Παρά τις διεθνείς προσπάθειες για την καταπολέμησή του, το ransomware εξακολουθεί να αποτελεί μία από τις μεγαλύτερες απειλές για την κυβερνοασφάλεια επιχειρήσεων και οργανισμών σε όλο τον κόσμο. Η αυξανόμενη εξάρτηση κρίσιμων υποδομών από την τεχνολογία, η άνθηση των κρυπτονομισμάτων αλλά και ομάδων χάκερ από χώρες όπως η Ρωσία και η Βόρεια Κορέα συνθέτουν ένα πολύπλοκο και εξελισσόμενο πεδίο απειλών.
Οι επιθέσεις αυτές από χάκερ που μπλοκάρουν τα συστήματα οργανισμών και εκβιάζουν για λύτρα αυξάνονται χρόνο με τον χρόνο και συνεχίζουν να προκαλούν τεράστιες διαταραχές, από την παράλυση δικτύων υγείας και εκπαιδευτικών ιδρυμάτων έως την αναστολή λειτουργίας μεγάλων εταιρειών.
Είναι χαρακτηριστικό πως το 2024, το κόστος του κυβερνοεγκλήματος παγκοσμίως ξεπέρασε τα 16,6 δισ. δολάρια, σημειώνοντας αύξηση 33% σε σύγκριση με το προηγούμενο έτος, σύμφωνα με την ετήσια έκθεση του FBI.
Στην Ελλάδα, το 2024 χαρακτηρίστηκε από σημαντική αύξηση των κυβερνοεπιθέσεων, με έμφαση στις επιθέσεις ransomware, τόσο σε δημόσιο όσο και ιδιωτικό τομέα. Έπληξαν κρίσιμους τομείς όπως η εκπαίδευση, το λιανικό εμπόριο και τα ΜΜΕ. Επιπλέον, η χώρα κατέγραψε υψηλά ποσοστά έκθεσης σε κακόβουλο λογισμικό, με 15 εκατομμύρια απειλές να εντοπίζονται από τα συστήματα εταιρειών ασφαλείας λογισμικών. Δεν είναι λίγες, επίσης, οι μεγάλες επιθέσεις που έχουν πραγματοποιηθεί τα τελευταία χρόνια σε ελληνικούς στόχους.
Οι ψηφιακοί εγκληματίες αξιοποιούν πλέον εξελιγμένες μεθόδους, όπως το ransomware-as-a-service και τη χρήση τεχνητής νοημοσύνης για πιο πειστικά phishing emails, αυξάνοντας κατακόρυφα την αποτελεσματικότητα των επιθέσεων.
Τι είναι το ransomware
Το ransomware είναι ένας τύπος κακόβουλου λογισμικού που χρησιμοποιούν οι χάκερ για να κρυπτογραφούν τα αρχεία των υπολογιστών των θυμάτων και στη συνέχεια να ζητούν την καταβολή λύτρων για την απελευθέρωσή τους.
Την τελευταία δεκαετία έχει μεταμορφώσει τον κόσμο του ηλεκτρονικού εγκλήματος, που προηγουμένως επικεντρωνόταν κυρίως στην κλοπή ευαίσθητων δεδομένων όπως αριθμοί πιστωτικών καρτών. Η εμφάνιση των κρυπτονομισμάτων τη δεκαετία του 2010 διευκόλυνε την εμπορευματοποίηση αυτών των εγκλημάτων.
Ταυτόχρονα, το λογισμικό εξελίχθηκε, ενώ προστέθηκε στη φαρέτρα των χάκερ και η Τεχνητή Νοημοσύνη, με αποτέλεσμα τα τελευταία χρόνια να έχουν εκτοξευτεί οι επιθέσεις ransomware. Είναι χαρακτηριστικό πως πολλές ομάδες ransomware ενοικιάζουν τον κακόβουλο κώδικά τους σε αποκαλούμενους «συνεργάτες», οι οποίοι αναλαμβάνουν τις επιθέσεις και αποδίδουν μέρος των εσόδων στην αρχική ομάδα. Η μέθοδος αυτή, γνωστή ως ransomware-as-a-service, έχει χαμηλώσει το εμπόδιο εισόδου για νέους χάκερς, εκτοξεύοντας τον όγκο των επιθέσεων.
