ransomware, užitečné zatížení zobrazí zprávu informující uživatele, že jejich soubory byly zašifrovány, a požaduje platbu ve výši přibližně 300 USD v bitcoinech do tří dnů nebo 600 USD do sedmi dnů s varováním, že „nemáte dost čas." K přijímání plateb obětem se používají tři pevně zakódované bitcoinové adresy neboli peněženky. Stejně jako u všech takových peněženek jsou jejich transakce a zůstatky veřejně přístupné, i když majitelé peněženek s kryptoměnou zůstávají neznámí.
Několik organizací zveřejnilo podrobné technické zápisy malwaru, včetně špičkového bezpečnostního analytika společností RiskSense, Microsoft, Cisco , Malwarebytes , Symantec a McAfee .
Záchvat
Útok začal v pátek 12. května 2017, přičemž důkazy poukazovaly na počáteční infekci v Asii v 07:44 UTC. Počáteční infekce byla pravděpodobně přes exponovaný zranitelný port SMB, spíše než phishing e -mailů, jak se původně předpokládalo. Během jednoho dne byl kód údajně infikován více než 230 000 počítači ve více než 150 zemích.
Organizace, které si od března nenainstalovaly aktualizaci zabezpečení společnosti Microsoft, byly útokem zasaženy. Ti, kteří stále používají nepodporované verze systému Microsoft Windows , jako jsou Windows XP a Windows Server 2003, byli vystaveni obzvláště vysokému riziku, protože od dubna 2014 nebyly vydány žádné bezpečnostní záplaty pro Windows XP (s výjimkou jedné nouzové opravy vydané v květnu 2014) a července 2015 pro Windows Server 2003. Studie společnosti Kaspersky Lab však uvádí, že Windows XP používalo méně než 0,1 procenta dotčených počítačů a Windows 7 98 procent dotčených počítačů. Kryptos Logic zjistil, že nebyl schopen infikovat systém Windows XP pomocí WannaCry pouze pomocí exploitů, protože se nepodařilo načíst užitečné zatížení nebo způsobit selhání operačního systému, nikoli skutečné spouštění a šifrování souborů. Při ručním spuštění však WannaCry mohl stále fungovat v systému Windows XP.
Obranná reakce
Odborníci rychle poradili postiženým uživatelům, aby výkupné neplatili, protože se neobjevily žádné zprávy o tom, že by lidé dostávali svá data zpět po zaplacení, a protože vysoké příjmy by podpořily více takových kampaní. Ke dni 14. června 2017, po odeznění útoku, bylo převedeno celkem 327 plateb v celkové výši 130 634,77 USD (51,62396539 XBT).
Den po počátečním útoku v květnu Microsoft vydal mimo pásmo aktualizace zabezpečení pro produkty s ukončenou životností Windows XP , Windows Server 2003 a Windows 8 ; tyto záplaty byly vytvořeny v únoru toho roku po upozornění na zranitelnost v lednu téhož roku. Organizacím bylo doporučeno opravit Windows a připojit tuto chybu zabezpečení, aby se ochránily před kybernetickým útokem. Vedoucí operačního střediska Cyber Defense společnosti Microsoft Adrienne Hall uvedla, že „Vzhledem ke zvýšenému riziku destruktivních kybernetických útoků jsme se v tuto chvíli rozhodli provést tuto akci, protože aplikace těchto aktualizací poskytuje další ochranu před potenciálními útoky s podobnými charakteristikami na WannaCrypt [alternativní název k WannaCry] “.
