Τον
Νοέμβριο του 2021, ο Ντένις Ντουμπνίκοφ ταξίδεψε
στο Μεξικό για διακοπές, όταν όμως έφτασε στο
αεροδρόμιο του απαγορεύτηκε η είσοδος στη χώρα.
Αντί να επιβιβαστεί σε αεροπλάνο με προορισμό
την πατρίδα του, παρότι υπήρχαν διαθέσιμες
πτήσεις, στάλθηκε στο Αμστερνταμ, όπου μόλις
αποβιβάστηκε συνελήφθη από τις ολλανδικές αρχές.
Εις βάρος του εκκρεμούσε αμερικανικό ένταλμα για
αδικήματα στον κυβερνοχώρο.
Αυτή την εβδομάδα ο 29χρονος Ρώσος εκδόθηκε στις
ΗΠΑ και εμφανίστηκε σε δικαστήριο του Πόρτλαντ.
Κατηγορείται για ξέπλυμα χρήματος, από τα λύτρα
που εισέπρατταν κυβερνοεγκληματίες με
το λογισμικό
ψηφιακής ομηρίας Ryuk.
Η δίκη του Ντουμπνίκοφ
έχει οριστεί για τις 4
Οκτωβρίου. Ο ίδιος
υποστηρίζει ότι είναι
αθώος και ο δικηγόρος
του στις ΗΠΑ είχε
περιγράψει ως αρπαγή τη
διαδικασία που είχε
ακολουθηθεί με την
αρχική μεταφορά του
εκζητούμενου στην
Ολλανδία. Σύμφωνα με το
αμερικανικό
κατηγορητήριο, ο
29χρονος φέρεται να
ξέπλυνε 400.000 δολάρια
το 2019, ενώ εκτιμάται
ότι τα συνολικά κέρδη
από το συγκεκριμένο
ransomware ξεπερνούν τα
70 εκατομμύρια δολάρια.
Εάν καταδικαστεί είναι
αντιμέτωπος με ποινή
κάθειρξης 20 ετών.
Το Ryuk και παραλλαγές
Τα θύματα του Ryuk
κυρίως προέκυπταν από
στοχευμένες επιθέσεις.
Στους πληγέντες
συγκαταλέγονται κατά
βάσιν δημοτικές αρχές
και νοσοκομεία στις ΗΠΑ,
που συχνά παρέλυαν επί
εβδομάδες μετά την
κρυπτογράφηση των
ηλεκτρονικών αρχείων
τους. Παραλλαγές αυτού
του κακόβουλου
λογισμικού έχουν μολύνει
στόχους και σε άλλα
κράτη, ενώ ενδέχεται
ίχνη του να είχαν
εντοπιστεί και στην Ελλάδα.
Τον Ιανουάριο του 2020,
έφτασαν στα γραφεία της
εταιρείας ανάκτησης
δεδομένων Northwind στη
Θεσσαλονίκη οι σκληροί
δίσκοι μιας εταιρείας
διανομής, η οποία
δραστηριοποιείται στη
Βόρεια Ελλάδα. Τα αρχεία
τους είχαν
κρυπτογραφηθεί και τεθεί
υπό ψηφιακή ομηρία. Οι
άγνωστοι δράστες
ζητούσαν να πληρωθούν σε
κάποιο κρυπτονόμισμα για
να τα απελευθερώσουν.
Παρότι στο σημείωμα των
λύτρων που είχαν αφήσει
εμφανίζονταν με άλλη
επωνυμία, ο μηχανικός
ανάκτησης δεδομένων Δημήτρης
Λούλης παρατήρησε
ότι η υπογραφή στα
κρυπτογραφημένα αρχεία
και το email που
χρησιμοποιούσαν
παρέπεμπαν σε κάποιους
που είχαν χτυπήσει στο
παρελθόν με το Ryuk. Δεν
είναι γνωστό πώς η
συγκεκριμένη ελληνική
εταιρεία έπεσε θύμα.
Οπως λέει
ο ίδιος στην «Κ»,
δεν αποκλείεται να
πρόκειται για κάποια
συνεργασία μεταξύ
διαφορετικών ομάδων
κυβερνοεκβιαστών.
