Stories

Ransomware: Μιλήσαμε με τον Ειδικό που Διαπραγματεύεται τα Λύτρα με τους «Απαγωγείς» των Αρχείων μας

Ransomware: Μιλήσαμε με τον Ειδικό που Διαπραγματεύεται τα Λύτρα με τους «Απαγωγείς» των Αρχείων μας

Οι απρόβλεπτοι hackers-threat actors στην άλλη πλευρά της οθόνης, οι προγραμματιστές που πουλάνε το “franchise” του ιού και η ελληνική ναυτιλιακή που πλήρωσε λύτρα 10 εκατ. δολάρια.

«Στείλε ένα μέιλ σ’ αυτήν τη διεύθυνση και μην επιχειρήσεις να κάνεις τίποτα, δεν μπορείς να κάνεις τίποτα». «Λυπούμαστε αλλά όλα τα αρχεία σου έχουν κρυπτογραφηθεί». Ή δίχως περιστροφές: “Oops, we got you!”. Αυτά είναι κάποια από τα απειλητικά μηνύματα που δεν θα ήθελε κανείς να διαβάσει στον υπολογιστή του, διότι θα σήμαινε ότι έχει πέσει θύμα επίθεσης ransomware και δεν έχει πια πρόσβαση στα αρχεία του. Ο χάκερ που έχει αποκτήσει πρόσβαση στο σύστημά σου, έχει κλειδώσει τα αρχεία σου και σου αφήνει ένα σημείωμα για λύτρα (ransom note). Επικοινωνείς πανικόβλητος/η με τους threat actors -όπως αποκαλούνται σωστά οι χάκερ που ενορχηστρώνουν επιθέσεις ransomware- και ξεκινάει ένα παιχνίδι γάτας-ποντικιού με απρόβλεπτα αποτελέσματα.

Τέτοιες επιθέσεις μπορεί να είναι εντελώς τυχαίες. Εκατοντάδες μέιλ ηλεκτρονικού ψαρέματος (phishing mail) αποστέλλονται καθημερινά σε ιδιώτες ή απόλυτα στοχευμένα, με θύματα εταιρείες-κολοσσούς. Ελληνική ναυτιλιακή εταιρεία πλήρωσε πρόσφατα 10.000.000 δολάρια για να πάρει πίσω τα αρχεία της επιχείρησης και των σημαντικών συνεργατών της, όπως λέει στο VICE ο Παναγιώτης Πιέρρος, σύμβουλος Κυβερνοασφάλειας και Data Recovery Managing Director της εταιρείας ανάκτησης δεδομένων TICTAC. Αυτό είναι και το μεγαλύτερο ποσό που έχει δοθεί ποτέ στην Ελλάδα σε παρόμοια κυβερνοεπίθεση.

Αυτές τις μέρες εκτυλίσσεται μπροστά στα μάτια ολόκληρου του πλανήτη μια ακόμα επίθεση ransomware, τεράστιας κλίμακας. Οι threat actors ζητούν 70 εκατομμύρια δολλάρια από την αμερικανική εταιρεία Κασέγια, για να απελευθερώσουν τα δεδομένα της. Tο λογισμικό της Κασέγια χρησιμοποιείται σε πάνω από 1.000 εταιρείες, σε πολλές χώρες. Ήδη στη Σουηδία, έχουν κλείσει 800 καταστήματα μιας από τις μεγαλύτερες αλυσίδες σούπερ-μάρκετ, λόγω του μεγέθους του χτυπήματος. Η REvil, η ομάδα των hackers που φαίνεται να κρύβεται πίσω από την επίθεση, είναι από τις πιο διαβόητες ομάδες threat actors παγκοσμίως και προέρχεται από την Ανατολική Ευρώπη ή τη Ρωσία.

Όλοι θυμόμαστε το χάος που προκλήθηκε στην Αμερική τον Μάιο, όταν για έξι μέρες τέθηκε εκτός λειτουργίας ο πετρελαιαγωγός της Colonial Pipeline, προκαλώντας πανικό και ελλείψεις καυσίμων στην αγορά. O διευθύνων σύμβουλος της Colonial Pipeline, Τζόσεφ Μπλαντ, έδωσε το «πράσινο φως» για να πληρωθούν λύτρα ύψους 4,4 εκατ. δολαρίων στους threat actors.

«Κάθε λέξη, κάθε κόμμα, κάθε τελεία μετράει. Είναι απαγωγή. Σαν να σου πάρω εγώ τα παιδιά σου. Έχουν “απαγάγει” τα δεδομένα της εταιρείας σου και σε εκβιάζουν γι’ αυτό», λέει στο VICE ο Παναγιώτης Πιέρρος. Ιδιώτες, μικρομεσαίες επιχειρήσεις και πολύ μεγάλες εταιρείες επικοινωνούν καθημερινά μαζί του με ένα αίτημα: Πρέπει να πάρω πίσω τα αρχεία μου χθες.

