Οι κυβερνοπειρατές δεν σταματούν ποτέ και στην τελευταία τους «δουλειά» ζήτησαν λύτρα 70 εκατ. δολαρίων, ισχυριζόμενοι πως έχουν μολύνει πάνω από 1 εκατ. συσκευές.
Το χτύπημα στην αμερικανική εταιρία τεχνολογίας Kaseya έπληξε περισσότερες από 1.000 επιχειρήσεις και οργανισμούς, αποτελώντας άλλη μια ασύμμετρη απειλή για την online εφοδιαστική αλυσίδα.
Μιας και μιλάμε όμως για το ίντερνετ, χρειάστηκαν μόλις 3 μέρες για να σταθμιστεί η απειλή και να φανεί πόσο εκτεταμένη ήταν η ζημιά.
Οι χάκερ ζήτησαν λύτρα αξίας 70 εκατ. δολαρίων (σε κρυπτονομίσματα), δεν θα αργούσε ωστόσο να γίνει γνωστή η ταυτότητά τους.
Το λογισμικό της Kaseya χρησιμοποιείται από χιλιάδες εταιρίες και παρόχους για IT υπηρεσίες απομακρυσμένης βοήθειας. Στις 2 Ιουλίου δέχτηκε μια συντονισμένη επίθεση από ομάδα χάκερ, η οποία έπληξε τις εταιρίες που χρησιμοποιούν την πλατφόρμα και τους πελάτες τους.
Οι ρώσοι κυβερνοπειρατές της ομάδας REvil ήταν τελικά οι δράστες, μόνο που η ιστορία έχει πολύ «ζουμί»…
Τι γίνεται όταν είσαι τρωτός
Το ολλανδικό ινστιτούτο DIVD (Dutch Institute for Vulnerability Disclosure) αποκάλυψε πως το λογισμικό της Kaseya δεν ήταν ασφαλές. «Κάναμε ήδη μια εκτεταμένη έρευνα σε εργαλεία και συστήματα εκτιμώντας τους κινδύνους τους. Ένα από τα προϊόντα που ελέγχαμε είναι το Kaseya VSA. Ανακαλύψαμε πολλούς παράγοντες κινδύνου στο Kaseya VSA και τους αναφέραμε στην Kaseya, με την οποία διατηρούμε έκτοτε στενή επαφή».
Οι εξελίξεις ήταν έκτοτε καταιγιστικές. Όταν έλαβε χώρα η επίθεση στις 2 Ιουλίου, ο γενικός διευθυντής της Kaseya, Fred Vocolla, βγήκε την ίδια μέρα και δήλωσε πως «μόλις ένα πολύ μικρό ποσοστό των πελατών μας επηρεάστηκε, εκτιμούμε για την ώρα πως είναι λιγότεροι από 40 παγκοσμίως».
Δύο μέρες όμως αργότερα, ο αντιπρόεδρος της Sophos, Ross McKerchar, αποκάλυπτε σε γραπτή του δήλωση πως «αυτή είναι μια από τις πιο εκτεταμένες εγκληματικές επιθέσεις με ransomware που έχει δει ποτέ η Sophos». Ακόμα και αυτή μιλούσε όμως για 70 πληττόμενους παρόχους υπηρεσιών και 350 εταιρίες.
Ακόμα και ο πρόεδρος Μπάιντεν έκανε αναφορά στο τεράστιο χτύπημα, όπως και οι επικεφαλής των αμερικανικών διωκτικών υπηρεσιών, λέγοντας πως το FBI θα προσεγγίσει τα θύματα της κυβερνοεπίθεσης για να εκτιμηθεί αν η επίθεση συνιστά εθνική απειλή.
Όσο γίνονταν αυτά, η Huntress Labs, που συμμετέχει στην ομάδα αντίδρασης στο χτύπημα, έβαλε την κυβερνοεπίθεση στις σωστές της διαστάσεις: μίλησε για περισσότερες από 1.000 πληττόμενες επιχειρήσεις.
Τελικά το επιβεβαίωσε και η REvil, όταν ζήτησε τα λύτρα των 70 εκατ. δολαρίων σε Bitcoins για να ξεκλειδώσει τα πληττόμενα δίκτυα και υπολογιστές, μιλώντας για πάνω από 1 εκατ. συσκευές. Η REvil μόνο άγνωστη δεν είναι στις εταιρίες κυβερνοασφάλειας.