Το τελευταίο διάστημα, ο
κ. Λούλης παρατηρεί ότι
τα περισσότερα
περιστατικά που
καλούνται να
αντιμετωπίσουν, ένα με
δύο κρούσματα ανά
εβδομάδα, αφορούν
χτυπήματα με το κακόβουλο
λογισμικό STOP/DJVU,
το οποίο τους έχει
απασχολήσει και στο
παρελθόν. Οποτε τα
θύματα είναι ιδιώτες ή
μικρές επιχειρήσεις
εκτιμάται ότι έχουν
παρασυρθεί τυχαία και
όχι στοχευμένα στη δίνη
κάποιας κυβερνοεπίθεσης,
επειδή πάτησαν κάποιο
λάθος σύνδεσμο ή
κατέβασαν ένα μολυσμένο
συνημμένο αρχείο που
βρέθηκε στο mail τους.
Οι ιδιότητες κάποιων εκ
των θυμάτων δείχνουν και
το εύρος του προβλήματος.
Στο παρελθόν τούς έχει
ζητηθεί να ανακτήσουν τα
αρχεία από αντίστοιχες επιθέσεις
με ransomware σε
ένα φυσικοθεραπευτή στη
Θεσσαλονίκη, σε
ιδιοκτήτρια
ενοικιαζόμενων δωματίων
στη Χαλκιδική, σε
δικηγόρο στην Αθήνα και
σε φωτογράφο στα Χανιά.
Πολλαπλάσια περιστατικά
Το 2015 είχαν κληθεί να
αντιμετωπίσουν μόλις 30
περιστατικά ransomware,
το 2020 αυτά έφτασαν τα
380 και πέρυσι ξεπέρασαν
τα 500. Εδώ και τέσσερα
χρόνια είναι μέλη της
κοινοπραξίας No More
Ransom της Europol, στην
ιστοσελίδα της οποίας (nomoreransom.org)
προσφέρονται διαθέσιμα
κλειδιά
αποκρυπτογράφησης.
Εκτιμάται ότι μέσω αυτής
της κοινότητας έχει
αποτραπεί η πληρωμή
λύτρων άνω του ενός
δισεκατομμυρίου ευρώ.
Το No More Ransom
δημιουργήθηκε το 2016,
από τη Europol σε
συνεργασία με τις
αστυνομικές αρχές της
Ολλανδίας και τις
εταιρείες Kaspersky και
McAfee. Σε αυτή την
κοινότητα συμμετέχουν
σήμερα 188 φορείς του
δημόσιου και ιδιωτικού
τομέα από διάφορες χώρες,
ανάμεσά τους και η Δίωξη
Ηλεκτρονικού Εγκλήματος
της Ελληνικής Αστυνομίας.
Προσφέρονται 136 δωρεάν
εργαλεία
αποκρυπτογράφησης για
165 παραλλαγές
ransomware στα οποία
περιλαμβάνονται μεταξύ
άλλων τα Gandcrab, REvil/Sodinokibi,
Maze/Egregor/Sekhmet και
πολλά ακόμη.
Πάγια συμβουλή των Αρχών
διεθνώς, καθώς και της Δίωξης
Ηλεκτρονικού Εγκλήματος,
είναι να αποφεύγονται η
διαπραγμάτευση με τους
κυβερνοεγκληματίες και η
καταβολή λύτρων, καθώς
κανείς δεν μπορεί να
εγγυηθεί ότι θα τηρήσουν
τον λόγο τους και θα
αποδεσμεύσουν τα αρχεία.
Στο παρελθόν, ο κ.
Λούλης έχει διαπιστώσει
περιπτώσεις που ενώ
στάλθηκε το κλειδί
αποκρυπτογράφησης από
τον κακοποιό, το
λογισμικό ήταν τόσο
κακογραμμένο που τα
δεδομένα ήταν μη
λειτουργικά. Σε άλλη
περίπτωση, κακοποιός που
είχε καταφέρει να
αποκτήσει πρόσβαση στα
αρχεία εκβίαζε για
περισσότερα χρήματα,
προκειμένου να μην τα
διαρρεύσει στο Διαδίκτυο.
