Σαν τη μαύρη θάλασσα. Δεν βλέπεις κάτω από την επιφάνεια, αλλά ξέρεις ότι μέσα της κρύβεται ένας θαυμαστός και ταυτόχρονα άγριος και τρομακτικός άλλος κόσμος. Αυτή η εικόνα μού ερχόταν στο μυαλό όσο ο Κυπριανός Βασιλόπουλος, επικεφαλής σύμβουλος ασφάλειας της εταιρείας Full Counter και ειδικός στην κυβερνοασφάλεια, μου μιλούσε για την κακόβουλη δραστηριότητα που εξελίσσεται στον ψηφιακό υπόκοσμο, όσο εμείς σφυρίζουμε και σερφάρουμε ανέμελα. «Οι επιθέσεις από ransomware groups είναι καθημερινές. Διαρροές δεδομένων γίνονται καθημερινά. Απλώς ο κόσμος δεν μπορεί να το αντιληφθεί».
Το ransomware είναι ένας τύπος κακόβουλου λογισμικού ή λογισμικού κακόβουλης λειτουργίας που απειλεί το θύμα καταστρέφοντας ή εμποδίζοντας την πρόσβαση σε κρίσιμα δεδομένα ή συστήματα έως ότου καταβληθούν λύτρα. Οταν επιτίθεται σε μια συσκευή με επιτυχία, «κλειδώνει» την οθόνη ή κρυπτογραφεί τα δεδομένα που είναι αποθηκευμένα στον δίσκο. Στη συνέχεια εμφανίζει μια απαίτηση καταβολής λύτρων με αναλυτικές λεπτομέρειες πληρωμής.
Θεωρείται μία από τις πιο διαδεδομένες μορφές επιθέσεων. Το 2023, κάθε εβδομάδα, κατά μέσον όρο, 1 στους 34 οργανισμούς παγκοσμίως αντιμετώπιζε απόπειρα επίθεσης ransomware, που αντιπροσωπεύει αύξηση 4% σε σύγκριση με την ίδια περίοδο πέρυσι. Το 2021 τα έσοδα που αποκόμισαν οι χάκερ από επιθέσεις «λυτρισμικού» έφτασαν τα 18 δισ. ευρώ, 57 φορές περισσότερα από ό,τι το 2015. Βάσει των τελευταίων δεδομένων, ο μέσος όρος λύτρων που καταβάλλονται ετησίως από επιχειρήσεις διπλασιάστηκε από 71.000 ευρώ το 2019 σε 150.000 ευρώ το 2020.
«Στην Ελλάδα υπάρχουν κάποιες μεγάλες εταιρείες –όπως τράπεζες ή εταιρείες τηλεπικοινωνιών– που έχουν αντιληφθεί τον κίνδυνο και έχουν επενδύσει στην ασφάλειά τους αλλά και πολλές εταιρείες που δεν είναι αρκετά ώριμες για να αντιληφθούν την ανάγκη προστασίας από τέτοιες επιθέσεις», λέει ο κ. Βασιλόπουλος. «Πολλές θεωρούν ακόμη την ασφάλεια πολυτέλεια. Ευτυχώς η νομοθεσία περί GDPR (σ.σ. Γενικός Κανονισμός για την Προστασία των Δεδομένων 2016/679) ώθησε εταιρείες που δεν είχαν την κυβερνοασφάλεια σε πρώτη προτεραιότητα να προχωρήσουν σε συγκεκριμένες ενέργειες. Η προστασία των προσωπικών δεδομένων δεν εξαντλείται στο νομικό κομμάτι, έχει και ένα τεχνικό σκέλος».
Ο κίνδυνος από μια επίθεση ransomware δεν αφορά μόνο το ποσό που τελικά θα δοθεί (ή όχι) στους εισβολείς. Μια τέτοια επίθεση μπορεί να οδηγήσει σε διακοπή των υπηρεσιών της εταιρείας, άρα σε απώλεια εσόδων και φυσικά σε μείωση της εμπιστοσύνης των καταναλωτών. Επιπλέον, η αναφορά της επίθεσης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επισύρει πρόστιμο. Στα ΕΛΤΑ, που δέχθηκαν επίθεση ransomware το 2022, επιβλήθηκε πρόστιμο ύψους 2,9 εκατ. ευρώ. Την επίθεση είχε αποκαλύψει η «Κ». Στόχοι έχουν υπάρξει στην Ελλάδα και πανεπιστήμια. Στις 2 Μαρτίου 2023, για παράδειγμα, είχαν τεθεί σε ηλεκτρονική ομηρία τα ηλεκτρονικά συστήματα του Πανεπιστημίου Αιγαίου. Το αίτημα για πληρωμή λύτρων δεν ικανοποιήθηκε ποτέ, με αποτέλεσμα εκατοντάδες αρχεία να αναρτηθούν σε σελίδα της ομάδας κυβερνοεκβιαστών LockBit στο dark web. Το 2023, από όλες τις ενεργές ομάδες ransomware, η Lockbit3 ήταν η πιο «παραγωγική». Η ομάδα προσπάθησε να εκβιάσει οργανώσεις σε περισσότερες από 500 διαφορετικές περιπτώσεις. Στόχοι της είναι μεγάλες επιχειρήσεις και κυβερνητικοί φορείς σε όλο τον κόσμο. Δεν είναι τυχαίο ότι στις ΗΠΑ οι επιθέσεις ransomware έχουν ενταχθεί στις τρομοκρατικές απειλές.
