Στις 7:30 το πρωί της Πέμπτης ένας τεχνικός διαπίστωσε μια περίεργη δυσλειτουργία στα ηλεκτρονικά συστήματα του Δήμου Θεσσαλονίκης. Ένας γρήγορος, πιο ενδελεχής έλεγχος αποκάλυψε ότι κάποια αρχεία είχαν κρυπτογραφηθεί.
Άμεσα απομονώθηκαν όλες οι εφαρμογές που φαινόταν να είχαν μείνει αλώβητες, για να μην υπάρξει μεγαλύτερη διασπορά. Ο δήμος είχε δεχτεί κυβερνοεπίθεση. Από τα μεσάνυχτα της Τετάρτης ένα κακόβουλο λογισμικό είχε παρεισφρήσει στο δίκτυό του θέτοντας υπό ομηρία ηλεκτρονικά αρχεία.
Όπως συμβαίνει σε αυτές τις επιθέσεις ransomware, οι άγνωστοι δράστες απαιτούσαν λύτρα σε κάποιο κρυπτονόμισμα για να στείλουν το κλειδί αποκρυπτογράφησης.
«Δεν πρόκειται να πληρώσουμε», λέει στην «Κ» ο Γιώργος Αβαρλής, αντιδήμαρχος Επιχειρησιακού Σχεδιασμού, Ηλεκτρονικής Διακυβέρνησης και Μεταναστευτικής Πολιτικής στη Θεσσαλονίκη, τονίζοντας ότι οι αρμόδιες κρατικές αρχές συνέστησαν -όπως σε κάθε παρόμοιο περιστατικό- να μη γίνει καμία διαπραγμάτευση. «Η εικόνα που έχουμε είναι ότι έχουν κρυπτογραφηθεί αρχεία που αφορούν κυρίως τη διακίνηση εγγράφων. Δώσαμε εντολή να διακοπούν όλες οι επικοινωνίες εσωτερικά και εξωτερικά μέσω των ηλεκτρονικών συστημάτων του δήμου, έπειτα και από σχετική υπόδειξη της Δίωξης Ηλεκτρονικού Εγκλήματος».
Σύμφωνα με πληροφορίες της «Κ», στον Δήμο Θεσσαλονίκης φέρεται να υπήρχαν αντίγραφα ασφαλείας τουλάχιστον μίας εβδομάδας, οπότε σε πρώτη φάση κρίθηκε από τους αρμοδίους ότι δεν χρειάστηκε να γίνει κάποια παρέμβαση ανάκτησης δεδομένων.
Μετά τον εντοπισμό του κακόβουλου λογισμικού γίνονταν ενέργειες καθαρισμού των ηλεκτρονικών υπολογιστών και επαναδημιουργίας του δικτύου, του λογισμικού και των υποδομών σε συνεργασία του δήμου με εταιρεία που τον υποστηρίζει σε θέματα κυβερνοασφάλειας. Μέχρι την ολοκλήρωση αυτής της διαδικασίας οι υπάλληλοι του δήμου δεν είχαν και χτες πρόσβαση στα email τους.
Ο δήμαρχος Θεσσαλονίκης, Κωνσταντίνος Ζέρβας, έχει δηλώσει ότι πολλές υπηρεσίες όπως τα ληξιαρχεία είναι καλυμμένες λόγω της συνεργασίας τους με άλλους φορείς του Δημοσίου.
Ο τρόπος μόλυνσης με το κακόβουλο λογισμικό δεν έχει ακόμη γίνει γνωστός, ενώ το μήνυμα που εμφανίζεται από τους δράστες στα κρυπτογραφημένα αρχεία φέρεται να είναι «Θεσσαλονίκη, την έχετε πατήσει».
Σε αυτές τις περιπτώσεις πάντως αρκεί κάποιος χρήστης του δικτύου να έχει λάβει κάποιο παραπλανητικό email στο οποίο έχει επισυναφθεί το κακόβουλο λογισμικό και εν αγνοία του να κατεβάσει το μολυσμένο αρχείο.
Οπως εξηγεί ο κ. Αβαρλής το ένα τρίτο των υπαλλήλων του δήμου εργάζονται λόγω πανδημίας με τηλεργασία οπότε θεωρητικά θα μπορούσε να προκύψει κάποιο κενό ασφαλείας. Το λογισμικό με το οποίο μολύνθηκε το δίκτυο του Δήμου Θεσσαλονίκης φέρεται να είναι ενεργό από τον περασμένο Μάιο. Ο δήμος κατέθεσε μήνυση και το συμβάν ερευνάται.
Επιθέσεις με ransomware
Τα τελευταία χρόνια είναι ιδιαίτερα δημοφιλείς οι ψηφιακές επιθέσεις με ransomware. Η πιο εμβληματική πρόσφατη επίθεση αυτού του τύπου συνέβη στις 7 Μαΐου στις ΗΠΑ, στην εταιρεία αγωγών καυσίμων Colonial Pipeline.
Το FBI απέδωσε εκείνη την επίθεση στην ομάδα χάκερ DarkSide, η οποία φέρεται να σχετίζεται με τη Ρωσία. Σε μήνυμά τους πάντως οι δράστες υποστήριξαν ότι δεν εκπροσωπούν κάποιο κράτος και δεν έχουν γεωπολιτικά κίνητρα, ενώ και η ρωσική κυβέρνηση είχε αρνηθεί οποιαδήποτε σχέση.
Την τελευταία τετραετία, όπως είχε διαπιστώσει η «Κ», στη δίνη αντίστοιχων παγκοσμίων κυβερνοεπιθέσεων έχουν παρασυρθεί αρκετοί μεμονωμένοι στόχοι στην Ελλάδα όπως μία μεταφραστική υπηρεσία, ένα κέντρο διά βίου μάθησης και ένα μικροβιολογικό εργαστήριο που προσβλήθηκαν από το κακόβουλο λογισμικό SamSam. Τα αρχεία μιας μικρής διαδικτυακής εταιρείας στη Βόρεια Ελλάδα κρυπτογραφήθηκαν από τον ιό Gandcrab και μία επιχείρηση από τον κλάδο γεωργικών και κτηνοτροφικών εγκαταστάσεων στη Θεσσαλονίκη είχε τεθεί υπό ψηφιακή ομηρία από το λογισμικό Crypt0L0cker.
Ένα από τα πρώτα χτυπήματα που καταγράφηκαν στη χώρα μας και αντιμετωπίστηκε άμεσα χωρίς να προκληθούν σημαντικές επιπτώσεις, συνέβη τον Μάιο του 2017 σε υπολογιστές του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης.
Το Κέντρο Ηλεκτρονικής Διακυβέρνησης του πανεπιστημίου εντόπισε εκείνη την ημέρα ότι συνολικά 55 υπολογιστές είχαν μολυνθεί (οι 45 εκ των οποίων βρίσκονταν σε νησίδες) και αρχεία τους κρυπτογραφήθηκαν από τον δημοφιλή τότε ιό WannaCry.
Μέσα σε 4,5 ώρες από την εκδήλωση της επίθεσης στο πανεπιστήμιο, ο άμεσος κίνδυνος είχε εξαλειφθεί μετά τις παρεμβάσεις των αρμοδίων.