Πρώτα επιτέθηκαν στις αρχές του 2016. Κάποιος από τους 500 υπαλλήλους εταιρείας με έδρα την Αθήνα κατέβασε ένα αρχείο που δεν έπρεπε. Η εισβολή έγινε αντιληπτή όταν συνάδελφός του διαπίστωσε ότι δεν μπορούσε να ανοίξει κείμενα στο Word.

Οι τεχνικοί της εταιρείας αποσυνέδεσαν τους υπολογιστές από το Διαδίκτυο και περιόρισαν τη διασπορά του ιού. Λίγους μήνες αργότερα, η ίδια εταιρεία στοχοποιήθηκε ξανά. Υπάλληλος του λογιστηρίου έλαβε e-mail που ζητούσε στα αγγλικά την άμεση εξόφληση τιμολογίου. Στο αρχείο όμως που είχε επισυναφθεί κρυβόταν ένα επικίνδυνο λογισμικό. Αποστολή του ήταν να κλειδώσει προγράμματα και να απαιτήσει ψηφιακά λύτρα για την απελευθέρωσή τους.

Και στις δύο περιπτώσεις η άμεση αντίδραση των τεχνικών της εταιρείας απέτρεψε την «απαγωγή». Αλλοι όμως δεν στάθηκαν το ίδιο τυχεροί. Οπως έχει γίνει γνωστό στην «Κ», ελληνική εταιρεία αναγκάστηκε να πληρώσει ψηφιακά λύτρα όταν μολύνθηκε υπολογιστής στελέχους της κατά τη διάρκεια ταξιδιού. Δεν είχαν κρατηθεί αντίγραφα ασφαλείας (backup) και η εταιρεία έκρινε ότι τα κλειδωμένα αρχεία της ήταν ιδιαίτερα σημαντικά και έπρεπε να ανακτηθούν. Αντίστοιχα, εμπορική επιχείρηση κλήθηκε να πληρώσει 7.000 ευρώ σε ψηφιακά λύτρα. Το κακόβουλο λογισμικό είχε εγκατασταθεί στους υπολογιστές της όταν κάποιος υπάλληλος κατέβασε αρχείο από ιστοσελίδα πορνογραφικού περιεχομένου.

Οι επιθέσεις αυτού του τύπου (με κακόβουλο λογισμικό που αποκαλείται Ransomware) λαμβάνουν ανησυχητικές διαστάσεις στην Ελλάδα, όπως αναφέρουν στην «Κ» ειδικοί στον χώρο της ασφάλειας δικτύων. «Υπάρχει μεγάλη έξαρση. Αρκετές εταιρείες στον τομέα της χονδρικής πώλησης έχουν πληγεί. Το τελευταίο τετράμηνο έχουμε πάνω από 15 σχετικά περιστατικά και σε ξενοδοχειακές μονάδες σε Κρήτη, Ρόδο, Κέρκυρα», λέει ο Δημήτρης Παπαμιχαήλ, υπεύθυνος για την προστασία και ανάκτηση δεδομένων στην εταιρεία Northwind.

Ενδεικτικά, τον Μάρτιο η εταιρεία στην οποία εργάζεται αντιμετώπισε 292 υποθέσεις Ransomware στην Ελλάδα, ενώ τον ίδιο μήνα πέρυσι κλήθηκε να δράσει σε 73 αντίστοιχα περιστατικά. Παρόμοιες επιθέσεις έχουν στραφεί και κατά δημοσίων φορέων και σύμφωνα με πληροφορίες της «Κ» τουλάχιστον σε μία περίπτωση πληρώθηκαν λύτρα.

Οι στόχοι των δραστών

Στη λίστα των πληγέντων περιλαμβάνονται συμβολαιογράφοι, δικηγόροι, γιατροί και μηχανικοί. Οι κακόβουλοι χάκερ κλειδώνουν (κρυπτογραφούν) μεταξύ άλλων πελατολόγια, αρχεία με οικονομικές συναλλαγές, ή άλλα έγγραφα που μπορεί να έχουν ζωτική σημασία για τη δραστηριότητα μιας επιχείρησης ή ενός επαγγελματία. Συνήθως αρχεία του Office είναι ο κύριος στόχος, αλλά αυτό δεν σημαίνει ότι δεν μπορούν να πληγούν και άλλα προγράμματα, ή σκληροί δίσκοι που είναι συνδεδεμένοι με τον εκτεθειμένο υπολογιστή. Σε μήνυμά τους με οδηγίες καταβολής των λύτρων οι δράστες υπόσχονται ότι μετά την πληρωμή θα στείλουν το κλειδί αποκρυπτογράφησης για την απελευθέρωση των αρχείων.