Η διαδικασία είναι συνήθως η εξής: Η Δίωξη Ηλεκτρονικού Εγκλήματος, αλλά και ιδιωτικές εταιρείες ανάκτησης δεδομένων προσπαθούν να βρουν το κλειδί αποκρυπτογράφησης των αρχείων. Αυτή είναι μια πολύ χρονοβόρα διαδικασία, η οποία μπορεί να μην οδηγήσει σε αποτέλεσμα. Την ίδια ώρα, ο επαγγελματίας διαπραγματευτής που θα έχει ορίσει το θύμα της επίθεσης –αν φυσικά επιθυμεί να ακολουθήσει ιδιωτικά και αυτόν τον δρόμο– προσπαθεί να χτίσει ένα κανάλι επικοινωνίας με τους threat actors και στην πραγματικότητα επιδιώκει να μειώσει κατά πολύ το ύψος των λύτρων. Ο Παναγιώτης Πιέρρος είναι ο επικεφαλής μιας έμπειρης ομάδας που θα καταστρώσει τη στρατηγική διαπραγμάτευσης με τον πιο απρόβλεπτο εχθρό και θα αναλάβει τη γραπτή επικοινωνία μαζί του.

Η κατεύθυνση της Δίωξης Ηλεκτρονικού Εγκλήματος είναι, φυσικά, διαφορετική. «Αν θέλουν να πληρώσουν τα λύτρα, το κάνουν μόνοι τους. Η αστυνομία δεν μπορεί να σου πει να ενδώσεις στον εκβιασμό. Από εκεί και πέρα, το να διαπραγματευτεί κάποιος μαζί τους είναι δικαίωμά του. Εμείς τους συμβουλεύουμε να μην πληρώσουν, διότι έτσι διαιωνίζεται το φαινόμενο», λέει στο VICE o Διευθυντής της Δίωξης Ηλεκτρονικού Εγκλήματος, Βασίλης Παπακώστας. «Εμείς λέμε “όχι, δεν πληρώνουμε”, “no more ransom”. Τα άτομα που κάνουν αυτές τις επιθέσεις βρίσκουν κάθε μέρα καινούριους τρόπους και όσο παίρνουν χρήματα, τόσο θα συνεχίζουν. Από εκεί και πέρα, ο πολίτης μπορεί να επιλέξει να πληρώσει τα λύτρα, αλλά εμείς δεν διαπραγματευόμαστε με εγκληματίες».

Το θύμα της επίθεσης ransomware βρίσκεται σε δεινή θέση. «Οι threat actors θα κάνουν τα πάντα για να πάρουν τα χρήματα», τονίζει ο Παναγιώτης Πιέρρος και θυμάται πρόσφατη περίπτωση μεγάλης εταιρείας ποτών, την οποία οι threat actors απείλησαν ακόμα και με πληρωμένες διαφημίσεις στο Facebook ότι θα διαρρεύσουν τα κλειδωμένα αρχεία της. Μιλήσαμε με τον Παναγιώτη Πιέρρο για να μας πει πώς είναι να διαπραγματεύεσαι πίσω από μια οθόνη με τους threat actors, σε ένα παιχνίδι που γίνεται όλο και πιο σύνθετο και σίγουρα δεν έχεις το πάνω χέρι, επειδή πριν ξεκινήσεις τη συνομιλία μπορεί να έχεις δει τον πελάτη σου να κλαίει.

VICE: Τον τελευταίο χρόνο, υπήρξε παγκοσμίως πολύ μεγάλη αύξηση στις επιθέσεις ransomware. Στην Ελλάδα ισχύει το ίδιο;

Παναγιώτης Πιέρρος: Η έξαρση που έχουμε στα ransom attacks είναι ασύλληπτη. Εμείς υπολογίζουμε ότι στην Ελλάδα είναι πάνω από 1.000% η αύξηση τον τελευταίο χρόνο. Διότι είναι κάτι το οποίο δίνει απτά αποτελέσματα στους «πειρατές», δηλαδή δίνει πάρα πολλά λεφτά, με αποτέλεσμα οι επιθέσεις να αυξάνονται συνέχεια. Από την άλλη μεριά, η πλευρά των επιχειρήσεων, των οργανισμών και των ιδιωτών αργεί πολύ περισσότερο να προσαρμοστεί στις νέες συνθήκες, δηλαδή να υιοθετήσει νέες πρακτικές για να διασφαλίσει τα δεδομένα της.

