Μια συνηθισμένη μέρα στο γραφείο ξεκινούσε για τον Γιώργο. Ηπιε την πρώτη γουλιά από τον καφέ του και ενεργοποίησε τον υπολογιστή του. Στην οθόνη όμως δεν εμφανίστηκε το wallpaper με μια φωτογραφία από τις διακοπές του, αλλά ένα άκρως ανησυχητικό μήνυμα: «Ολα τα δεδομένα σας έχουν κρυπτογραφηθεί». Στο φόντο έβλεπε τα ονόματα των φακέλων και των αρχείων να αλλάζουν χωρίς να μπορεί να κάνει το παραμικρό. «Αν θέλετε να αποκτήσετε ξανά πρόσβαση στον υπολογιστή ή στα αρχεία σας, πατήστε εδώ». Ενα βέλος υποδείκνυε προς ένα αρχείο κειμένου που περιείχε οδηγίες για την καταβολή λύτρων σε Bitcoin. Στην άλλη άκρη της οθόνης, ένα χρονόμετρο μετρούσε αντίστροφα.
Επίθεση τύπου ransomware
Η μέρα κάθε άλλο παρά συνηθισμένη αποδεικνυόταν. Οπως γρήγορα διαπίστωσε ο υπεύθυνος Πληροφορικής της επιχείρησης, όλοι οι υπολογιστές που ήταν συνδεδεμένοι στο εταιρικό δίκτυο είχαν μολυνθεί και τα δεδομένα τους είχαν κρυπτογραφηθεί. Η εταιρεία είχε μόλις δεχθεί μια επίθεση τύπου ransomware. Οπως αποδείχθηκε στη συνέχεια, οι εκβιαστές είχαν μολύνει τον πρώτο υπολογιστή με την αποστολή ενός αθώου email που περιείχε ένα λινκ προς κακόβουλη ιστοσελίδα. Τα λύτρα που ζητούσαν ανέρχονταν σε περίπου 40.000 ευρώ μέσω Bitcoin. Οι εκβιαστές κατά κανόνα ζητούν την καταβολή των λύτρων μέσω κρυπτονομισμάτων καθώς θεωρητικά διασφαλίζουν την ανωνυμία των συναλλαγών που πραγματοποιούνται εκτός τραπεζικών συστημάτων.
Ο διευθυντής της επιχείρησης απευθύνθηκε σε σύμβουλο κυβερνοασφάλειας, ο οποίος χωρίς περιστροφές συνέστησε να μην καταβάλουν τα λύτρα, αλλά ούτε να διαπραγματευτούν με τους δράστες της επίθεσης. Η συμβουλή δεν εισακούστηκε και εκπρόσωπος της εταιρείας ξεκίνησε να διαπραγματεύεται με τους χάκερ. Η αντιπροσφορά όμως ήταν πολύ χαμηλότερη και οι εκβιαστές δεν επικοινώνησαν ξανά. Τα αρχεία έμειναν κρυπτογραφημένα, ενώ η ζημιά επεκτάθηκε σε εταιρικούς υπολογιστές που έπρεπε να αντικατασταθούν.
Δίνονται λύτρα δισεκατομμυρίων
Η συγκεκριμένη επιχείρηση δεν κατέβαλε τα λύτρα, αλλά είναι αναρίθμητες όσες το έπραξαν προκειμένου να απελευθερώσουν τα πολύτιμα αρχεία τους και να ανακτήσουν πρόσβαση στους υπολογιστές και το εταιρικό τους δίκτυο. Η γνωστή εταιρεία τεχνολογίας Garmin, για παράδειγμα, παραδέχτηκε ότι έπεσε θύμα επίθεσης ransomware τον περασμένο Αύγουστο και υποχρεώθηκε να καταβάλει λύτρα ύψους 10 εκατ. δολαρίων. Αντίστοιχη επίθεση δέχθηκε και ο κολοσσός του φωτογραφικού κλάδου, Canon, αν και δεν έχει γίνει γνωστό αν και πόσα πλήρωσε για να ανακτήσει τα περίπου 10 terabyte δεδομένων που κρυπτογράφησαν οι χάκερ. Τον Μάρτιο, η εταιρεία χρηματοοικονομικών CNA Financial υποχρεώθηκε να πληρώσει 40 εκατομμύρια δολάρια σε λύτρα.
