ΚΟΙΝΩΝΙΑ

Σημειώματα για ψηφιακά λύτρα με διορία επτά ημερών

gkka_20_1512_page_1_image_0002

Τα χτυπήματα φαίνεται ότι ήταν τυφλά. Στο παρελθόν, στη δίνη παγκοσμίων κυβερνοεπιθέσεων έχουν παρασυρθεί και απρόσμενοι, μεμονωμένοι στόχοι στην Ελλάδα. Ενας ταξιδιωτικός πράκτορας, μία μεταφραστική υπηρεσία, ένα κέντρο διά βίου μάθησης και ένα μικροβιολογικό εργαστήριο είχαν υπολογιστές που προσβλήθηκαν από το κακόβουλο λογισμικό SamSam. Μια μικρή διαδικτυακή εταιρεία στη Βόρεια Ελλάδα είδε τα αρχεία της να κρυπτογραφούνται από τον ιό Gandcrab και μία επιχείρηση από τον κλάδο γεωργικών και κτηνοτροφικών εγκαταστάσεων στη Θεσσαλονίκη τέθηκε υπό «ψηφιακή ομηρία» από το λογισμικό Crypt0L0cker. Μέχρι και σήμερα οι θύτες παρόμοιων ενεργειών εντοπίζονταν από το FBI και τη Europol στο Ιράν ή στη Ρουμανία. Ωσπου με αφετηρία την 22α Σεπτεμβρίου αναρτήθηκε στις οθόνες ορισμένων υπολογιστών στη χώρα μας ένα σημείωμα που απαιτούσε ψηφιακά λύτρα, γραμμένο σε άπταιστα ελληνικά. 

Το πρώτο κύμα κυβερνοεπιθέσεων με το κακόβουλο λογισμικό AEPCrypt κράτησε περίπου δέκα ημέρες. Στα γραφεία της εταιρείας ανάκτησης δεδομένων Northwind σε Αθήνα και Θεσσαλονίκη εμφανίστηκαν 12 πολίτες με σκληρούς δίσκους που είχαν μολυνθεί. Οι δράστες υποστήριζαν ότι είχαν κλειδώσει όλα τα αρχεία και ζητούσαν 200 ευρώ (η πληρωμή θα γινόταν στο ψηφιακό νόμισμα bitcoin) για να τα αποκρυπτογραφήσουν. Οπως αποδείχθηκε, όμως, δεν είχαν προξενήσει σημαντική ζημιά. Ολα τα δεδομένα ανακτήθηκαν. Οι τεχνικοί διαπίστωσαν ότι τα αρχεία δεν είχαν κρυπτογραφηθεί, απλά είχαν μεταφερθεί σε κάποιον φάκελο που ήταν κρυφός από τους χρήστες των υπολογιστών.

Ο Δημήτρης Παπαμιχαήλ, υπεύθυνος για την προστασία και ανάκτηση δεδομένων στη Northwind, λέει στην «Κ» ότι αυτή έμοιαζε να ήταν μια δοκιμαστική περίοδος για τους επίδοξους κυβερνοεκβιαστές. Ακολούθησαν, όμως, άλλες δύο εβδομάδες νέων επιθέσεων με μια εξελιγμένη εκδοχή του ίδιου κακόβουλου λογισμικού. Οι δράστες μόλυναν τουλάχιστον 21 υπολογιστές, αυτή τη φορά όντως κρυπτογράφησαν τα αρχεία και ανέβασαν τις απαιτήσεις τους στα 400 ευρώ. Ο κ. Παπαμιχαήλ εκτιμά ότι το AEPCrypt, λόγω της γλώσσας και των κρουσμάτων που εντοπίζονται μέχρι στιγμής κυρίως στη χώρα μας, μπορεί να είναι ελληνικό Ransomware (έτσι αποκαλούνται τα συγκεκριμένα κακόβουλα λογισμικά).

«Προσοχή! Το πρόγραμμα και το προσωπικό κλειδί αποκρυπτογράφησης είναι διαθέσιμα για επτά και μόνο ημέρες. Μετά την πάροδο των επτά ημερών καμία συναλλαγή δεν θα ληφθεί υπ’ όψιν και τα αρχεία σας θα μείνουν για πάντα κλειδωμένα» ανέφερε, μεταξύ άλλων, το σημείωμα που έλαβαν οι κάτοχοι των μολυσμένων υπολογιστών στην Ελλάδα. Δεν είναι ακόμη εφικτή η ανάκτηση του συνόλου των αρχείων τους καθώς δεν υπάρχει ακόμη διαθέσιμο το σχετικό κλειδί αποκρυπτογράφησης.