Πρόσφατα, αυτό που μου είχε κάνει εντύπωση είναι ότι ένας CEO μιας μεγάλης ελληνικής εταιρίας που χτυπήθηκε και αναλάβαμε εμείς να τους βοηθήσουμε, μας είπε ότι «το μεγαλύτερο λάθος που έκανα είναι ότι όταν η επιχείρησή μου αναπτύχθηκε κατά τρεις φορές, εγώ δεν εξέλιξα αντίστοιχα το IT κομμάτι και την άμυνα της εταιρίας μου. Δεν είχα σκεφτεί πόσο σημαντικό ρόλο θα έπαιζε αυτό».

Ο ΠΑΝΑΓΙΩΤΗΣ ΠΙΕΡΡΟΣ ΕΠΙΚΟΙΝΩΝΕΙ ΜΕ ΤΟΥΣ THREAT ACTORS ΣΕ ΕΙΔΙΚΕΣ ΠΛΑΤΦΟΡΜΕΣ

Την περίοδο της πανδημίας, στο εξωτερικό τουλάχιστον, χτυπήθηκαν και αρκετά νοσοκομεία.

Και στην Ελλάδα έχουν γίνει προσπάθειες. Από τύχη -θα έλεγα εγώ- και συγκυρία δεν είχαμε πολύ μεγάλα χτυπήματα. Δυστυχώς, θεωρώ ότι θα έρθει η στιγμή πολύ σύντομα που θα το ζήσουμε και αυτό στην Ελλάδα. Στο εξωτερικό είχαμε αναφορές ότι πέθαναν άνθρωποι από τη διακοπή λειτουργίας ενός νοσοκομείου.

Μια εταιρεία σας παίρνει τηλέφωνο και σας λέει ότι δεν έχει πρόσβαση στα αρχεία της. Τι κάνετε;

Πρώτα πρέπει να εκτιμήσουμε την κατάσταση της εταιρείας, να έχουμε εικόνα της υποδομής, των δεδομένων, της άμυνας, τι λειτουργεί, τι δεν λειτουργεί. Στη συνέχεια συγκεντρώνουμε το δικό μας intelligence, όπως λέμε. Κάνουμε ανάλυση του ιού, για να δούμε ποια ομάδα threat actors –για να τους αποκαλούμε σωστά- τους έχει χτυπήσει. Με τον ίδιο τρόπο που ένα μικροβιολογικό εργαστήριο κάνει ανάλυση ενός ιού. Κάνουμε έρευνα γύρω απ’ την ομάδα και ξεκινάμε να φτιάχνουμε μια στρατηγική. Μετά η εταιρεία που έχει χτυπηθεί παίρνει τις αποφάσεις της για το τι θα κάνει.

Η διαπραγμάτευση ξεκινάει με τη λογική ότι έχουμε πια γνώση με ποια ομάδα μιλάμε, ποια είναι τα χαρακτηριστικά της. Δεν ξέρουμε με ποια άτομα μιλάμε, αλλά γνωρίζουμε τα χαρακτηριστικά τους. Ξέρουμε πού έχουν χτυπήσει τελευταία, αν έχουν πάρει λύτρα, αν έχουν δώσει πίσω τα αρχεία για τα οποία έχουν πληρωθεί. Έχουμε κάνει και ενδελεχή συζήτηση με το θύμα για να καταλάβουμε πόσο χρόνο έχουμε.

Τη διαπραγμάτευση για τα αρχεία μπορούμε να τη φανταστούμε σαν μια διαπραγμάτευση σε μία απαγωγή;

Πολύ σωστά. Είναι απαγωγή. Σαν να σου πάρω εγώ τα παιδιά σου. Είναι τόσο σοβαρό. Έχουν «απαγάγει» τα δεδομένα της εταιρείας σου και σε εκβιάζουν γι’ αυτό. Κάθε threat actor θέλει διαφορετική προσέγγιση, δεν είναι όλοι το ίδιο. Ερχόμαστε σε επαφή μαζί τους μέσω ειδικών δικτύων διασφαλισμένης ασφάλειας, ανώνυμα. Πολλές φορές, οι ίδιες οι ομάδες των threat actors έχουν ετοιμάσει πλατφόρμες στο dark web. Είναι μια διαδικασία που χρειάζεται πολύ μεγάλη προσοχή. Κάθε λέξη, κάθε κόμμα, κάθε τελεία μετράει.

Πώς είναι να διαπραγματεύεσαι με τους threat actors;

Υπάρχει πάρα πολύ μεγάλη αγωνία και πάρα πολύ μεγάλη πίεση από τα θύματα, όπως καταλαβαίνεις, διότι είναι κάτι εντελώς άγνωστο. Είναι πολύ δύσκολο να αντιληφθεί κάποιος πώς γίνεται η διαδικασία. Βέβαια, εμείς επειδή θεωρούμε τη διαφάνεια πάρα πολύ σημαντική, παραδίδουμε γραπτές αναφορές στους πελάτες και με τις επικοινωνίες πολλές φορές, αλλά και με τα δεδομένα των πληρωμών. Αυτά τα καταθέτουμε στη Δίωξη Ηλεκτρονικού Εγκλήματος όταν ζητηθεί, και στο δικαστήριο αν χρειαστεί.