Αυτό το μήνυμα εμφανιζόταν και σε χρήστες στην Ελλάδα που είχαν μολυνθεί από τον συγκεκριμένο ιό.

Η έδρα των επιτιθέμενων δεν γίνεται πάντοτε γνωστή. Εχει διαπιστωθεί όμως –και από κρούσματα σε άλλες χώρες– ότι κάποιες επιθέσεις εκπορεύονται από σέρβερ στην Ουκρανία, τη Ρωσία ή την Κίνα. Τα λύτρα συνήθως ζητούνται σε bitcoin, τύπο ψηφιακού νομίσματος που μπορεί εύκολα να ξεπλυθεί στο Διαδίκτυο ώστε να μη φαίνεται η προέλευσή του. «Σε εταιρικό επίπεδο συνήθως οι δράστες ζητούν 5-10 bitcoins», λέει ο Κωνσταντίνος Βαβούσης από την εταιρεία Trust-IT που χειρίζεται υποθέσεις αντιμετώπισης Ransomware. Αυτή την περίοδο ένα bitcoin αντιστοιχεί σε λίγο περισσότερο από 1.100 ευρώ.

Δεν αποκλείεται πάντως οι πληγέντες να διαπραγματευτούν με τους δράστες, μια διαδικασία που μπορεί να διαρκέσει αρκετές εβδομάδες. Ο Νίκος Γεωργόπουλος από την εταιρεία ασφάλισης Cyberinsurance θυμάται σχετικό περιστατικό με επαγγελματία που κατάφερε να ρίξει τα 7 bitcoins σε 3 χρησιμοποιώντας ως επιχείρημα την οικονομική κρίση. Τελικά δεν πλήρωσε ούτε αυτό το ποσό, καθώς αποφάσισε να χρησιμοποιήσει παλιότερο backup. Ο κ. Γεωργόπουλος δραστηριοποιείται σε έναν σχετικά νέο κλάδο στην Ελλάδα, που μεταξύ άλλων παρέχει πρόσθετη ασφαλιστική κάλυψη σε εταιρείες για περιστατικά κυβερνοεκβιασμού.

«Οι Ransomware επιθέσεις εναντίον επιχειρήσεων αυξάνονται επειδή οι ψηφιακοί εγκληματίες γνωρίζουν ότι οι οργανισμοί είναι πιο πιθανό να πληρώσουν λύτρα», δηλώνει στην «Κ» ο David Emm, βασικός ερευνητής ασφαλείας της εταιρείας Kaspersky Lab. Η εταιρεία του συνεργάζεται με τη Europol στην πρωτοβουλία «No More Ransom» προσφέροντας δημοσίως κλειδιά αποκρυπτογράφησης ιών που χρησιμοποιούν οι δράστες. Ενα από αυτά τα κλειδιά χρησίμευσε και σε συμβολαιογράφο ελληνικού νησιού, τα αρχεία του οποίου είχαν κλειδωθεί και τελικά δεν χρειάστηκε να καταβάλει λύτρα. Μέσα στο 2017 πάντως χτυπήθηκε εταιρεία στη Βόρεια Ελλάδα που τελικά πλήρωσε 10 bitcoin στους δράστες καθώς δεν μπόρεσε να ανακτήσει τα δεδομένα της.

«Οι μικρομεσαίες επιχειρήσεις μπορεί να δίνουν έμφαση στην παραγωγή, αλλά και η ψηφιακή ασφάλεια είναι σημαντική. Πρέπει να κρατούν αντίγραφα ασφαλείας και να ενημερώνουν τα λογισμικά τους. Απώλειες σε δύο-τρεις συναλλαγές μπορεί να αποβούν καθοριστικές για τη βιωσιμότητά τους», λέει στην «Κ» ο επικεφαλής της Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ. Γιώργος Παπαπροδρόμου. Πέρυσι η υπηρεσία του σχημάτισε 891 δικογραφίες για υποθέσεις οικονομικής φύσεως, ενώ το 2015 δεν ξεπερνούσαν τις 510. Σε αυτές περιλαμβάνονταν και επιθέσεις για ψηφιακά λύτρα.