Výzkumník Marcus Hutchins objevil doménu přepínače zabití pevně zakódovanou v malwaru. Registrace názvu domény pro závrt DNS zastavila šíření útoku jako červ, protože ransomware šifroval soubory počítače pouze v případě, že se nemohl připojit k této doméně, což všechny počítače infikované WannaCry před registrací webové stránky nebyly schopné. I když to již infikovaným systémům nepomohlo, výrazně to zpomalilo šíření počáteční infekce a poskytlo čas obranným opatřením na celém světě, zejména v Severní Americe a Asii, které nebyly napadeny ve stejné míře jako jinde. Dne 14. května se objevila první varianta WannaCry s novým a druhým kill-switchem registrovaným Mattem Suichem ve stejný den. Následovala druhá varianta s třetím a posledním zabitím na 15. května, kterou zaregistrovali analytici hrozeb Check Point . O několik dní později byla detekována nová verze WannaCry, která zcela postrádala přepínač zabíjení.
Dne 19. května bylo oznámeno, že se hackeři pokoušeli použít variantu Mirai botnet k provedení distribuovaného útoku odmítnutí služby na doménu WannaCry's kill-switch s úmyslem ji srazit offline. Dne 22. května chránil Hutchins doménu přepnutím na verzi webu uloženou v mezipaměti, která je schopna zvládnout mnohem vyšší zátěž než živý web.
Samostatně vědci z University College London a Boston University uvedli, že jejich systém PayBreak by mohl porazit WannaCry a několik dalších rodin ransomwaru obnovením klíčů používaných k šifrování dat uživatele.
Bylo zjištěno, že API pro šifrování systému Windows používané WannaCry nemusí zcela vymazat prvočísla použitá ke generování soukromých klíčů užitečného zatížení z paměti, což potenciálně umožňuje získat požadovaný klíč, pokud ještě nebyly přepsány nebo vymazány z rezidentní paměti. Klíč není uložen v paměti, pokud proces WannaCry nebyl zabit a počítač nebyl po infekci restartován. Toto chování použil francouzský výzkumník k vývoji nástroje známého jako WannaKey, který automatizuje tento proces na systémech Windows XP. Tento přístup byl opakován druhým nástrojem známým jako Wanakiwi, který byl testován, aby fungoval také na Windows 7 a Server 2008 R2.
Do čtyř dnů od počátečního ohniska se díky těmto reakcím nové infekce zpomalily na pramínek.
Atribuce
Lingvistická analýza výkupného ukázala, že autoři pravděpodobně plynně hovoří čínsky a ovládají angličtinu, protože verze poznámek v těchto jazycích byly pravděpodobně psány člověkem, zatímco zbytek se zdál být strojově přeložen . Podle analýzy Centra pro analýzu kybernetického chování FBI má počítač, který vytvořil soubory jazyka ransomware, nainstalovaná písma jazyka Hangul , o čemž svědčí přítomnost značky Rich Text Format „\ fcharset129“ . Metadata v jazykových souborech také naznačovala, že počítače, které vytvořily ransomware, byly nastaveny na UTC+09: 00 , používané v Koreji .
Google bezpečnostní výzkumník nejprve zaslali pípání odkazující kódu podobnosti mezi WannaCry a předchozí malware. Společnosti Kaspersky Lab a Symantec v oblasti kybernetické bezpečnosti uvedly, že kód má určité podobnosti s kódem, který dříve používala skupina Lazarus (předpokládá se, že kybernetický útok provedla společnost Sony Pictures v roce 2014 a loupež bangladéšské banky v roce 2016 - a souvisí se Severní Koreou ) . Mohlo by to být buď jednoduché opětovné použití kódu jinou skupinou, nebo pokus o přesun viny-jako při kybernetické operaci falešných vlajek ; ale uniklá interní zpráva NSA údajně spojila také vytvoření červa se Severní Koreou. Brad Smith , prezident společnosti Microsoft, řekl, že věří, že původcem útoku WannaCry byla Severní Korea a ke stejnému závěru dospělo i britské Národní centrum pro kybernetickou bezpečnost.