Ένας διαπραγματευτής τι χαρακτηριστικά πρέπει να έχει;

Πρέπει να είναι απόλυτα ήρεμος, ψύχραιμος και να έχει κριτική σκέψη. Βέβαια, οτιδήποτε γράφεται έχει περάσει πρώτα από απόλυτο φιλτράρισμα της ομάδας μας. Δεν γράφουμε πράγματα, ούτε τυχαία, ούτε γρήγορα. Υπάρχει μια διαφορετική στρατηγική προσέγγιση σε κάθε περιστατικό.

Η ψυχολογία είναι πολύ σημαντικό πράγμα, ακόμη και σε μία γραπτή διαπραγμάτευση. Η εικόνα που δίνεις, η εικόνα που δημιουργείς για την εταιρεία έχει πολύ μεγάλη σημασία. Επίσης ο τρόπος που μιλάς, που γράφεις δηλαδή, έχει επίσης πολύ μεγάλη σημασία. Όλα αυτά επηρεάζουν τη διαπραγμάτευση.

Πάρα πολλές μικρές επιχειρήσεις την πατάνε όταν πάνε να διαπραγματευτούν μόνοι τους με τους threat actors. Μπορεί ακόμα και να δώσουν τα λύτρα και να μην πάρουν πίσω τα αρχεία τους. Θέλει μια πολύ ειδική γνώση η διαδικασία αυτή και θέλει επαγγελματία. Χρειάζεται μεγάλη προσοχή, γιατί μπορεί να γίνουν πολλά λάθη.

Θέλει μία ψυχρότητα, απ’ ό,τι καταλαβαίνω;

Θέλει απόλυτη απόσταση από το πρόβλημα του πελάτη εκείνη τη στιγμή. Διότι αν εμπλακείς συναισθηματικά –προφανώς στενοχωριόμαστε πάρα πολύ όταν βλέπουμε μία επιχείρηση σε αυτήν την κατάσταση– δεν θα είσαι αντικειμενικός και δεν θα μπορέσεις να λύσεις το πρόβλημα.

Ποιο είναι το μεγαλύτερο λάθος που μπορεί να κάνει ένας διαπραγματευτής;

Υπάρχουν πολλές λεπτομέρειες που χρειάζονται προσοχή. Ο χρόνος διαπραγμάτευσης είναι πολύ σημαντικό στοιχείο, το πόσο τραβάμε τον χρόνο διαπραγμάτευσης. Έχει να κάνει με την έρευνα που έχουμε κάνει με την ομάδα. Όσο πιο πολύ επιμηκυνθεί ο χρόνος, τόσο υπάρχουν μεγαλύτερες πιθανότητες να πέσουν τα λύτρα.

Πάρα πολύ σημαντικό ρόλο παίζει και η ενημέρωση που θα λάβουμε από την εταιρεία που έχει χτυπηθεί. Μετράει το σε πόσο δυσμενή θέση βρίσκεται, πόσο πιέζεται και άρα πόσο μας πιέζει. Εκεί, υπάρχουν πιθανότητες να μην κάνεις κάποια πράγματα, όσο καλά θα μπορούσες. Λάθη δεν επιτρέπονται στη δικιά μας δουλειά. Υπάρχουν δύο πλευρές που διαπραγματεύονται και δεν έχουμε εμείς το πάνω χέρι. Όταν μια επίθεση είναι τυχαία, έχουμε παραπάνω χρόνο να διαπραγματευτούμε υπέρ του πελάτη μας, καθώς οι threat actors δεν ξέρουν ποιος είναι από την άλλη πλευρά.

Πώς εξελίσσεται η συνομιλία με τον threat actor;

Η συνομιλία γίνεται βάσει στρατηγικής. Υπάρχουν δύο βασικά θέλω από τη δική μας πλευρά. Το ένα είναι να προστατεύσουμε το θύμα, με τη λογική του να μην εκτεθεί περαιτέρω και να διασφαλίσουμε ότι θα πάρει πίσω τα αρχεία του, αν είναι εφικτό. Ο δεύτερος στόχος είναι να μειώσουμε το κόστος. Η στρατηγική σε κάθε περίπτωση αλλάζει, επειδή είναι πολλοί παράγοντες που παίζουν ρόλο. Είναι οι threat actors που αλλάζουν κάθε φορά, το χτύπημα που έχουν κάνει, πόσο μεγάλο ή μικρό είναι, πόσο κοστίζει στην εταιρεία, τα θέλω της εταιρείας, πόσο χρόνο διαθέτει.

