Τον Νοέμβριο του 2021, ο Ντένις Ντουμπνίκοφ ταξίδεψε στο Μεξικό για διακοπές, όταν όμως έφτασε στο αεροδρόμιο του απαγορεύτηκε η είσοδος στη χώρα. Αντί να επιβιβαστεί σε αεροπλάνο με προορισμό την πατρίδα του, παρότι υπήρχαν διαθέσιμες πτήσεις, στάλθηκε στο Αμστερνταμ, όπου μόλις αποβιβάστηκε συνελήφθη από τις ολλανδικές αρχές. Εις βάρος του εκκρεμούσε αμερικανικό ένταλμα για αδικήματα στον κυβερνοχώρο. Αυτή την εβδομάδα ο 29χρονος Ρώσος εκδόθηκε στις ΗΠΑ και εμφανίστηκε σε δικαστήριο του Πόρτλαντ. Κατηγορείται για ξέπλυμα χρήματος, από τα λύτρα που εισέπρατταν κυβερνοεγκληματίες με το λογισμικό ψηφιακής ομηρίας Ryuk.
Η δίκη του Ντουμπνίκοφ έχει οριστεί για τις 4 Οκτωβρίου. Ο ίδιος υποστηρίζει ότι είναι αθώος και ο δικηγόρος του στις ΗΠΑ είχε περιγράψει ως αρπαγή τη διαδικασία που είχε ακολουθηθεί με την αρχική μεταφορά του εκζητούμενου στην Ολλανδία. Σύμφωνα με το αμερικανικό κατηγορητήριο, ο 29χρονος φέρεται να ξέπλυνε 400.000 δολάρια το 2019, ενώ εκτιμάται ότι τα συνολικά κέρδη από το συγκεκριμένο ransomware ξεπερνούν τα 70 εκατομμύρια δολάρια. Εάν καταδικαστεί είναι αντιμέτωπος με ποινή κάθειρξης 20 ετών.
Το Ryuk και παραλλαγές
Τα θύματα του Ryuk κυρίως προέκυπταν από στοχευμένες επιθέσεις. Στους πληγέντες συγκαταλέγονται κατά βάσιν δημοτικές αρχές και νοσοκομεία στις ΗΠΑ, που συχνά παρέλυαν επί εβδομάδες μετά την κρυπτογράφηση των ηλεκτρονικών αρχείων τους. Παραλλαγές αυτού του κακόβουλου λογισμικού έχουν μολύνει στόχους και σε άλλα κράτη, ενώ ενδέχεται ίχνη του να είχαν εντοπιστεί και στην Ελλάδα.
Οποτε τα θύματα είναι ιδιώτες ή μικρές επιχειρήσεις, εκτιμάται ότι έχουν παρασυρθεί τυχαία και όχι στοχευμένα στη δίνη κάποιας κυβερνοεπίθεσης.
Τον Ιανουάριο του 2020, έφτασαν στα γραφεία της εταιρείας ανάκτησης δεδομένων Northwind στη Θεσσαλονίκη οι σκληροί δίσκοι μιας εταιρείας διανομής, η οποία δραστηριοποιείται στη Βόρεια Ελλάδα. Τα αρχεία τους είχαν κρυπτογραφηθεί και τεθεί υπό ψηφιακή ομηρία. Οι άγνωστοι δράστες ζητούσαν να πληρωθούν σε κάποιο κρυπτονόμισμα για να τα απελευθερώσουν. Παρότι στο σημείωμα των λύτρων που είχαν αφήσει εμφανίζονταν με άλλη επωνυμία, ο μηχανικός ανάκτησης δεδομένων Δημήτρης Λούλης παρατήρησε ότι η υπογραφή στα κρυπτογραφημένα αρχεία και το email που χρησιμοποιούσαν παρέπεμπαν σε κάποιους που είχαν χτυπήσει στο παρελθόν με το Ryuk. Δεν είναι γνωστό πώς η συγκεκριμένη ελληνική εταιρεία έπεσε θύμα. Οπως λέει ο ίδιος στην «Κ», δεν αποκλείεται να πρόκειται για κάποια συνεργασία μεταξύ διαφορετικών ομάδων κυβερνοεκβιαστών.
Πολλαπλάσια περιστατικά
Το 2015 είχαν κληθεί να αντιμετωπίσουν μόλις 30 περιστατικά ransomware, το 2020 αυτά έφτασαν τα 380 και πέρυσι ξεπέρασαν τα 500. Εδώ και τέσσερα χρόνια είναι μέλη της κοινοπραξίας No More Ransom της Europol, στην ιστοσελίδα της οποίας (nomoreransom.org) προσφέρονται διαθέσιμα κλειδιά αποκρυπτογράφησης. Εκτιμάται ότι μέσω αυτής της κοινότητας έχει αποτραπεί η πληρωμή λύτρων άνω του ενός δισεκατομμυρίου ευρώ.