Στις αρχές Μαΐου εκβιαστές χρησιμοποίησαν το κακόβουλο λογισμικό της DarkSide προκειμένου να κρυπτογραφήσουν τα υπολογιστικά συστήματα της Colonial Pipeline και να υποχρεώσουν την εταιρεία να καταβάλει περίπου 5 εκατ. δολάρια για να ανακτήσει τον έλεγχό τους. Παρότι η επίθεση ransomware στον αγωγό πετρελαίου ήταν ένας ακόμη κρίκος στην αλυσίδα των αναρίθμητων διαδικτυακών εκβιασμών που καταγράφονται τους τελευταίους μήνες, η κλίμακα της επίθεσης και η απειλή που συνέστησε για την ενεργειακή αυτονομία της χώρας σήμανε γενικευμένο συναγερμό στις αμερικανικές αρχές. Πλην της σύστασης ειδικής ομάδας δράσης ειδικά για την καταπολέμηση του ransomware, το υπουργείο Δικαιοσύνης των ΗΠΑ ζήτησε να αποκτήσει η αντιμετώπιση της εν λόγω μορφής κυβερνοεπιθέσεων αντίστοιχη προτεραιότητα με την καταπολέμηση της τρομοκρατίας.
Οι επιθέσεις τύπου ransomware (ή λυτρισμικού) πολλαπλασιάζονται διεθνώς, σε βαθμό που οι ειδικοί να κάνουν λόγο για ένα από τα πλέον σοβαρά και διαρκώς εντεινόμενα ζητήματα κυβερνοασφάλειας. Το τμήμα έρευνας της Check Point Software διαπιστώνει ότι κατά μέσο όρο 1.000 και πλέον οργανισμοί την εβδομάδα επηρεάζονται από επιθέσεις τύπου ransomware. Η αύξηση των επιθέσεων φέτος ξεπερνάει το 102% σε σύγκριση με το αντίστοιχο διάστημα του 2020.
«Με τα περιστατικά να αυξάνονται διαρκώς, είναι προφανές ότι δεν τίθεται θέμα αν θα πέσει κανείς θύμα, αλλά πότε θα πέσει» αναφέρει στην πρόσφατη έκθεσή του ο Οργανισμός της Ευρωπαϊκής Ενωσης για την Κυβερνοασφάλεια (ENISA). Μόνο κατά τη διάρκεια του περασμένου έτους καταβλήθηκαν σε λύτρα περισσότερα από 10 δισ. ευρώ. Δεν είναι τυχαίο ότι πλέον πολλές επιχειρήσεις και οργανισμοί ασφαλίζουν τα δεδομένα τους, ώστε να αποζημιωθούν στην περίπτωση που πέσουν θύματα επιθέσεων.
Ανθρωπος, ο πιο αδύναμος κρίκος
Οι επιθέσεις αυτού του τύπου αποτελούν «μια εξαιρετικά απλή, αλλά δύσκολα αντιμετωπίσιμη τεχνική» όπως επισημαίνει στο «Βήμα» ο Χρήστος Ξενάκης, καθηγητής στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς. Ουσιαστικά πρόκειται για τη διαδικασία κλειδώματος των δεδομένων ενός υπολογιστή ή και ολόκληρου δικτύου.