Είναι συχνό, θα λέγατε από τη δική σας εμπειρία, να πέφτει αρκετά το ποσό των λύτρων;
Και πάλι εξαρτάται από την ομάδα των threat actors. Δεν υπάρχει σταθερό σ’ αυτά. Το timing είναι πολύ σημαντικό. Μπορεί αυτή η ομάδα να έχει κάποιες δοσοληψίες με άλλες ομάδες και να θέλει να πιέσει εκείνη τη στιγμή για να βγάλει περισσότερα χρήματα. Μπορεί να μην έχει καμία σχέση με εμάς ο λόγος. Μπορεί να πιέζεται επειδή την ψάχνουν οι Αρχές, ας πούμε, και να θέλει να βγάλει εδώ και τώρα κάποια χρήματα για να κλείσει τις επικοινωνίες της και να αλλάξει γενικώς μοντέλο. Υπάρχουν πάρα πολλοί λόγοι, κανείς δεν μπορεί να είναι βέβαιος.

Εσείς είχατε αρκετές περιπτώσεις που το ποσό έχει κατέβει στο 50%;

Ναι, φυσικά.

Έχει γίνει ποτέ στα ελληνικά η διαπραγμάτευση;

Έχει τύχει μία φορά, αλλά ήταν παιδική η προσέγγιση και η προσπάθεια. Μπορώ να πω επισήμως ότι είχαμε ένα ελληνικό ransomware, αλλά ήταν σε πολύ χαμηλό επίπεδο και οι γνώσεις και τα χτυπήματα. Από τότε δεν έχουμε ξαναδεί κάτι.

Αυτό δεν σημαίνει ότι μέσα στα δίκτυα των threat actors δεν υπάρχουν Έλληνες, σωστά;

Δεν μπορεί κανείς να το αποκλείσει. Μπορούμε να αναγνωρίσουμε μερικές φορές κάποιες εθνικότητες μέσα από κάποια patterns στη γλώσσα που χρησιμοποιούν. Μπορούμε να πούμε ότι πάρα πολλά ransomware έρχονται από τον ευρύτερο χώρο της πρώην Σοβιετικής Ένωσης. Μάλιστα, πολλές επιθέσεις ransomware έχουν και καταστατικό. Είναι πολιτικοποιημένες.

Τι σημαίνει αυτό;

Υπάρχουν ομάδες threat actors που έχουν καταστατικό σχετικά με το τι στόχους επιτρέπεται να χτυπήσουν οι συνεργάτες τους. Πάρα πολλά ransomware παράγονται από τον ίδιο developer. Δεν σημαίνει ότι αυτός κάνει τα χτυπήματα. Αυτός δίνει τον κώδικα σε κάποιους “franchisees”, όπως θα λέγαμε στη δικιά μας καθημερινότητα. Έχουν πάρει το franchise και δίνουν στον developer ένα μερίδιο των αμοιβών που παίρνουν. Τα κέρδη από αυτά τα πράγματα είναι εκατομμύρια των εκατομμυρίων δολάρια. Τα άτομα που αγοράζουν τον κώδικα από τους developers υπόκεινται πολλές φορές σε καταστατικό. Μπορεί ο developer να τους πει ότι δεν θα χτυπήσετε ποτέ π.χ. νοσοκομεία, σχολεία ή δημόσιους οργανισμούς. Έχουμε δει ομάδες που δεν χτυπάνε ποτέ χώρες του πρώην Ανατολικού μπλοκ, για παράδειγμα.

Σε μια τυπική βδομάδα, πόσες κλήσεις για ransomware δέχεστε;

Εμείς μπορεί να έχουμε πέντε ή δέκα κλήσεις την ημέρα από ιδιώτες και εταιρείες. Κάποτε, είχαμε μία κλήση τον μήνα, πριν πέντε-έξι χρόνια, όταν πρωτοεμφανίστηκε το ransomware στην Ελλάδα. Από τότε, έχει γίνει πάρα πολύ μεγάλη «πρόοδος» από την άλλη πλευρά, δυστυχώς.

Πόσο κοστίζουν οι επιθέσεις ransomware σε επιχειρήσεις και ιδιώτες;

Υπάρχουν μελέτες κι εκτιμήσεις, οι οποίες μιλάνε για πάνω από 15 δισ. δολάρια το 2020, ζημιές και λύτρα μαζί. Σκεφτείτε ότι από τις μελέτες αυτές λείπουν πάρα πολλές μικρές επιχειρήσεις, οι οποίες δεν υποβάλλουν στοιχεία. Γενικότερα, στην Ευρώπη έχουμε λιγότερα στοιχεία για το ransomware. Στην Αμερική, περισσότερα. Πάντως υπάρχουν εκατοντάδες ομάδες threat actors στην Ελλάδα και χιλιάδες παγκοσμίως.