Ο κ. Παπαμιχαήλ παρατηρεί ότι το επίμαχο λογισμικό ήταν παραλλαγή του ιού Matrix, με διαφοροποιήσεις στον κώδικα σε επιμέρους σημεία. Οποιος ή όποιοι κρύβονται πίσω από αυτές τις επιθέσεις φαίνεται ότι ακολουθούν μια δοκιμασμένη συνταγή.

Νούμερο ένα απειλή

Σύμφωνα με την ετήσια έκθεση της Europol για το κυβερνοέγκλημα, που δόθηκε πρόσφατα στη δημοσιότητα, η «ψηφιακή ομηρία» αποτέλεσε και το 2019 τη μεγαλύτερη διαδικτυακή απειλή στην Ευρώπη. Η επιμόλυνση των υπολογιστών συνήθως γίνεται με αποστολή παραπλανητικών email. Οι δράστες παριστάνουν ότι στέλνουν κάποια απόδειξη ή τιμολόγιο και εφόσον ο παραλήπτης ανοίξει το συνημμένο έγγραφο εγκαθίσταται ο ιός. Τα αρχεία του υπολογιστή κρυπτογραφούνται, αποκτούν περίεργες επεκτάσεις και καθίστανται μη λειτουργικά. Είναι αδύνατο για τους κατόχους τους να τα ανοίξουν και να τα χρησιμοποιήσουν ξανά. Οι κυβερνοεκβιαστές ζητούν λύτρα σε μορφή ψηφιακού νομίσματος για να αποδεσμεύσουν τα κλειδωμένα αρχεία.

Η Δίωξη Ηλεκτρονικού Εγκλήματος και η Europol συνιστούν στα θύματα να μην ενδίδουν στις πιέσεις και να μην καταβάλουν λύτρα, καθώς κανείς δεν τους εγγυάται ότι οι χάκερ θα τηρήσουν τον λόγο τους. Σύμφωνα με έρευνα της Northwind σε θύματα του ιού Dharma στην Ελλάδα, το 19,6% πλήρωσε τα λύτρα αλλά δεν έλαβε ποτέ τα δεδομένα του.

Στόχος οι μικρές πόλεις

Στην ετήσια έκθεσή της για το κυβερνοέγκλημα, η Europol εστιάζει στις μαζικές επιθέσεις με Ransomware που έγιναν το καλοκαίρι στις υποδομές επαρχιακών πόλεων των ΗΠΑ, προειδοποιώντας ότι αντίστοιχη απειλή μπορεί να αντιμετωπίσουν στο μέλλον και ευρωπαϊκοί στόχοι εφόσον δεν οχυρωθούν κατάλληλα.

Τον περασμένο Αύγουστο 22 πόλεις στην πολιτεία του Τέξας παρέλυσαν από συντονισμένες επιθέσεις κυβερνοεκβιαστών. Σε αυτές τις περιπτώσεις η επιλογή των θυμάτων δεν φαίνεται πως ήταν τυχαία. Στις μικρές αμερικανικές πόλεις με τον χαμηλό προϋπολογισμό οι δημόσιες υπηρεσίες είχαν απαρχαιωμένα ηλεκτρονικά συστήματα, σπανίως κρατούσαν αντίγραφα των αρχείων τους και δεν αναβάθμιζαν τακτικά τα λογισμικά ασφαλείας. Ηταν εκτεθειμένες. Σε μία από αυτές τέθηκε εκτός λειτουργίας το δίκτυο της δημόσιας βιβλιοθήκης, αλλού οι αστυνομικοί δεν είχαν δυνατότητα πρόσβασης στο ηλεκτρονικό σύστημα των κλήσεων για τροχαίες παραβάσεις, ενώ σε αρκετά μέρη ήταν αδύνατο για δημοσίους υπαλλήλους να χρησιμοποιήσουν τα email τους.

Οι θύτες αυτών των πρόσφατων επιθέσεων δεν έχουν εντοπιστεί. Τον Σεπτέμβριο του 2018 μία Ρουμάνα υπήκοος ομολόγησε, μετά την έκδοσή της στις ΗΠΑ, την ενοχή της σε μια παρόμοια υπόθεση ψηφιακής ομηρίας. Σύμφωνα με τις αμερικανικές αρχές, η 28χρονη μαζί με άλλους δύο συμπατριώτες της είχε καταφέρει να αποκτήσει πρόσβαση σε 126 υπολογιστές της Μητροπολιτικής Αστυνομίας της Ουάσιγκτον, οι οποίοι συνδέονταν με δίκτυο καμερών ασφαλείας. Ζητούσαν λύτρα ύψους 60.800 δολαρίων σε bitcoins για να αποδεσμεύσουν τους υπολογιστές. Ετοιμάζονταν, σύμφωνα με το κατηγορητήριο, για παρόμοιες επιθέσεις σε 179.616 υπολογιστές προτού οι αμερικανικές αρχές φτάσουν στα ίχνη τους και ανατρέψουν τα σχέδιά τους.