Το No More Ransom δημιουργήθηκε το 2016, από τη Europol σε συνεργασία με τις αστυνομικές αρχές της Ολλανδίας και τις εταιρείες Kaspersky και McAfee. Σε αυτή την κοινότητα συμμετέχουν σήμερα 188 φορείς του δημόσιου και ιδιωτικού τομέα από διάφορες χώρες, ανάμεσά τους και η Δίωξη Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας. Προσφέρονται 136 δωρεάν εργαλεία αποκρυπτογράφησης για 165 παραλλαγές ransomware στα οποία περιλαμβάνονται μεταξύ άλλων τα Gandcrab, REvil/Sodinokibi, Maze/Egregor/Sekhmet και πολλά ακόμη.
Πάγια συμβουλή των Αρχών διεθνώς, καθώς και της Δίωξης Ηλεκτρονικού Εγκλήματος, είναι να αποφεύγονται η διαπραγμάτευση με τους κυβερνοεγκληματίες και η καταβολή λύτρων, καθώς κανείς δεν μπορεί να εγγυηθεί ότι θα τηρήσουν τον λόγο τους και θα αποδεσμεύσουν τα αρχεία. Στο παρελθόν, ο κ. Λούλης έχει διαπιστώσει περιπτώσεις που ενώ στάλθηκε το κλειδί αποκρυπτογράφησης από τον κακοποιό, το λογισμικό ήταν τόσο κακογραμμένο που τα δεδομένα ήταν μη λειτουργικά. Σε άλλη περίπτωση, κακοποιός που είχε καταφέρει να αποκτήσει πρόσβαση στα αρχεία εκβίαζε για περισσότερα χρήματα, προκειμένου να μην τα διαρρεύσει στο Διαδίκτυο.
Απώλειες εκατομμυρίων δολαρίων στις ΗΠΑ
Δεν μπορεί να εκτιμηθεί με ακρίβεια πόσα είναι τα θύματα κυβερνοεπιθέσεων με ransomware, καθώς αρκετές επιχειρήσεις διεθνώς επιλέγουν να μη δημοσιοποιούν τις υποθέσεις τους για να μη φανεί ότι είναι τρωτά τα ηλεκτρονικά συστήματά τους ή ότι δεν διαθέτουν επαρκείς μηχανισμούς ασφαλείας. Ωστόσο, τα δεδομένα που έχουν καταγραφεί στην πιο πρόσφατη έκθεση του κέντρου καταγγελιών διαδικτυακού εγκλήματος του FBI (IC3) δείχνουν ότι οι ψηφιακές ομηρίες παραμένουν μια ανερχόμενη απειλή. Το 2021 το IC3 δέχθηκε 3.729 καταγγελίες για επιθέσεις με ransomware, εκ των οποίων οι 649 προέρχονταν από φορείς που συγκαταλέγονται στις κρίσιμες υποδομές. Το 2020 οι αντίστοιχες καταγγελίες που είχε καταγράψει δεν ξεπερνούσαν τις 2.474. Αντίστοιχα, πέρυσι οι εκτιμώμενες χρηματικές απώλειες από ψηφιακές ομηρίες στις ΗΠΑ ξεπέρασαν τα 49,2 εκατ. δολάρια, ενώ το 2020 το αντίστοιχο ποσό ήταν 29 εκατ. δολάρια.Τα τελευταία δύο χρόνια έχουν γίνει γνωστές στη χώρα μας υποθέσεις ψηφιακών ομηριών με θύματα εταιρείες και φορείς του ευρύτερου Δημοσίου. Το πιο πρόσφατο χτύπημα ήταν αυτό στα ΕΛΤΑ τον περασμένο Μάρτιο.
Είχε προηγηθεί τον Ιανουάριο του 2022 η μόλυνση σέρβερ που στεγάζεται στις εγκαταστάσεις της 1ης Υγειονομικής Περιφέρειας Αττικής και εξυπηρετούσε το λογιστικό και διοικητικό σύστημα των νοσοκομείων «Σωτηρία» και «Ασκληπιείο» Βούλας, με αποτέλεσμα να προκληθούν προβλήματα για κάποιες ημέρες στην ηλεκτρονική τιμολόγηση και σε υπηρεσίες διοικητικού χαρακτήρα. Μέχρι την αποκατάσταση του δικτύου ορισμένες λειτουργίες έπρεπε να γίνουν χειρόγραφα. Τον Ιούλιο του 2021 ο Δήμος Θεσσαλονίκης δοκιμάστηκε από παρόμοιου τύπου κυβερνοεπίθεση και έστησε από την αρχή όλο το δίκτυό του με την αγορά νέων υπολογιστών και τον καθαρισμό άλλων τερματικών. Τον Φεβρουάριο του 2021 στόχος κυβερνοεκβιαστών είχαν γίνει τα Ελληνικά Αμυντικά Συστήματα. Κρυπτογραφήθηκαν οικονομικά και νομικά αρχεία, συμβάσεις και αρχεία αλληλογραφίας. Η επίθεση έπληξε 150 υπολογιστές. Επί έναν μήνα νωρίτερα στέλνονταν παραπλανητικά emails, έως ότου κάποιος υπάλληλος φέρεται να πάτησε το μολυσμένο αρχείο.