Υπάρχει κάποια διαπραγμάτευση τελευταία που σας έχει μείνει;

Τον τελευταίο χρόνο, υπάρχει ένα trend που ήρθε με τα μεγάλα χτυπήματα στο εξωτερικό, αυτό του “data exfiltration”. Εκεί δεν μπαίνει μόνο κάποιος στο σύστημά σου και σου κλειδώνει τα αρχεία, αλλά σου παίρνει τα αρχεία και σε εκβιάζει ότι αυτά τα αρχεία θα τα βγάλει στη δημοσιότητα, για να σε φέρει σε δύσκολη θέση. Μπορεί να μιλάμε για προσωπικά δεδομένα, οικονομικά στοιχεία, ο,τιδήποτε. Αυτή είναι μια πρακτική που έχει ξεκινήσει τον τελευταίο χρόνο κι έχει πάρει διαστάσεις. Ασκείται μεγάλη ψυχολογική πίεση στην επιχείρηση, για να πληρώσει τα λύτρα.

Έχουμε δει και συγκλονιστικά πράγματα. Για παράδειγμα, στην περίπτωση μιας πάρα πολύ μεγάλης εταιρείας με ποτά, με την οποία συνεργαστήκαμε κι εμείς πρόσφατα στην Ιταλία, οι threat actors πλήρωσαν διαφημίσεις στο Facebook για να γράψουν ότι «εμείς έχουμε τα δεδομένα της εταιρείας» και να πιέσουν την εταιρεία να πληρώσει, επειδή δεν πλήρωνε. Οι threat actors είναι πάρα πολύ έξυπνοι και θα κάνουν τα πάντα για να πάρουν τα λεφτά τους. Οι ίδιοι θεωρούν ότι κάνουν business, άσχετα αν πρόκειται για εγκληματική ενέργεια. Έχουν κάνει μια πολύ μεγάλη προσπάθεια για να χτυπήσουν κάποιον και θέλουν να πληρωθούν για αυτό. Όσο κι αν ακούγεται περίεργο και αντιφατικό, είναι αλήθεια. Είναι επαγγελματίες «πειρατές».

Δικαιολογούν τη στάση τους ηθικά;

Πολλές φορές, όπως είπα και πριν, υπάρχουν τα politics στη μέση για κάποιες ομάδες, όχι για όλες. Σκέφτονται ότι χτυπάνε μια πολύ μεγάλη εταιρεία, η οποία δεν έχει πρόβλημα να τους δώσει ένα πολύ μικρό κομμάτι της πίτας της. Βέβαια, στις πιο μικρές εταιρείες δεν υπάρχει αυτό. Στην Ελλάδα μάλιστα, λυπάμαι που το λέω, το 80-90% των χτυπημάτων είναι σε μικρές εταιρείες, γιατί στατιστικά το 90% των επιχειρήσεων στην Ελλάδα είναι αυτού του μεγέθους.

Ποιο είναι το μεγαλύτερο ποσό που αναγκάστηκε ένας πελάτης σας να δώσει;

Στην Ελλάδα, το μεγαλύτερο που έχουμε δει είναι 10.000.000 δολάρια, ποσό που έδωσε μια ναυτιλιακή εταιρεία. Στο εξωτερικό έχουμε δει δυσθεώρητα νούμερα, αλλά και για την Ελλάδα το ποσό αυτό είναι τεράστιο. Πλέον, έχουμε κι εδώ ανέβασμα των λύτρων και βλέπουμε πάρα πολλές περιπτώσεις με 50.000, 100.000, 200.000, 500.000 ευρώ. Το καλό με τη δικιά μας χώρα, όμως, είναι ότι δεν είμαστε ο νούμερο ένα στόχος.

Ποιος είναι ο πιο συνηθισμένος τρόπος με τον οποίο αποκτούν πρόσβαση στα αρχεία μιας εταιρείας ή ενός ιδιώτη;

Αυτό γίνεται με διάφορους τρόπους. Συνήθως αποκτούν πρόσβαση μέσω phishing. Σου στέλνει κάποιος ένα μέιλ και κατεβάζεις το αρχείο exe, χωρίς να καταλάβεις ότι είναι κακόβουλο λογισμικό. Ουσιαστικά, τρέχει ένα exe αρχείο και αυτό το πράγμα διαχέεται στο δίκτυο μιας εταιρείας, με αποτέλεσμα οτιδήποτε είναι συνδεδεμένο στον server να μολύνεται σε πολύ μικρό χρονικό διάστημα. Αυτό δίνει πρόσβαση στους threat actors στο σύστημά σου.

