Σχεδόν 24 ώρες είχαν περάσει από την κυβερνοεπίθεση που έπληξε πολυεθνικές εταιρείες θαλασσίων μεταφορών και πετρελαίου, το αεροδρόμιο του Κιέβου, ακόμη και τα ηλεκτρονικά συστήματα επιτήρησης του κατεστραμμένου πυρηνικού σταθμού στο Τσερνομπίλ, όταν στην Ελλάδα χτύπησε το τηλέφωνο της εταιρείας ανάκτησης δεδομένων Northwind. Τους είχαν καλέσει από χρηματιστηριακή εταιρεία που δραστηριοποιείται και στο εξωτερικό. Υποψιάζονταν ότι τους είχε χτυπήσει ο Petya, ο ίδιος ιός που είχε ήδη πλήξει δεκάδες στόχους σε άλλες χώρες.
Οπως λέει στην «Κ» ο Δημήτρης Αναστασιάδης, μηχανικός ανάκτησης δεδομένων στη Northwind που εκλήθη να αντιμετωπίσει το περιστατικό, το τηλεφώνημα έγινε το μεσημέρι της περασμένης Τετάρτης. «Απ’ ό,τι μου είπε το ίδιο το θύμα, κάποια στιγμή ο υπολογιστής άρχισε να σέρνεται και έβγαλε μήνυμα check disk. Το μήνυμα όμως ήταν παραπλανητικό», λέει. Εφόσον άφηνε τη διαδικασία να ολοκληρωθεί, υπήρχε ο κίνδυνος να κρυπτογραφηθούν όλα τα αρχεία του υπολογιστή του. Η συμβουλή ήταν ξεκάθαρη: να βγάλει αμέσως τον υπολογιστή από την πρίζα και να φέρει τον σκληρό δίσκο.
Στη συγκεκριμένη περίπτωση η αντίδραση ήταν άμεση, στην οθόνη του υπολογιστή δεν εμφανίστηκε το μήνυμα των εκβιαστών για ψηφιακά λύτρα και δεν χάθηκαν δεδομένα. Το συμβάν πάντως κρίνεται από τον κ. Αναστασιάδη ως τυχαίο. Οπως εξηγεί, αυτός ο υπολογιστής ήταν συνδεδεμένος μέσω VPN με τη Ρωσία (μία από τις βασικές χώρες που χτυπήθηκαν κατά την κυβερνοεπίθεση). Εξετάζεται το πώς δέχτηκε το κακόβουλο λογισμικό, δεν αποκλείεται πάντως σύμφωνα με μία εκδοχή να ανοίχτηκε ένα μολυσμένο αρχείο κειμένου που στάλθηκε μέσω email.
Εστω και διά της πλαγίας οδού, χωρίς να ολοκληρώσει τη δράση του, αυτή φαίνεται πως είναι η μοναδική εμφάνιση του Petya στην Ελλάδα. Σύμφωνα και με στελέχη της Δίωξης Ηλεκτρονικού Εγκλήματος με τα οποία επικοινώνησε η «Κ», επίσημα δεν έχει καταγραφεί επίθεση στη χώρα μας από αυτόν τον ιό.
Η ευρείας κλίμακας κυβερνοεπίθεση πάντως, που έπληξε άλλα κράτη την περασμένη Τρίτη, θύμισε σε μεγάλο βαθμό την ψηφιακή ομηρία που είχε εκδηλωθεί τον Μάιο από τον ιό WannaCry. Τότε περισσότερα από 200.000 περιστατικά είχαν καταγραφεί διεθνώς. Στην Ελλάδα είχαν μολυνθεί 55 υπολογιστές του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης. Οι δράστες τότε κρυπτογραφούσαν τα αρχεία των υπολογιστών και ζητούσαν λύτρα στο ψηφιακό νόμισμα bitcoin για να τα ξεκλειδώσουν. Τέσσερις ώρες και 31 λεπτά μετά την εκδήλωση της επίθεσης τότε, οι τεχνικοί του Κέντρου Ηλεκτρονικής Διακυβέρνησης του ΑΠΘ ενημέρωναν τους χρήστες του δικτύου ότι ο άμεσος κίνδυνος είχε εξαλειφθεί.
Για τις επιθέσεις του WannaCry φάνηκε ότι χρησιμοποιήθηκαν εργαλεία που είχαν αναπτυχθεί από την Υπηρεσία Εθνικής Ασφαλείας των ΗΠΑ (NSA) και διέρρευσαν τον Απρίλιο από την ομάδα χάκερ Shadow Brokers. Κάτι αντίστοιχο φαίνεται ότι συνέβη και με την πρόσφατη κυβερνοεπίθεση. Οπως διαπιστώθηκε, ο νέος ιός είχε δανειστεί κάποια στοιχεία από τον κώδικα του Petya που ήταν ήδη γνωστός από παλιότερα, γι’ αυτό και κάποιες εταιρείες ασφαλείας τον αποκαλούν πλέον NotPetya.
Στόχος των δραστών, πάντως, φαίνεται ότι δεν ήταν τα χρήματα, αλλά η πρόκληση πανικού. Ο τρόπος πληρωμής που ακολούθησαν κρίθηκε ερασιτεχνικός. Χρησιμοποιούσαν μία μόνο διεύθυνση email για επικοινωνία με τα θύματα, η οποία έκλεισε από τον πάροχο. Ακόμη και εάν κάποιος κατέβαλλε τα λύτρα, θα ήταν αδύνατο να λάβει το κλειδί αποκρυπτογράφησης.