Dne 18. prosince 2017 vláda Spojených států formálně oznámila, že veřejně považuje Severní Koreu za hlavního viníka útoku WannaCry. President Trump je Homeland Security Advisor , Tom Bossert , napsal op-ed v The Wall Street Journal o tomto poplatku, říká: ‚Nechceme, aby toto tvrzení na lehkou váhu. To je založené na důkazech.‘ Na tiskové konferenci následujícího dne Bossert uvedl, že důkazy naznačují, že Kim Čong-un dal příkaz k zahájení útoku malwaru. Bossert uvedl, že Kanada, Nový Zéland a Japonsko souhlasí s hodnocením Spojených států o důkazech, které spojují útok se Severní Koreou, zatímco britský úřad pro zahraniční věci a společenství uvádí, že také stojí za tvrzením USA.
Severní Korea však odmítla, že by byla odpovědná za kyberútok.
Dne 6. září 2018 americké ministerstvo spravedlnosti (DoJ) oznámilo formální obvinění proti Park Jin-hyok za účast na hacku Sony Pictures z roku 2014. Ministerstvo spravedlnosti tvrdilo, že Park byl severokorejský hacker pracující jako součást týmu odborníků pro severokorejský průzkumný generální úřad . Ministerstvo spravedlnosti tvrdilo, že tento tým byl mimo jiné také zapojen do útoku WannaCry.
Dopad
Podle Europolu , který odhaduje, že bylo nakaženo přibližně 200 000 počítačů ve 150 zemích, byla kampaň na ransomware bezprecedentní . Podle Kaspersky Lab byly čtyři nejvíce postižené země Rusko , Ukrajina , Indie a Tchaj -wan .
Jednou z největších agentur zasažených útokem byly nemocnice National Health Service v Anglii a Skotsku a mohlo být zasaženo až 70 000 zařízení-včetně počítačů, skenerů MRI , ledniček na uchovávání krve a divadelního vybavení. 12. května musely některé služby NHS odvrátit nekritické mimořádné události a některé sanitky byly odkloněny. V roce 2016 bylo hlášeno , že tisíce počítačů ve 42 samostatných trustech NHS v Anglii stále používají Windows XP. V roce 2018 zpráva poslanců dospěla k závěru, že všech 200 nemocnic NHS nebo jiných organizací zkontrolovaných po útoku WannaCry stále propadlo kontrole kybernetické bezpečnosti. Nemocnice NHS ve Walesu a Severním Irsku nebyly útokem ovlivněny.
Společnost Nissan Motor Manufacturing UK v anglickém Tyne and Wear zastavila výrobu poté, co ransomware infikoval některé jejich systémy. Renault také zastavil výrobu na několika místech ve snaze zastavit šíření ransomwaru. Zasaženy byly španělské společnosti Telefónica , FedEx a Deutsche Bahn spolu s mnoha dalšími zeměmi a společnostmi po celém světě.
Dopad útoku je údajně relativně nízký ve srovnání s jinými potenciálními útoky stejného typu a mohl by být mnohem horší, kdyby Hutchins nezjistil, že by jeho tvůrci zabudovali přepínač zabíjení nebo kdyby byl konkrétně zaměřen na vysoce kritickou infrastrukturu jako jaderné elektrárny , přehrady nebo železniční systémy.
Podle firmy Cyence pro modelování kybernetických rizik by ekonomické ztráty z kybernetického útoku mohly dosáhnout až 4 miliardy USD, přičemž jiné skupiny odhadují ztráty na stovky milionů.