«Διακεκριμένοι άνθρωποι του χώρου από όλο τον κόσμο θα παρου- σιάσουν τις νέες τεχνικές επίθεσης», εξηγεί ο κ. Βασιλόπουλος που βρίσκεται πίσω από την πρωτοβουλία.
«Γι’ αυτό αποφασίσαμε να διοργανώσουμε αυτό το συνέδριο. Ωστε όσοι ασχολούνται με την πληροφορική και την ασφάλεια να ενημερωθούν για τις νέες μεθόδους επιθέσεων, να υπάρξει ευαισθητοποίηση, να αρχίσουμε να ανεβάζουμε τον πήχυ».
Αναφέρεται στο Offensive X, το νέο διεθνές συνέδριο κυβερνοασφάλειας που διοργανώνεται στην Αθήνα στις 20-21 Ιουνίου στο ψηλότερο σημείο του ΚΠΙΣΝ, τον Φάρο. Η πρωτοβουλία ανήκει στον Κυπριανό Βασιλόπουλο και στην Αθηνά Πωλίνα Ντόβα, συνιδρύτρια και επιχειρησιακή διευθύντρια της εταιρείας συμβουλευτικών υπηρεσιών ανθρώπινου δυναμικού Owiwi (η οποία, ειρήσθω εν παρόδω, βρίσκεται στη λίστα των 100 πιο επιδραστικών ανθρώπων στον κόσμο στον χώρο της προσέλκυσης ταλέντων). Οι δυο τους συναντήθηκαν πριν από λίγους μήνες στο φημισμένο συνέδριο κυβερνοασφάλειας Black Hat στο Λας Βέγκας. Ο Κυπριανός παρακολουθεί ανελλιπώς το συνέδριο τα τελευταία 13 χρόνια, ενώ για την Αθηνά ήταν η πρώτη φορά. «Αρχισα να ανακαλύπτω το κομμάτι του cybersecurity μέσα στην καραντίνα», λέει η ίδια στην «Κ». «Με κέρδισε ο χώρος». Συζητώντας, σκέφτηκαν ότι λείπει ένα μεγάλο τέτοιο συνέδριο από την Αθήνα. Και κάπως έτσι αποφάσισαν να καλύψουν το κενό οι ίδιοι.
«Διακεκριμένοι άνθρωποι του χώρου από όλο τον κόσμο θα παρουσιάσουν τις νέες τεχνικές επίθεσης, με μόνο στόχο να προστατευθούν οι οργανισμοί», εξηγεί ο κ. Βασιλόπουλος. «Θα παρουσιαστεί, για παράδειγμα, μια νέα μέθοδος για car hacking, πώς να προσπελάσεις τα συστήματα των σύγχρονων αυτοκινήτων. Οχι φυσικά για να το κάνει κάποιος, αλλά για να δείξουμε την ευπάθεια του συστήματος». Οι συμμετέχοντες, λειτουργώντας ως «ηθικοί χάκερ», θα χρησιμοποιήσουν αργότερα αυτή την τεχνική για να διαπιστώσουν εάν υπάρχουν κενά ασφαλείας σε άλλες εταιρείες.
Ο ανθρώπινος παράγων
Η διεθνής τάση στην ασφάλεια είναι το Red Teaming, η υπηρεσία στην οποία μια ομάδα μιμείται τις τακτικές και τεχνικές κακόβουλων χρηστών, δοκιμάζοντας την άμυνα μιας επιχείρησης τόσο σε συστήματα ασφάλειας όσο και σε κτίρια και ανθρώπινο δυναμικό. Κι αυτό γιατί γνωρίζουμε σήμερα ότι οι επιτιθέμενοι λαμβάνουν υπόψη και άλλους παράγοντες, όπως το πότε έχει περισσότερο στρες ένας εργαζόμενος ή περισσότερο φόρτο εργασίας. Γιατί τότε είναι πιθανό να μην προσέξει ότι η διεύθυνση από το κατάστημα που του προσφέρει δωρεάν κουπόνι δεν είναι έγκυρη και να πατήσει το λινκ. Ενας μόνο να το ανοίξει, αρκεί.