Δεν σημαίνει ότι την πρόσβαση που αποκτούν θα την εκμεταλλευτούν σήμερα. Αυτό που βλέπουμε πολλές φορές είναι ότι μπαίνουν σε έναν οργανισμό, τον παρακολουθούν για δύο εβδομάδες, ένα μήνα, δύο μήνες, μαθαίνουν όλα τα κρυφά σημεία που έχει ένας οργανισμός, πότε κάνει back-up, πότε δουλεύει, πότε σταματάει. Έχουν threat intelligence αυτές οι ομάδες. Πολλές φορές πληρώνουν κάποιον άλλον threat actor για να πάρουν συστήματα και κωδικούς για να βρουν έναν τρόπο να μπουν στο δίκτυο. Αυτό είναι μια παγκόσμια λογική πια. Οι εγκληματίες συνεργάζονται ο ένας με τον άλλον, με αμοιβή.

Το διάστημα που οι threat actors παρακολουθούν τα συστήματα μιας εταιρείας, μπορεί η εταιρεία να αντιληφθεί κάτι;

Όχι, δεν καταλαβαίνει τίποτα. Θέλει πολύ ειδική γνώση για να καταλάβεις ότι κάποιος είναι στο δίκτυό σου.

Μπορείτε να μας περιγράψετε μια υπόθεση που αναλάβατε τον τελευταίο καιρό και σας έκανε μεγάλη εντύπωση;

Πρόσφατα είχαμε μια κατασκευαστική εταιρεία, η οποία χτυπήθηκε σε διάφορα σημεία της Ευρώπης και της Μέσης Ανατολής ταυτόχρονα. Είχε τρομερά συστήματα άμυνας. Ήταν τόσο sophisticated, όμως, τόσο δυνατή η ομάδα που τους χτύπησε, που κατάφερε να τους δημιουργήσει πάρα πολύ μεγάλο πρόβλημα. Είναι μια ομάδα πολύ γνωστή παγκοσμίως –όχι στο ευρύ κοινό, φυσικά- η οποία έχει χτυπήσει πολύ μεγάλους στόχους στην Αμερική, την Ευρώπη, την Ασία. Αυτό είναι ένα κλασικό παράδειγμα στοχοποιημένης επίθεσης. Όταν στοχοποιηθείς λοιπόν, είναι μαθηματικά βέβαιο ότι θα έχεις ένα κομμάτι της ζημιάς. Πάντως στην Ελλάδα, εννέα στις δέκα επιθέσεις δεν είναι στοχοποιημένες. «Περνούσα έξω από το δίκτυό σου, βρήκα δυο τρύπες και μπήκα», να το πω έτσι αστειευόμενος.

Πόσο καιρό ήταν κλειδωμένα τα αρχεία της συγκεκριμένης εταιρείας;

Πάνω από ενάμιση μήνα. Με μεγάλες ομάδες support από πίσω, με μεγάλες δυσκολίες. Όταν κάποιος πέφτει θύμα ransomware, υπάρχουν τεράστια κόστη, τα οποία δεν είναι αντιληπτά στην αρχή. Έχουμε τα νομικά κόστη, έχουμε τα κόστη κοινοποίησης, το κόστος του να σταματήσει η λειτουργία της εταιρείας για κάποιο διάστημα, να μη μπορούν να δουλέψουν οι εργαζόμενοι. Ένα μικρό κομμάτι της συγκεκριμένης επιχείρησης σταμάτησε να λειτουργεί. Το χειρότερο όμως είναι ότι απασχολήθηκαν πολλά resources της εταιρείας και χρειάστηκε ένα πολύ μεγάλο διάστημα για να επανέλθει.

Τι λύτρα ζητήθηκαν;

Στη συγκεκριμένη περίπτωση, ζητούσαν 2.000.000 δολάρια σε bitcoin.

Πληρώθηκε αυτό το ποσό;

Σ’ αυτή την υπόθεση, όχι. Επιλέχθηκε και από εμάς και από την εταιρεία να μην προχωρήσει η πληρωμή των λύτρων. Βέβαια το σκέφτηκε να πληρώσει, όπως όλες οι εταιρείες, επειδή σκέφτονται τη ζημιά. Είναι ένα trade-off. Μετράνε τη ζημιά που θα πάθουν, είτε στη μία περίπτωση, είτε στην άλλη. Στο τέλος της ημέρας είναι ένα business decision, δεν είναι τεχνικό θέμα. Σκέφτεσαι πόσο καιρό θα μείνεις εκτός, τι αρχεία έχεις χάσει, αν αυτά θα σε εκθέσουν ως εταιρεία.