Πρόκειται για ένα φαινόμενο που έχει διαταράξει εθνικά συστήματα υγείας και χρηματοπιστωτικές αγορές, έχει οδηγήσει στο προσωρινό κλείσιμο καζίνο και έχει αναγκάσει ορισμένες επιχειρήσεις — ακόμη και ένα κολέγιο — να κλείσουν οριστικά. Στο Ηνωμένο Βασίλειο, οι πελάτες της Marks&Spencer επηρεάστηκαν όταν τα συστήματά της μολύνθηκαν από ransomware, αναγκάζοντας την εταιρεία να διακόψει τις online πωλήσεις για αρκετές εβδομάδες, να προκαλέσει προβλήματα στις πληρωμές στα καταστήματα και να οδηγήσει σε κενά στα ράφια.
Για να αναπτύξουν το ransomware, οι χάκερ πρέπει πρώτα να αποκτήσουν πρόσβαση στο δίκτυο υπολογιστών του θύματος. Υπάρχουν πολλοί τρόποι για να το κάνουν αυτό, αλλά οι επιθέσεις μέσω phishing emails και οι μη διορθωμένες ευπάθειες ασφαλείας είναι από τους πιο συνηθισμένους. Επίσης, κάποιοι κυβερνοεγκληματίες ξεγελούν υπαλλήλους εξυπηρέτησης πελατών, προσποιούμενοι ότι είναι συνάδελφοι που έχουν ξεχάσει τα στοιχεία σύνδεσής τους.
Μια τυπική επίθεση ransomware καθιστά τα αρχεία ή τις υπηρεσίες ενός υπολογιστή άχρηστα, μέχρι οι χάκερς να παράσχουν το κλειδί αποκρυπτογράφησης. Πολλές ομάδες χάκερ επίσης εξερευνούν το δίκτυο του θύματος και κλέβουν ευαίσθητα δεδομένα πριν αναπτύξουν το ransomware. Έτσι, μπορούν να απαιτήσουν λύτρα τόσο για την αποκρυπτογράφηση των αρχείων όσο και για να μην διαρρεύσουν τα δεδομένα στο διαδίκτυο σε μία μορφή διπλού εκβιασμού. Ορισμένες ομάδες απειλούν επίσης τα θύματα με επαναλαμβανόμενη επίθεση αν δεν πληρώσουν.
Οι ψηφιακοί εγκληματίες απαιτούν σχεδόν πάντα πληρωμές σε κρυπτονομίσματα, τα οποία προσφέρουν ανωνυμία και δυσκολεύουν τον εντοπισμό των μεταφορών χρημάτων.
Οι ομάδες ransomware συνήθως δραστηριοποιούνται από τη Ρωσία ή την Ανατολική Ευρώπη, και έχουν συνεργάτες σε όλο τον κόσμο καθώς έχουν συλληφθεί χάκερ που άνηκαν σε τέτοιες ομάδες σε ΗΠΑ και Καναδά. Οι χάκερς της Βόρειας Κορέας χρησιμοποιούν κρυπτονομίσματα που αποκομίζουν από επιθέσεις ransomware για να χρηματοδοτήσουν το πυρηνικό πρόγραμμα της χώρας, σύμφωνα με έκθεση των Ηνωμένων Εθνών.
Η τοποθεσία αυτών των ομάδων δυσκολεύει τις προσπάθειες καταστολής του ransomware, καθώς πολλές από αυτές βρίσκονται σε περιοχές πέρα από τη δικαιοδοσία των δυτικών αρχών.
Μικροί και μεγάλοι στο στόχαστρο των χάκερ
Ένα από τα μεγάλα προβλήματα είναι ότι δεν υπάρχουν συγκεντρωτικά δεδομένα για τις επιθέσεις ransomware καθώς δεν υπάρχει μια κεντρική βάση που καταγράφονται, ενώ και οι επιχειρήσεις πολλές φορές δεν θέλουν να χαρακτηριστούν ως ψηφιακά ευάλωτες.
Το θέμα μπήκε στο επίκεντρο το Μάιο του 2021, όταν Ρώσοι χάκερ παραβίασαν τους υπολογιστές που διαχειρίζονται τον αγωγό ColonialPipeline, προκαλώντας πανικό και αγορές καυσίμων στις ΗΠΑ. Άλλες σημαντικές επιθέσεις εκείνης της χρονιάς σε εταιρείες όπως η JBS (παραγωγός κρέατος) και η IT εταιρεία Kaseya επιβεβαίωσαν ότι οι επιθέσεις ransomware είχαν γίνει πλέον «κανονικότητα».