Οπως τονίζει στο «Βήμα» ο Δημήτρης Σιατήρας που εργάζεται ως Chief Hacking Officer, «ακόμη και τα καλύτερα θωρακισμένα συστήματα ενδέχεται να σπάσουν από ένα ανθρώπινο λάθος». Οπως μας εξηγεί, η ζημιά δεν γίνεται κατ’ ανάγκην από δόλο ή από αμέλεια, αλλά γιατί κάποιος είχε τη διάθεση να βοηθήσει. Τα περισσότερα αντίστοιχα σφάλματα σχετίζονται με ελλιπή επιμόρφωση των υπαλλήλων και έλλειψη γνώσης των αρμόδιων στελεχών. «Ο πιο αδύναμος κρίκος στα πληροφοριακά συστήματα είναι ο άνθρωπος» τονίζει ο κ. Σιατήρας.
Ουσιαστικά οι κακόβουλοι εκμεταλλεύονται αυτό που οι ειδικοί ασφαλείας περιγράφουν ως κοινωνική μηχανική – π.χ. ένας εργαζόμενος να εμπιστευτεί κάποιον και να μοιραστεί έναν κωδικό ασφαλείας. Οπως εξηγεί στο «Βήμα» ο Νίκος Σίμος της Pylones Hellas, αρκεί κάποιος να εντοπίσει τα ενδιαφέροντα του στόχου του. Αν, για παράδειγμα, του αρέσουν τα χειμερινά σπορ, ο κακόβουλος θα του στείλει μια διαφήμιση που περιλαμβάνει μια προσφορά για πέδιλα του σκι, με την παραίνεση να κάνει κλικ ώστε να κατέβει στον υπολογιστή του ο κώδικας.
Μη διαπραγματεύεστε, μην πληρώνετε λύτρα
Τόσο τα στελέχη της Δίωξης Ηλεκτρονικού Εγκλήματος όσο και οι σύμβουλοι ασφαλείας συστήνουν να αποφεύγεται η διαπραγμάτευση με τους χάκερ γιατί ενδέχεται να τους τρομάξει, όπως ακριβώς συμβαίνει και με τους απαγωγείς όταν διαπραγματεύονται με την αστυνομία.
Ο Νίκος Σίμος συστήνει στους πελάτες της Pylones να μη σκεφτούν την πιθανότητα καταβολής των λύτρων: «Το πιθανότερο είναι να στείλεις τα Bitcoins και οι χάκερ να μη σου στείλουν ποτέ το κλειδί για να ξεκλειδώσεις τα κρυπτογραφημένα αρχεία». Η ENISA εκτιμά ότι το 45% των οργανισμών που πέφτουν θύματα εκβιασμών πληρώνουν τελικά τα λύτρα. Περίπου οι μισοί όμως, εκτός από τα χρήματα, χάνουν και τα δεδομένα τους. Από έρευνα της Sophos πάντως προκύπτει ότι ένας στους τέσσερις IT managers εισηγείται την πληρωμή των λύτρων προκειμένου να διασωθούν τα κρυπτογραφημένα δεδομένα.
«Μία στις τρεις ελληνικές επιχειρήσεις έχει δεχθεί επίθεση»
Στη χώρα μας παρά την πληθώρα των ανάλογων επιθέσεων, ελάχιστα περιστατικά έχουν δημοσιοποιηθεί για ευνόητους λόγους, αλλά και επειδή οι μηχανισμοί άμυνας έχουν εξελιχθεί σε βαθμό που οι επιθέσεις να αντιμετωπίζονται κατά την εκδήλωσή τους – ή ακόμα και πριν από αυτή. Σύμφωνα με πληροφορίες μας, τις τελευταίες εβδομάδες έχουν εκδηλωθεί τρεις «σοβαρές» επιθέσεις τύπου ransomware: η πρώτη σε μεγάλη εταιρεία του διατροφικού κλάδου, η δεύτερη σε χρηματοοικονομικό φορέα και η τρίτη σε γνωστό κέντρο υποβοηθούμενης αναπαραγωγής. Οι επιθέσεις αυτές έρχονται να προστεθούν σε χτυπήματα που δέχθηκαν τους τελευταίους μήνες μεγάλο διαγνωστικό κέντρο, αλυσίδα σουπερμάρκετ αλλά και μεγάλη ναυτιλιακή εταιρεία.
