Πρώτα επιτέθηκαν στις αρχές του 2016. Κάποιος από τους 500 υπαλλήλους εταιρείας με έδρα την Αθήνα κατέβασε ένα αρχείο που δεν έπρεπε. Η εισβολή έγινε αντιληπτή όταν συνάδελφός του διαπίστωσε ότι δεν μπορούσε να ανοίξει κείμενα στο Word. Οι τεχνικοί της εταιρείας αποσυνέδεσαν τους υπολογιστές από το Διαδίκτυο και περιόρισαν τη διασπορά του ιού. 

Λίγους μήνες αργότερα, η ίδια εταιρεία στοχοποιήθηκε ξανά. Υπάλληλος του λογιστηρίου έλαβε e-mail που ζητούσε στα αγγλικά την άμεση εξόφληση τιμολογίου. Στο αρχείο όμως που είχε επισυναφθεί κρυβόταν ένα επικίνδυνο λογισμικό. Αποστολή του ήταν να κλειδώσει προγράμματα και να απαιτήσει ψηφιακά λύτρα για την απελευθέρωσή τους.

Και στις δύο περιπτώσεις η άμεση αντίδραση των τεχνικών της εταιρείας απέτρεψε την «απαγωγή». Αλλοι όμως δεν στάθηκαν το ίδιο τυχεροί. Οπως έχει γίνει γνωστό στην «Κ», ελληνική εταιρεία αναγκάστηκε να πληρώσει ψηφιακά λύτρα όταν μολύνθηκε υπολογιστής στελέχους της κατά τη διάρκεια ταξιδιού. Δεν είχαν κρατηθεί αντίγραφα ασφαλείας (backup) και η εταιρεία έκρινε ότι τα κλειδωμένα αρχεία της ήταν ιδιαίτερα σημαντικά και έπρεπε να ανακτηθούν. Αντίστοιχα, εμπορική επιχείρηση κλήθηκε να πληρώσει 7.000 ευρώ σε ψηφιακά λύτρα. Το κακόβουλο λογισμικό είχε εγκατασταθεί στους υπολογιστές της όταν κάποιος υπάλληλος κατέβασε αρχείο από ιστοσελίδα πορνογραφικού περιεχομένου.

Οι επιθέσεις αυτού του τύπου (με κακόβουλο λογισμικό που αποκαλείται Ransomware) λαμβάνουν ανησυχητικές διαστάσεις στην Ελλάδα, όπως αναφέρουν στην «Κ» ειδικοί στον χώρο της ασφάλειας δικτύων. «Υπάρχει μεγάλη έξαρση. Αρκετές εταιρείες στον τομέα της χονδρικής πώλησης έχουν πληγεί. Το τελευταίο τετράμηνο έχουμε πάνω από 15 σχετικά περιστατικά και σε ξενοδοχειακές μονάδες σε Κρήτη, Ρόδο, Κέρκυρα», λέει ο Δημήτρης Παπαμιχαήλ, υπεύθυνος για την προστασία και ανάκτηση δεδομένων στην εταιρεία Northwind.

Ενδεικτικά, τον Μάρτιο η εταιρεία στην οποία εργάζεται αντιμετώπισε 292 υποθέσεις Ransomware στην Ελλάδα, ενώ τον ίδιο μήνα πέρυσι κλήθηκε να δράσει σε 73 αντίστοιχα περιστατικά. Παρόμοιες επιθέσεις έχουν στραφεί και κατά δημοσίων φορέων και σύμφωνα με πληροφορίες της «Κ» τουλάχιστον σε μία περίπτωση πληρώθηκαν λύτρα.

Οι στόχοι των δραστών

Στη λίστα των πληγέντων περιλαμβάνονται συμβολαιογράφοι, δικηγόροι, γιατροί και μηχανικοί. Οι κακόβουλοι χάκερ κλειδώνουν (κρυπτογραφούν) μεταξύ άλλων πελατολόγια, αρχεία με οικονομικές συναλλαγές, ή άλλα έγγραφα που μπορεί να έχουν ζωτική σημασία για τη δραστηριότητα μιας επιχείρησης ή ενός επαγγελματία. Συνήθως αρχεία του Office είναι ο κύριος στόχος, αλλά αυτό δεν σημαίνει ότι δεν μπορούν να πληγούν και άλλα προγράμματα, ή σκληροί δίσκοι που είναι συνδεδεμένοι με τον εκτεθειμένο υπολογιστή. Σε μήνυμά τους με οδηγίες καταβολής των λύτρων οι δράστες υπόσχονται ότι μετά την πληρωμή θα στείλουν το κλειδί αποκρυπτογράφησης για την απελευθέρωση των αρχείων.

Η έδρα των επιτιθέμενων δεν γίνεται πάντοτε γνωστή. Εχει διαπιστωθεί όμως –και από κρούσματα σε άλλες χώρες– ότι κάποιες επιθέσεις εκπορεύονται από σέρβερ στην Ουκρανία, τη Ρωσία ή την Κίνα. Τα λύτρα συνήθως ζητούνται σε bitcoin, τύπο ψηφιακού νομίσματος που μπορεί εύκολα να ξεπλυθεί στο Διαδίκτυο ώστε να μη φαίνεται η προέλευσή του. «Σε εταιρικό επίπεδο συνήθως οι δράστες ζητούν 5-10 bitcoins», λέει ο Κωνσταντίνος Βαβούσης από την εταιρεία Trust-IT που χειρίζεται υποθέσεις αντιμετώπισης Ransomware. Αυτή την περίοδο ένα bitcoin αντιστοιχεί σε λίγο περισσότερο από 1.100 ευρώ.