Οι threat actors ζητούν πάντα πληρωμή σε bitcoin;

Οι πληρωμές είναι πάντα σε bitcoin ή άλλα κρυπτονομίσματα, όπως το monero. Ζητούνται κρυπτονομίσματα, διότι έτσι δεν εντοπίζονται. Αν ζητούσαν λεφτά και κάποιος τους έκανε κατάθεση σ’ έναν τραπεζικό λογαριασμό, είναι πάρα πολύ εύκολο να εντοπιστούν από τις αρχές. Αν και τώρα πια, ακόμα και με τα κρυπτονομίσματα, υπάρχουν δυνατότητες εντοπισμού από εμάς, ως έναν βαθμό.

Στην Ελλάδα είναι συχνό φαινόμενο να γίνονται στόχοι οι κρατικοί φορείς;

Είναι καθημερινό φαινόμενο. Το κράτος μας, δυστυχώς, είναι εντελώς ανέτοιμο απέναντι σ’ αυτά τα πράγματα και τα χτυπήματα που τρώει είναι πάρα πολλά. Ο πυρήνας του, θα έλεγα, ότι είναι προστατευμένος. Γενικά, τα τελευταία δύο χρόνια, το Υπουργείο Ψηφιακής Πολιτικής έχει κάνει πάρα πολύ καλή δουλειά. Όπως είναι η χώρα, όμως, έτσι είναι και το κράτος, με την έννοια ότι όλα αυτά είναι πολύ καινούργια. Δηλαδή, όταν έχει χτυπηθεί -όπως έχει γίνει γνωστό, το FBI, η NASA, η CIA- αντιλαμβάνεσαι ότι είναι εύκολο να χτυπηθεί ένας οργανισμός του ελληνικού δημοσίου. Και πόσο μάλλον όταν επτά στους δέκα είναι τελείως ανυπεράσπιστοι, διότι δουλεύουν με πολύ παλιές λογικές.

Οι ραγδαίες εξελίξεις που φέρνει η ψηφιοποίηση των πάντων –που φυσικά είμαι απολύτως υπέρ– ενέχουν πάρα πολλά ρίσκα. Εμείς οι ίδιοι θα πρέπει να εξελιχθούμε, να καταλάβουμε, να έχουμε μια βασική αντίληψη από το τι πρέπει να προστατευτούμε. Και η αντίληψη έρχεται με ενημέρωση, δεν μπορεί να έρθει από μόνη της.

Οι ιδιώτες πώς το αντιμετωπίζουν;

Είναι πανικόβλητοι. Έχω δει ανθρώπους να χάνουν από οικογενειακές τους φωτογραφίες μέχρι φοιτητές να χάνουν το μεταπτυχιακό τους, φωτογράφοι το υλικό τους, ο,τιδήποτε. Αυτό συμβαίνει είτε επειδή ανοίξαμε ένα phishing μέιλ, είτε επειδή κατεβάσαμε ένα σπασμένο πρόγραμμα, μαζί με το οποίο κατέβηκε malware, είτε γιατί συνδεθήκαμε σε ένα δημόσιο wi-fi. Οι επιθέσεις σε ιδώτες είναι κατά 99,9% τυχαίες.

Πάρα πολλές φορές, χτυπιούνται ελεύθεροι επαγγελματίες, ας πούμε δικηγορικά, λογιστικά και τεχνικά γραφεία. Εμείς έχουμε δει πάνω από 400-500 επιθέσεις. Πολύ μεγάλα νούμερα. Αυτές οι επιχειρήσεις παροχής υπηρεσιών γενικότερα, οι οποίες κινούνται πάρα πολύ, ανοίγουν πολλά emails, έχουν πολλή διάδραση ιντερνετική, είναι οι πρώτοι στόχοι τυχαίων επιθέσεων. Μου έχει τύχει πολλές φορές ο/η επιχειρηματίας να βάζει τα κλάματα, να είναι υπό μία τρομερή ψυχολογική πίεση ξέροντας ότι έχει χάσει αρχεία πελατών, οικονομικά στοιχεία, ότι πιθανόν να μην μπορεί να ανεβάσει τις αναλυτικές καταστάσεις του ΙΚΑ ή του ΦΠΑ των πελατών του κι αυτό επιφέρει πρόστιμα και για και για τους πελάτες και για το λογιστικό γραφείο, για παράδειγμα, που έχει χτυπηθεί.

Εκεί φαντάζομαι ο άνθρωπος νιώθει ότι καταστρέφεται.

Επί της ουσίας, τα χτυπήματα ransomware μπορούν να χρεωκοπήσουν ή να καταστρέψουν μία επιχείρηση. Επίσης, έχουμε δει κάποιες φορές ότι επιχειρήσεις οι οποίες δεν επέλεξαν να πάνε σε έναν επαγγελματία ή δεν είχαν τα χρήματα την προκειμένη στιγμή να ανταποκριθούν στο χτύπημα, κλείσανε, χρεωκοπήσανε και είχαν μετά νομικές συνέπειες, πράγμα πολύ σημαντικό.

Πηγή: vice.com

Back to top button