Παρέλυσαν πόλεις, νοσοκομεία και άλλες κρίσιμες υποδομές
Πόσο παραλυτικές μπορεί να είναι οι επιπτώσεις μιας ψηφιακής ομηρίας; Το 2019, η αμερικανική πόλη Λέικ Σίτι, με πληθυσμό 12.000 κατοίκους, δέχτηκε επίθεση με το ransomware Ryuk. Οι άγνωστοι δράστες κατάφεραν να κλειδώσουν στον κυβερνοχώρο πρακτικά του δημοτικού συμβουλίου και άλλα σημαντικά αρχεία απαιτώντας 460.000 δολάρια σε λύτρα. Το ίδιο κακόβουλο λογισμικό είχε πλήξει, ένα χρόνο νωρίτερα, μια εταιρεία ύδρευσης στη Βόρεια Καρολίνα. Περίπου 16 terabytes δεδομένων κρυπτογραφήθηκαν και η καθημερινότητα στη μικρή πόλη άλλαξε ριζικά. Πλέον οι συναλλαγές των πολιτών με τις δημοτικές υπηρεσίες γίνονταν μόνο με φυσική παρουσία, με τη χρήση μετρητών και με χειρόγραφες αποδείξεις. Δεν υπήρχε δυνατότητα για τηλεδιασκέψεις ή ανταλλαγή ηλεκτρονικής αλληλογραφίας μεταξύ των δημοτικών υπαλλήλων, το νέο σύστημα αντιγράφων ασφαλείας των αρχείων θα κόστιζε στην τοπική αυτοδιοίκηση 60.000 δολάρια τον χρόνο, ενώ ακόμη και η διαδικασία της ανάκτησης των δεδομένων αποδείχτηκε δύσκολη και χρονοβόρα υπόθεση.
Μια ασφαλιστική εταιρεία διαπραγματεύτηκε για λογαριασμό της τοπικής αρχής το ύψος των λύτρων. Αφού πληρώθηκαν οι κακοποιοί, στάλθηκε το κλειδί αποκρυπτογράφησης και ξεκίνησε η προσπάθεια απελευθέρωσής τους. Ωστόσο, για κάθε terabyte χρειάζονταν περίπου 12 ώρες μέχρι την πλήρη ανάκτηση. Ενα μήνα μετά την κυβερνοεπίθεση υπήρχαν ακόμη δεδομένα που δεν είχαν αποδεσμευθεί. Στην πορεία, η ιεράρχηση των στόχων του ransomware Ryuk επί αμερικανικού εδάφους φαίνεται ότι άλλαξε, με τους κυβερνοεγκληματίες να στρέφονται κυρίως κατά του εθνικού συστήματος υγείας των ΗΠΑ. Εκτιμάται ότι το 2020 πίσω από το 75% των επιθέσεων σε αμερικανικά νοσηλευτικά ιδρύματα βρισκόταν το συγκεκριμένο κακόβουλο λογισμικό. Νοσοκομείο του Βερμόντ, που τέθηκε υπό ψηφιακή ομηρία τον Οκτώβριο του 2020, χρειάστηκε σχεδόν ένα μήνα για να αποκαταστήσει το ηλεκτρονικό του σύστημα με τα ιατρικά ιστορικά ασθενών. Οσο καιρό δεν είχε πρόσβαση στα αρχεία, το ιατρικό προσωπικό προσπαθούσε από μνήμης να συνθέσει τα θεραπευτικά πρωτόκολλα ασθενών που πραγματοποιούσαν χημειοθεραπείες. «Υπάρχει πολύ κακό στον κόσμο. Οποιος ενορχήστρωσε αυτή την επίθεση ήξερε πόσο καταστροφική θα είναι», δήλωσε μια νοσηλεύτρια στους New York Times.
Τον Φεβρουάριο του 2021, η γαλλική εθνική υπηρεσία κυβερνοασφάλειας ANSSI συνέταξε μια έκθεση 21 σελίδων αποκλειστικά για το ransomware Ryuk, καταγράφοντας την πιθανή προέλευσή του και τα χαρακτηριστικά του. Σε αυτή αναφέρεται ότι το συγκεκριμένο κακόβουλο λογισμικό ανιχνεύθηκε για πρώτη φορά τον Αύγουστο του 2018. Οι πρώτες εκτιμήσεις ως προς την εθνικότητα των δραστών παρέπεμπαν στη Βόρεια Κορέα, ωστόσο στην πορεία αυτή η πιθανότητα αποκλείστηκε. Αργότερα συνδέθηκε με ομάδες κυβερνοεγκληματιών στη Ρωσία.