Οπως αποκαλύπτει στο «Βήμα» σύμβουλος ασφαλείας που επιθυμεί να διατηρήσει την ανωνυμία του, σε αρκετές από αυτές τις υποθέσεις οι ιθύνοντες των επιχειρήσεων αποφάσισαν – «κάκιστα», όπως τονίζει – να καταβάλουν τα ζητούμενα λύτρα προκειμένου να ξεκλειδώσουν τα αρχεία τους. Μια υπόθεση που προκάλεσε αίσθηση ήταν το «κλείδωμα» του πληροφοριακού συστήματος της εταιρείας Vivartia τον Οκτώβριο του 2018, ενώ ακολούθησαν αρκετές ακόμα. Από μελέτη της Check Point προκύπτει ότι οι κυβερνοεπιθέσεις στη χώρα μας έχουν αυξηθεί κατά τουλάχιστον 52% μέσα στο 2021. Σύμφωνα με άλλη μελέτη της Pylones Hellas, μία στις τρεις ελληνικές επιχειρήσεις έχει δεχθεί αντίστοιχες επιθέσεις, ενώ το 10% αντιμετώπισε εν τέλει σοβαρό πρόβλημα από τις κυβερνοεπιθέσεις, που μεταφράζεται σε απώλειες δεδομένων και ζημιές στα συστήματά τους.
Γιατί χτυπούν τα νοσοκομεία
Από την έκθεση της ENISA προκύπτει ότι δύο στα τρία νοσοκομεία διεθνώς δέχθηκαν επίθεση τύπου ransomware το 2019, ενώ οι επιθέσεις πολλαπλασιάστηκαν κατά τη διάρκεια της πανδημίας. Νοσοκομεία, δομές υγείας και διαγνωστικά κέντρα δέχονται συχνά επιθέσεις τύπου ransomware το τελευταίο διάστημα. Μόνο στις ΗΠΑ, το 2020 καταγράφηκαν 560 επιθέσεις σε νοσοκομεία και υγειονομικές μονάδες. Οι χάκερ απαιτούσαν χιλιάδες ή και εκατομμύρια ευρώ προκειμένου να απελευθερώσουν τα πολύτιμα και άκρως ευαίσθητα ιατρικά δεδομένα. Σε αρκετές περιπτώσεις, τα αιτήματά τους ικανοποιήθηκαν. Εκτός από οικονομικό κόστος, ενδέχεται να στοιχίσουν και σε ανθρώπινες ζωές: Τον περασμένο Σεπτέμβριο μια επίθεση ransomware στο δίκτυο του Πανεπιστημιακού Νοσοκομείου στο Ντίσελντορφ είχε ως συνέπεια την υπολειτουργία της κλινικής και την ανακατεύθυνση των ασθενοφόρων σε άλλα νοσοκομεία. Κατά τη διάρκεια μιας από τις διακομιδές, μια 78χρονη, η οποία χρειαζόταν άμεση περίθαλψη λόγω ανευρύσματος, πέθανε καθ’ οδόν προς το νοσοκομείο του Βούπερταλ, περίπου 30 χιλιόμετρα από το Ντίσελντορφ.
«Ο κλάδος της Υγείας είναι αρκετά εκτεθειμένος, επομένως καθίσταται πιο ελκυστικός για τους χάκερ που εκτός από χρήμα επιδιώκουν και δόξα και την υστεροφημία τους» είπε στο «Βήμα» ο Νίκος Σίμος της Pylones Hellas, υπενθυμίζοντας ότι κλάδοι όπως ο τραπεζικός, ο ασφαλιστικός και ο βιομηχανικός δέχονται λιγότερες επιθέσεις, καθώς είναι καλύτερα προετοιμασμένοι.