Ο ερευνητής ασφαλείας δικτύων Ανδρέας Βενιέρης λέει ότι το τελευταίο διάστημα έχει διαδοθεί η χρήση κακόβουλου λογισμικού που πωλείται ή ενοικιάζεται στους δράστες (ένα εξ αυτών κοστολογείται προς 1.000 ευρώ τον χρόνο). Αυτή η τακτική αποκαλείται «Ransomware-as-a-Service» και απευθύνεται σε εγκληματίες που δεν έχουν τις ικανότητες, τους πόρους ή τη διάθεση για να αναπτύξουν δικό τους λογισμικό.

«Οι προγραμματιστές προσφέρουν το κακόβουλο προϊόν τους »κατά παραγγελία», πουλώντας αποκλειστικά τροποποιημένες εκδόσεις σε πελάτες οι οποίοι στη συνέχεια τις διανέμουν μέσω spam ιστοσελίδων, πληρώνοντας προμήθεια στο δημιουργό», εξηγεί ο κ. Emm.

Ransomware προς πώληση στο «Σκοτεινό Διαδίκτυο».

Ο ερευνητής ασφαλείας δικτύων Δημήτρης Σιατήρας, όπως και ο κ. Βαβούσης, επισημαίνει ότι η καταβολή των λύτρων δεν αποτελεί ενδεδειγμένη λύση. Κανείς δεν εγγυάται ότι οι απαγωγείς θα στείλουν το κλειδί αποκρυπτογράφησης ή ότι δεν θα χτυπήσουν ξανά στο μέλλον. Οπως τονίζει, εταιρείες και ιδιώτες πρέπει να έχουν προβεί σε όλες τις απαραίτητες αναβαθμίσεις ασφαλείας στα συστήματά τους για να εξασφαλίσουν σε σημαντικό βαθμό τη θωράκισή τους.

Ο κ. Παπαμιχαήλ που εργάζεται στην ανάκτηση δεδομένων, παρατηρεί ότι το 2016 και τους πρώτους μήνες του 2017 οι τύποι Ransomware με τη μεγαλύτερη διάδοση στην Ελλάδα ήταν οι «Locky», «Dharma» και «Cerber». Σε μία από τις πιο ανησυχητικές επιθέσεις που θυμάται, οι δράστες μόλυναν υπολογιστές εταιρείας απειλώντας ότι θα διαγράψουν δεδομένα εάν δεν πληρωθούν σε δύο ημέρες. Το σημείωμά τους ήταν γραμμένο στα τουρκικά. «Στείλαμε δύο μηχανικούς και καταφέραμε να ανακτήσουμε τα αρχεία προτού εκπνεύσει η διορία», λέει.

Καθημερινή

Σε πλήρη εξέλιξη βρίσκονται οι έρευνες για την εξιχνίαση της απαγωγής γνωστού επιχειρηματία στο Ηράκλειο της Κρήτης.

Σύμφωνα με τις τελευταίες πληροφορίες, οι απαγωγείς φέρονται να έχουν κάνει ήδη μια πρώτη επικοινωνία με την οικογένεια και να έχουν ζητήσει λύτρα, ενώ ειδικοί διαπραγματευτές της ΕΛΑΣ βρίσκονται ήδη στο Ηράκλειο, προκειμένου να αναλάβουν τη διαπραγμάτευση με τους απαγωγείς. Πρώτο τους μέλημα είναι να λάβουν «απόδειξη ζωής» - να βεβαιωθούν, δηλαδή, ότι ο επιχειρηματίας είναι σε καλή κατάσταση.

Οι δράστες φαίνεται πως είχαν στήσει καρτέρι στον οικισμό εκτός Ηρακλείου, στον επιχειρηματία κι όταν πλησίασε με το αυτοκίνητο του τον χτύπησαν, τον ακινητοποίησαν και τον άρπαξαν.

Κλιμάκιο από την Αθήνα καταφθάνει στην Κρήτη προκειμένου να ερευνηθεί η ύπαρξη γενετικού υλικού -εάν σταθούν τυχεροί -καθώς μπορεί να μην έχουν καεί τα πάντα λόγω της βροχόπτωσης.

Να σημειωθεί ότι η οικονομική επιφάνεια του θύματος και της οικογένειάς του είναι γνωστή σε όλη την Κρήτη και όχι μόνο. Η οικογένεια, πάντως, διατηρούσε πάντοτε εξαιρετικά χαμηλούς τόνους.

Σύμφωνα πάντως με το cretalive.gr, τα πρώτα στοιχεία παραπέμπουν σε μια καλά στημένη επιχείρηση που σχεδιαζόταν εδώ και μήνες από επαγγελματίες.