Απώλειες εκατομμυρίων
δολαρίων στις ΗΠΑ
Δεν μπορεί να εκτιμηθεί
με ακρίβεια πόσα είναι
τα θύματα
κυβερνοεπιθέσεων με
ransomware, καθώς
αρκετές επιχειρήσεις
διεθνώς επιλέγουν να μη
δημοσιοποιούν τις
υποθέσεις τους για να μη
φανεί ότι είναι τρωτά τα
ηλεκτρονικά συστήματά
τους ή ότι δεν διαθέτουν
επαρκείς μηχανισμούς
ασφαλείας. Ωστόσο, τα
δεδομένα που έχουν
καταγραφεί στην πιο
πρόσφατη έκθεση του
κέντρου καταγγελιών
διαδικτυακού εγκλήματος
του FBI (IC3) δείχνουν
ότι οι ψηφιακές ομηρίες
παραμένουν μια
ανερχόμενη απειλή. Το
2021 το IC3 δέχθηκε
3.729 καταγγελίες για
επιθέσεις με ransomware,
εκ των οποίων οι 649
προέρχονταν από φορείς
που συγκαταλέγονται στις
κρίσιμες υποδομές. Το
2020 οι αντίστοιχες
καταγγελίες που είχε
καταγράψει δεν
ξεπερνούσαν τις 2.474.
Αντίστοιχα, πέρυσι οι
εκτιμώμενες χρηματικές
απώλειες από ψηφιακές
ομηρίες στις ΗΠΑ
ξεπέρασαν τα 49,2 εκατ.
δολάρια, ενώ το 2020 το
αντίστοιχο ποσό ήταν 29
εκατ. δολάρια.Τα
τελευταία δύο χρόνια
έχουν γίνει γνωστές στη
χώρα μας υποθέσεις
ψηφιακών ομηριών με
θύματα εταιρείες και
φορείς του ευρύτερου
Δημοσίου. Το πιο
πρόσφατο χτύπημα ήταν
αυτό στα ΕΛΤΑ τον
περασμένο Μάρτιο.
Είχε προηγηθεί τον
Ιανουάριο του 2022 η
μόλυνση σέρβερ που
στεγάζεται στις
εγκαταστάσεις της 1ης
Υγειονομικής Περιφέρειας
Αττικής και εξυπηρετούσε
το λογιστικό και
διοικητικό σύστημα των
νοσοκομείων «Σωτηρία»
και «Ασκληπιείο» Βούλας,
με αποτέλεσμα να
προκληθούν προβλήματα
για κάποιες ημέρες στην
ηλεκτρονική τιμολόγηση
και σε υπηρεσίες
διοικητικού χαρακτήρα.
Μέχρι την αποκατάσταση
του δικτύου ορισμένες
λειτουργίες έπρεπε να
γίνουν χειρόγραφα. Τον
Ιούλιο του 2021 ο Δήμος
Θεσσαλονίκης δοκιμάστηκε
από παρόμοιου τύπου
κυβερνοεπίθεση και
έστησε από την αρχή όλο
το δίκτυό του με την
αγορά νέων υπολογιστών
και τον καθαρισμό άλλων
τερματικών. Τον
Φεβρουάριο του 2021
στόχος κυβερνοεκβιαστών
είχαν γίνει τα Ελληνικά
Αμυντικά Συστήματα.
Κρυπτογραφήθηκαν
οικονομικά και νομικά
αρχεία, συμβάσεις και
αρχεία αλληλογραφίας. Η
επίθεση έπληξε 150
υπολογιστές. Επί έναν
μήνα νωρίτερα στέλνονταν
παραπλανητικά emails,
έως ότου κάποιος
υπάλληλος φέρεται να
πάτησε το μολυσμένο
αρχείο.
Παρέλυσαν πόλεις,
νοσοκομεία και άλλες
κρίσιμες υποδομές
Πόσο παραλυτικές μπορεί
να είναι οι επιπτώσεις
μιας ψηφιακής ομηρίας;
Το 2019, η αμερικανική
πόλη Λέικ Σίτι, με
πληθυσμό 12.000
κατοίκους, δέχτηκε
επίθεση με το ransomware
Ryuk.