Dotčené organizace
Následuje abecední seznam organizací, u nichž bylo potvrzeno, že byly ovlivněny:
- Policie Andhra Pradesh , Indie
- Aristotelova univerzita v Soluni , Řecko
- Automobil Dacia , Rumunsko
- Komerční letadla Boeing
- Cambrian College , Kanada
- Čínský úřad pro veřejnou bezpečnost
- CJ CGV (řetězec kin)
- Námořní univerzita v Dalian
- Deutsche Bahn
- Nemocnice Dharmais , Indonésie
- Fakultní nemocnice, Nitra , Slovensko
- FedEx
- Garena Blade and Soul
- Guilin University of Aerospace Technology
- Guilin University of Electronic Technology
- Nemocnice Harapan Kita, Indonésie
- Univerzita Hezhou
- Hitachi
- Honda
- Instituto Nacional de Salud, Kolumbie
- Lakeridge Health , Kanada
- LAKS, Nizozemsko
- LATAM Airlines Group
- MegaFon
- Ministerstvo vnitra Ruské federace
- National Health Service (Anglie)
- NHS Skotsko
- Nissan Motor Manufacturing UK
- O2 , Německo
- Petrobrás
- PetroChina
- Portugal Telecom
- Pulzní FM
- Q-Park
- Renault
- Ruské železnice
- Sandvik
- Soudní dvůr v São Paulu
- Saudi Telecom Company
- Sberbank
- Univerzita Shandong
- Státní vlády Indie
- Správa vozidel Suzhou
- Sun Yat-sen University , Čína
- Telefónica , Španělsko
- Telenor Maďarsko , Maďarsko
- Telkom (Jižní Afrika)
- Obec Timrå , Švédsko
- TSMC , Tchaj -wan
- Universitas Jember , Indonésie
- University of Milano-Bicocca , Itálie
- University of Montreal , Kanada
- Vivo , Brazílie
Reakce
Několik odborníků zdůraznilo nezveřejnění základní zranitelnosti NSA a jejich ztrátu kontroly nad nástrojem útoku EternalBlue, který jej zneužil. Edward Snowden řekl, že pokud NSA „ soukromě odhalila vadu používanou k útoku na nemocnice, když ji našli, ne když ji ztratili, k útoku možná nedošlo“. Britský expert na kybernetickou bezpečnost Graham Cluley také vidí „určitou vinu na straně amerických zpravodajských služeb“. Podle něj a dalších „mohli před věky něco udělat, aby tento problém vyřešili, a neudělali to“. Řekl také, že navzdory zjevnému využití takových nástrojů ke špehování zajímavých lidí mají povinnost chránit občany svých zemí. Jiní také uvedli, že tento útok ukazuje, že praxe zpravodajských agentur ukládat zásoby pro útočné účely spíše než je zveřejňovat pro obranné účely může být problematická. Prezident a hlavní právník společnosti Microsoft Brad Smith napsal: „Opakovaně se exploity v rukou vlád dostaly do veřejného vlastnictví a způsobily rozsáhlé škody. Ekvivalentním scénářem s konvenčními zbraněmi by bylo, kdyby americká armáda ukradla některé své rakety Tomahawk .“ Ruský prezident Vladimir Putin přenesl odpovědnost za útok na americké zpravodajské služby za vytvoření EternalBlue.
17. května 2017 představitelé Spojených států dvoustranných zákonodárců představili zákon PATCH, který si klade za cíl nechat exploity přezkoumat nezávislou radou, aby „vyrovnala potřebu odhalit zranitelná místa s jinými zájmy národní bezpečnosti a současně zvýšila transparentnost a odpovědnost za účelem udržení důvěry veřejnosti v tento proces“.
Dne 15. června 2017 měl kongres Spojených států uspořádat slyšení o útoku. Dva dílčí panely Vědeckého výboru Sněmovny si měly vyslechnout svědectví různých jednotlivců pracujících ve vládním a nevládním sektoru o tom, jak mohou USA v budoucnu zlepšit své ochranné mechanismy pro své systémy proti podobným útokům.
Marcus Hutchins , výzkumník v oblasti kybernetické bezpečnosti, pracující ve volné spolupráci s britským Národním centrem pro kybernetickou bezpečnost , prozkoumal malware a objevil „přepínač zabíjení“. Později globálně rozptýlení bezpečnostní výzkumníci spolupracovali online na vývoji open source nástrojů, které za určitých okolností umožňují dešifrování bez platby. Snowden uvádí, že když „ ransomware povolený NSA žere internet, přichází pomoc od výzkumníků, nikoli od špionážních agentur“, a ptá se, proč tomu tak je.