Το γεγονός και μόνο ότι τα αυτοκίνητα που χρησιμοποίησαν στην απαγωγή και στη συνέχεια έκαψαν για να εξαφανίσουν τα ίχνη τους είχαν κλαπεί από το 2016 δείχνει ότι σχεδίαζαν για μήνες το εγχείρημά τους. Σύμφωνα με τις εκτιμήσεις τις αστυνομίας οι δράστες γνωρίζουν καλά πως να διαχειριστούν την υπόθεση ενώ εικάζεται πως ως επαγγελματίες θα τηρήσουν τη συμφωνία που θα επιτύχουν.

Το χρονικό της απαγωγής

Η απαγωγή, σύμφωνα με την εικόνα που έχουν σχηματίσει έως τώρα οι Αρχές, έγινε νωρίς το απόγευμα της Πέμπτης, και ενώ ο 54χρονος επιχειρηματίας βρισκόταν καθ' οδόν από το Ηράκλειο προς τα Καλέσσα - ένα οικισμό έξω από την πόλη. Ο συναγερμός σήμανε μετά τον εντοπισμό του πολυτελούς αυτοκινήτου του επιχειρηματία, που βρέθηκε εγκαταλελειμμένο, με ανοιχτές τις πόρτες στον επαρχιακό δρόμο και τρακαρισμένο. Η αστυνομία διαπίστωσε ότι επρόκειτο για το αυτοκίνητο του συγκεκριμένου προσώπου και επικοινώνησε με την οικογένειά του, που δήλωσε άγνοια για το τι είχε συμβεί. Αμέσως σήμανε συναγερμός, ενώ η οικογένεια κάλεσε μια φορά στο κινητό του 54χρονου. Το τηλέφωνο ήταν ακόμη ανοιχτό εκείνη την ώρα, αλλά «σίγησε» από εκείνη τη στιγμή και μετά.

Λίγα λεπτά αργότερα, όμως, η Πυροσβεστική ειδοποιήθηκε να επέμβει καθώς δύο αυτοκίνητα καίγονταν στο δρόμο προς τον οικισμό Καλέσσα, κοντά στο Πανεπιστημιακό Νοσοκομείο. 
Επρόκειτο για μία BMW και ένα αγροτικό, που κάηκαν, ωστόσο, ολοσχερώς. Όπως εκτιμάται, το ένα αυτοκίνητο το είχαν χρησιμοποιήσει για να «κλείσουν» το όχημα του επιχειρηματία, ενώ στο δεύτερο, κατά πάσα πιθανότητα τον επιβίβασαν αρχικά, μέχρι να φτάσουν στο σημείο όπου έκαψαν και τα δύο αυτοκίνητα και εξαφανίσθηκαν με τρίτο.

Οι δράστες έβαλαν φωτιά και στα δύο αυτοκίνητα για να εξαφανίσουν τα ίχνη τους.  Οι κάτοικοι της περιοχής, που είδαν τον πυκνό καπνό, ειδοποίησαν την Πυροσβεστική και αμέσως έφτασαν δύο οχήματα με οκτώ πυροσβέστες που έσβησαν τις φλόγες. Όμως, τα οχήματα είχαν ήδη καταστραφεί και πλέον εξετάζονται από ειδικούς της Εγκληματολογικής Υπηρεσίας, σε μια προσπάθεια να βρεθούν τυχόν αποτυπώματα και ίχνη γενετικού υλικού, τόσο στα αυτοκίνητα, όσο και στον περιβάλλοντα χώρο

Οι έρευνες των αστυνομικών αρχών βρίσκονται σε πλήρη εξέλιξη από το μεσημέρι, οπότε και χάνονται τα ίχνη του επιχειρηματία, ενώ σύμφωνα με τις πρώτες πληροφορίες το αυτοκίνητο που οδηγούσε βρέθηκε εγκαταλελειμμένο και τρακαρισμένο λίγο έξω από τα Καλέσσα του Δήμου Μαλεβιζίου, πολύ κοντά στον τόπο της μόνιμης κατοικίας του. Σύμφωνα με τις ίδιες πληροφορίες, στον 50χρονο άνδρα είχαν στήσει ενέδρα άγνωστοι δράστες οι οποίοι επέβαιναν σε δύο ΙΧ αυτοκίνητα. Αφού του έκλεισαν τον δρόμο εμβολίζοντάς τον, στη συνέχεια τον απομάκρυναν διά της βίας από το όχημά του. Έκτοτε τα ίχνη του εξαφανίζονται.

imerisia.gr