Δεν αποκλείεται πάντως οι πληγέντες να διαπραγματευτούν με τους δράστες, μια διαδικασία που μπορεί να διαρκέσει αρκετές εβδομάδες. Ο Νίκος Γεωργόπουλος από την εταιρεία ασφάλισης Cyberinsurance θυμάται σχετικό περιστατικό με επαγγελματία που κατάφερε να ρίξει τα 7 bitcoins σε 3 χρησιμοποιώντας ως επιχείρημα την οικονομική κρίση. Τελικά δεν πλήρωσε ούτε αυτό το ποσό, καθώς αποφάσισε να χρησιμοποιήσει παλιότερο backup. Ο κ. Γεωργόπουλος δραστηριοποιείται σε έναν σχετικά νέο κλάδο στην Ελλάδα, που μεταξύ άλλων παρέχει πρόσθετη ασφαλιστική κάλυψη σε εταιρείες για περιστατικά κυβερνοεκβιασμού.

«Οι Ransomware επιθέσεις εναντίον επιχειρήσεων αυξάνονται επειδή οι ψηφιακοί εγκληματίες γνωρίζουν ότι οι οργανισμοί είναι πιο πιθανό να πληρώσουν λύτρα», δηλώνει στην «Κ» ο David Emm, βασικός ερευνητής ασφαλείας της εταιρείας Kaspersky Lab. Η εταιρεία του συνεργάζεται με τη Europol στην πρωτοβουλία «No More Ransom» προσφέροντας δημοσίως κλειδιά αποκρυπτογράφησης ιών που χρησιμοποιούν οι δράστες. Ενα από αυτά τα κλειδιά χρησίμευσε και σε συμβολαιογράφο ελληνικού νησιού, τα αρχεία του οποίου είχαν κλειδωθεί και τελικά δεν χρειάστηκε να καταβάλει λύτρα. Μέσα στο 2017 πάντως χτυπήθηκε εταιρεία στη Βόρεια Ελλάδα που τελικά πλήρωσε 10 bitcoin στους δράστες καθώς δεν μπόρεσε να ανακτήσει τα δεδομένα της.

Θωράκιση απέναντι στις επιθέσεις

«Οι μικρομεσαίες επιχειρήσεις μπορεί να δίνουν έμφαση στην παραγωγή, αλλά και η ψηφιακή ασφάλεια είναι σημαντική. Πρέπει να κρατούν αντίγραφα ασφαλείας και να ενημερώνουν τα λογισμικά τους. Απώλειες σε δύο-τρεις συναλλαγές μπορεί να αποβούν καθοριστικές για τη βιωσιμότητά τους», λέει στην «Κ» ο επικεφαλής της Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ. Γιώργος Παπαπροδρόμου. Πέρυσι η υπηρεσία του σχημάτισε 891 δικογραφίες για υποθέσεις οικονομικής φύσεως, ενώ το 2015 δεν ξεπερνούσαν τις 510. Σε αυτές περιλαμβάνονταν και επιθέσεις για ψηφιακά λύτρα.

Ο ερευνητής ασφαλείας δικτύων Ανδρέας Βενιέρης λέει ότι το τελευταίο διάστημα έχει διαδοθεί η χρήση κακόβουλου λογισμικού που πωλείται ή ενοικιάζεται στους δράστες (ένα εξ αυτών κοστολογείται προς 1.000 ευρώ τον χρόνο). Αυτή η τακτική αποκαλείται «Ransomware-as-a-Service» και απευθύνεται σε εγκληματίες που δεν έχουν τις ικανότητες, τους πόρους ή τη διάθεση για να αναπτύξουν δικό τους λογισμικό.

«Οι προγραμματιστές προσφέρουν το κακόβουλο προϊόν τους ''κατά παραγγελία'', πουλώντας αποκλειστικά τροποποιημένες εκδόσεις σε πελάτες οι οποίοι στη συνέχεια τις διανέμουν μέσω spam ιστοσελίδων, πληρώνοντας προμήθεια στο δημιουργό», εξηγεί ο κ. Emm.

Ο ερευνητής ασφαλείας δικτύων Δημήτρης Σιατήρας, όπως και ο κ. Βαβούσης, επισημαίνει ότι η καταβολή των λύτρων δεν αποτελεί ενδεδειγμένη λύση. Κανείς δεν εγγυάται ότι οι απαγωγείς θα στείλουν το κλειδί αποκρυπτογράφησης ή ότι δεν θα χτυπήσουν ξανά στο μέλλον. Οπως τονίζει, εταιρείες και ιδιώτες πρέπει να έχουν προβεί σε όλες τις απαραίτητες αναβαθμίσεις ασφαλείας στα συστήματά τους για να εξασφαλίσουν σε σημαντικό βαθμό τη θωράκισή τους.

Ο κ. Παπαμιχαήλ που εργάζεται στην ανάκτηση δεδομένων, παρατηρεί ότι το 2016 και τους πρώτους μήνες του 2017 οι τύποι Ransomware με τη μεγαλύτερη διάδοση στην Ελλάδα ήταν οι «Locky», «Dharma» και «Cerber». Σε μία από τις πιο ανησυχητικές επιθέσεις που θυμάται, οι δράστες μόλυναν υπολογιστές εταιρείας απειλώντας ότι θα διαγράψουν δεδομένα εάν δεν πληρωθούν σε δύο ημέρες. Το σημείωμά τους ήταν γραμμένο στα τουρκικά. «Στείλαμε δύο μηχανικούς και καταφέραμε να ανακτήσουμε τα αρχεία προτού εκπνεύσει η διορία», λέει.