Adam Segal , ředitel programu digitální a kyberprostorové politiky v Radě pro zahraniční vztahy , uvedl, že „systémy záplat a aktualizací jsou v zásadě narušeny v soukromém sektoru a ve vládních agenturách“. Kromě toho Segal uvedl, že zjevná neschopnost vlád zabezpečit zranitelnosti „otevírá mnoho otázek o zadních vrátkách a přístupu k šifrování, které vláda tvrdí, že potřebuje od soukromého sektoru k zabezpečení“. Arne Schönbohm , prezident německého Spolkového úřadu pro informační bezpečnost (BSI), uvedl, že „současné útoky ukazují, jak zranitelná je naše digitální společnost . Je to budící výzva pro společnosti, aby konečně braly zabezpečení IT [vážně]“.
Spojené království
Účinky útoku měly také politické důsledky; ve Spojeném království se dopad na národní zdravotní službu rychle stal politickým, přičemž tvrdí, že účinky byly zhoršeny nedostatečným financováním NHS vládou; zejména NHS ukončila své placené ujednání o vlastní podpoře, aby nadále dostávala podporu pro nepodporovaný software Microsoft používaný v rámci organizace, včetně Windows XP. Ministr vnitra Amber Rudd odmítl sdělit, zda byla data pacientů zálohována , a stínový ministr zdravotnictví Jon Ashworth obvinil ministra zdravotnictví Jeremyho Hunta, že odmítl jednat podle kritické poznámky společnosti Microsoft, Národního centra pro kybernetickou bezpečnost (NCSC) a Národní agentury pro boj s kriminalitou které byly obdrženy před dvěma měsíci.
Jiní tvrdili, že prodejci hardwaru a softwaru často neberou v úvahu budoucí bezpečnostní chyby a prodávají systémy, které - vzhledem ke svému technickému designu a tržním pobídkám - nakonec nebudou moci řádně přijímat a aplikovat opravy.
NHS popřel, že by stále používal XP, tvrdil, že pouze 4,7% zařízení v rámci organizace používalo Windows XP. Náklady na útok na NHS byly odhadnuty na 92 milionů liber v důsledku narušení služeb a upgradů IT.
Po útoku společnost NHS Digital odmítla financovat odhadovanou 1 miliardu liber, aby splnila standard Cyber Essentials Plus , certifikaci informační bezpečnosti organizovanou britským NCSC, s tím, že to nepředstavuje „hodnotu za peníze“ a že investovala přes £ 60 milionů a plánovalo „vynaložit dalších 150 [milionů] £ v příštích dvou letech“ na řešení klíčových nedostatků kybernetické bezpečnosti.
Podvod s e -maily 2018
Na konci června nahlásily stovky uživatelů počítačů e -mail s prohlášením, že jsou od vývojářů WannaCry. E -mail pohrozil zničením dat obětí, pokud neposílají 0,1 BTC na bitcoinovou adresu hackerů. To se také stalo v roce 2019.
Viz také
- BlueKeep (chyba zabezpečení)
- Počítačová bezpečnost § Lékařské systémy
- Porovnání počítačových virů
- Conficker
- CryptoLocker
- Kybernetická sebeobrana
- Kybernetická zbraň § Ovládání a odzbrojení
- Výkonný kybernetický útok zdravotnických služeb
- Mezinárodní mnohostranné partnerství proti kybernetickým hrozbám
- Proaktivní kybernetická obrana § Opatření
- Bezpečnostní inženýrství
- Verze softwaru
- SQL Slammer
- Časová osa počítačových virů a červů
- Vault 7
- Windows Update
- 2016 Dyn kybernetický útok
- 2017 Petya cyberattack
Reference
externí odkazy
- Výkupné: Win32/WannaCrypt v Microsoft Malware Protection Center
- @actual_ransom na Twitteru , Twitterbot sledující výkupné