Οι άγνωστοι δράστες
κατάφεραν να κλειδώσουν
στον κυβερνοχώρο
πρακτικά του δημοτικού
συμβουλίου και άλλα
σημαντικά αρχεία
απαιτώντας 460.000
δολάρια σε λύτρα. Το
ίδιο κακόβουλο λογισμικό
είχε πλήξει, ένα χρόνο
νωρίτερα, μια εταιρεία
ύδρευσης στη Βόρεια
Καρολίνα. Περίπου 16
terabytes δεδομένων
κρυπτογραφήθηκαν και η
καθημερινότητα στη μικρή
πόλη άλλαξε ριζικά.
Πλέον οι συναλλαγές των
πολιτών με τις δημοτικές
υπηρεσίες γίνονταν μόνο
με φυσική παρουσία, με
τη χρήση μετρητών και με
χειρόγραφες αποδείξεις.
Δεν υπήρχε δυνατότητα
για τηλεδιασκέψεις ή
ανταλλαγή ηλεκτρονικής
αλληλογραφίας μεταξύ των
δημοτικών υπαλλήλων, το
νέο σύστημα αντιγράφων
ασφαλείας των αρχείων θα
κόστιζε στην τοπική
αυτοδιοίκηση 60.000
δολάρια τον χρόνο, ενώ
ακόμη και η διαδικασία
της ανάκτησης των
δεδομένων αποδείχτηκε
δύσκολη και χρονοβόρα
υπόθεση.
Μια ασφαλιστική εταιρεία
διαπραγματεύτηκε για
λογαριασμό της τοπικής
αρχής το ύψος των λύτρων.
Αφού πληρώθηκαν οι
κακοποιοί, στάλθηκε το
κλειδί αποκρυπτογράφησης
και ξεκίνησε η
προσπάθεια απελευθέρωσής
τους. Ωστόσο, για κάθε
terabyte χρειάζονταν
περίπου 12 ώρες μέχρι
την πλήρη ανάκτηση. Ενα
μήνα μετά την κυβερνοεπίθεση υπήρχαν
ακόμη δεδομένα που δεν
είχαν αποδεσμευθεί. Στην
πορεία, η ιεράρχηση των
στόχων του ransomware
Ryuk επί αμερικανικού
εδάφους φαίνεται ότι
άλλαξε, με τους
κυβερνοεγκληματίες να
στρέφονται κυρίως κατά
του εθνικού συστήματος
υγείας των ΗΠΑ.
Εκτιμάται ότι το 2020
πίσω από το 75% των
επιθέσεων σε αμερικανικά
νοσηλευτικά ιδρύματα
βρισκόταν το
συγκεκριμένο κακόβουλο
λογισμικό. Νοσοκομείο
του Βερμόντ, που τέθηκε
υπό ψηφιακή ομηρία τον
Οκτώβριο του 2020,
χρειάστηκε σχεδόν ένα
μήνα για να
αποκαταστήσει το
ηλεκτρονικό του σύστημα
με τα ιατρικά ιστορικά
ασθενών. Οσο καιρό δεν
είχε πρόσβαση στα αρχεία,
το ιατρικό προσωπικό
προσπαθούσε από μνήμης
να συνθέσει τα
θεραπευτικά πρωτόκολλα
ασθενών που
πραγματοποιούσαν
χημειοθεραπείες. «Υπάρχει
πολύ κακό στον κόσμο.
Οποιος ενορχήστρωσε αυτή
την επίθεση ήξερε πόσο
καταστροφική θα είναι»,
δήλωσε μια νοσηλεύτρια
στους New York Times.
Τον Φεβρουάριο του 2021,
η γαλλική εθνική
υπηρεσία
κυβερνοασφάλειας ANSSI
συνέταξε μια έκθεση 21
σελίδων αποκλειστικά για
το ransomware Ryuk,
καταγράφοντας την πιθανή
προέλευσή του και τα
χαρακτηριστικά του. Σε
αυτή αναφέρεται ότι το
συγκεκριμένο κακόβουλο
λογισμικό ανιχνεύθηκε
για πρώτη φορά τον
Αύγουστο του 2018. Οι
πρώτες εκτιμήσεις ως
προς την εθνικότητα των
δραστών παρέπεμπαν στη
Βόρεια Κορέα, ωστόσο
στην πορεία αυτή η
πιθανότητα αποκλείστηκε.
Αργότερα συνδέθηκε με
ομάδες
κυβερνοεγκληματιών στη
Ρωσία.