Το 2022, οι επιθέσεις μειώθηκαν, πιθανώς λόγω του αποπροσανατολισμού των ομάδων ransomware από την εισβολή της Ρωσίας στην Ουκρανία. Ωστόσο, το 2023 το φαινόμενο επέστρεψε δυναμικά, με χάκερ να αποσπούν 1 δισεκατομμύριο δολάρια μέσω ransomware, σύμφωνα με την Chainalysis.
Ορισμένες από τις πιο επικίνδυνες ομάδες, όπως η LockBit, έχουν δημιουργήσει ειδικές πλατφόρμες (dashboards) για τους συνεργάτες τους, αυτοματοποιώντας μεγάλο μέρος της διαδικασίας επίθεσης. Η «εξυπηρέτηση πελατών» αυτού του τύπου, σε συνδυασμό με την προοπτική υψηλών κερδών, έχει προσελκύσει πολλούς νέους δράστες στο χώρο.
Επιπλέον, εργαλεία γενετικής τεχνητής νοημοσύνης όπως το ChatGPT επιτρέπουν στους χάκερς να δημιουργούν πιο πειστικά phishing emails, ενισχύοντας τις πιθανότητες επιτυχίας τους.
Σχεδόν κάθε οργανισμός μπορεί να γίνει στόχος ransomware, καθώς πολλές επιθέσεις είναι τυχαίες και εκμεταλλεύονται ευπάθειες λογισμικού χωρίς να στοχεύουν έναν συγκεκριμένο οργανισμό. Ιδιαίτερα ευάλωτοι είναι οργανισμοί υγείας και σχολεία, καθώς διαθέτουν ευαίσθητα δεδομένα αλλά συνήθως δεν διαθέτουν τον απαιτούμενο προϋπολογισμό ή προσωπικό για ισχυρή κυβερνοασφάλεια.
Τα νοσοκομεία είναι ιδιαίτερα εκτεθειμένα, επειδή παρέχουν κρίσιμες υπηρεσίες και χρειάζονται άμεση αποκατάσταση σε περίπτωση επίθεσης. Το Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου (NHS) αποτελεί χαρακτηριστικό στόχο, καθώς διαθέτει ένα από τα πιο πλήρη εθνικά σύνολα δεδομένων υγείας παγκοσμίως.
Τον Ιούνιο του 2024, μια ρωσική ομάδα χάκερς επιτέθηκε στη Synnovis, εργολάβο που παρέχει υπηρεσίες αιματολογικών εξετάσεων και παθολογίας στο NHS, διακόπτοντας υπηρεσίες σε πολλά νοσοκομεία του Λονδίνου και προκαλώντας βλάβες σε δεκάδες ασθενείς.
Η παγκόσμια απάντηση στους χάκερ
Μετά από μια σειρά καταστροφικών επιθέσεων το 2021, η κυβέρνηση των ΗΠΑ δεσμεύτηκε να εντείνει την καταπολέμηση του κυβερνοεγκλήματος. Έκτοτε, οι ΗΠΑ και οι σύμμαχοί τους έχουν κλείσει dark websites διαβόητων ομάδων ransomware, απήγγειλαν κατηγορίες σε χάκερ και επέβαλαν κυρώσεις σε εταιρείες που διευκολύνουν την καταβολή λύτρων.
Πέρυσι, διεθνείς αρχές επιβολής του νόμου, μεταξύ των οποίων το FBI και η βρετανική Εθνική Υπηρεσία Εγκλήματος, ανακοίνωσαν ότι διέκοψαν τις δραστηριότητες της LockBit. Η ομάδα είχε αποσπάσει πάνω από 120 εκατ. δολάρια από περισσότερα από 2.000 θύματα παγκοσμίως, περιλαμβανομένων σχολείων, κρατικών υπηρεσιών και εταιρειών όπως η Boeing και τα Βρετανικά Ταχυδρομεία.
Παρά τις επιτυχίες αυτές, οι ειδικοί σημειώνουν ότι οι κυβερνοεγκληματίες συχνά αλλάζουν όνομα και επανεμφανίζονται ως νέες ομάδες, συνεχίζοντας τις επιθέσεις.
Ακολουθήστε το Business Daily στο Google news