Της αποδίδονται πλήθος επιθέσεις, όπως μια αντίστοιχη (πάλι με θύμα την Kaseya) τον Ιούνιο του 2019, αλλά και μια πολύκροτη ιστορία με επίθεση στον προμηθευτή κρεάτων JBS τον Ιούνιο του 2021. Από τον οποίο ζήτησαν λύτρα 11 εκατ. δολαρίων (σε Bitcoins πάντα) και τα πήραν.
Ένας από τους πελάτες που χτυπήθηκε ιδιαιτέρως από την κυβερνοεπίθεση στην Kaseya ήταν η Coop, μια αλυσίδα σουπερμάρκετ της Σουηδίας με περισσότερα από 800 καταστήματα. Τα οποία έβαλαν λουκέτο στις 3 Ιουλίου, καθώς δεν μπορούσαν να λειτουργήσουν τα ταμεία.
Ακόμα και 3 μέρες μετά την επίθεση, οι σέρβερ της Kaseya παρέμεναν offline, γεγονός που έδειξε ότι η επίθεση δεν ήταν καθόλου αστεία ιστορία…
Η μεγαλύτερη ransomware επίθεση στα χρονικά
Χάκερ χτύπησαν μια εταιρία πληροφορικής στη Φλόριντα των ΗΠΑ, ρίχνοντας σαν ντόμινο παρόχους υπηρεσιών και πελάτες σε τουλάχιστον 17 χώρες του κόσμου. Αυτό είναι το χαρακτηριστικό που κάνει αυτές τις κυβερνοεπιθέσεις τόσο επικίνδυνες για την αγορά.
Οι χάκερ απέκτησαν πρόσβαση σε δεδομένα ευαίσθητου χαρακτήρα και ζήτησαν λύτρα για την επιστροφή τους.
Η επίθεση στην Kaseya πέρασε τελικά στα χρονικά του ίντερνετ ως «η μεγαλύτερη καταγεγραμμένη επίθεση ransomware», επηρεάζοντας από σουπερμάρκετ στη Σουηδία μέχρι λογιστικά γραφεία στις ΗΠΑ και σχολεία στη Νέα Ζηλανδία.
Την ώρα που οι εταιρίες κυβερνοασφάλειας προσπαθούσαν να περιορίσουν τη ζημιά και να ανακτήσουν τον έλεγχο των δικτύων και των κλεμμένων δεδομένων, η κυβέρνηση Μπάιντεν σκεφτόταν ακόμα και το ενδεχόμενο διπλωματικών κυρώσεων.
Η επιλογή της Kaseya δεν ήταν φυσικά τυχαία. Ο γνωστός πάροχος ψηφιακών υπηρεσιών προσφέρει τα εργαλεία και τα συστήματά του σε μικρομεσαίες εταιρίες που δεν έχουν τους πόρους για δικές τους υποδομές και τμήματα πληροφορικής.
Η Kaseya, για να προστατεύσει τους πελάτες της, κάνει συχνά updates στους λογαριασμούς τους, αναβαθμίζοντας τα συστήματα ασφαλείας. Και ήταν σε μια τέτοια αναβάθμιση που παρεισέφρησαν οι χάκερ, φυτεύοντας κακόβουλο λογισμικό στα συστήματα των πελατών.
Αυτό ήταν το χαρακτηριστικό που έκανε αυτή την επίθεση τόσο διαβόητη, πως στόχευσε στα ίδια συστήματα και δομές ελέγχου που επιστρατεύονται για να προστατεύουν τους πελάτες από κακόβουλα λογισμικά!
«Αυτό είναι πολύ τρομακτικό για πολλούς λόγους, είναι ένας εντελώς διαφορετικός τύπος επίθεσης από ό,τι έχουμε δει ως τώρα», εξήγησε χαρακτηριστικά στον Guardian o καθηγητής πληροφορικής στο Vanderbilt University, Doug Schmidt, «αν μπορείς να χτυπήσεις κάποιον μέσω ενός έμπιστου καναλιού, τότε γίνεται εξαιρετικά τρομακτικό, θα έχει συνέπειες πολύ μεγαλύτερες και από τα πιο τρελά όνειρα του δράστη».
Η Kaseya αποτίμησε τελικά ακριβέστερα τη ζημιά, κάνοντας λόγο για 800-1.500 επιχειρήσεις, ανεξάρτητοι ερευνητές και τρίτες εταιρίες κυβερνοασφάλειας έστειλαν ωστόσο το νούμερο σε περισσότερες από 2.000. Μεταξύ των θυμάτων ήταν και 145 αμερικανικοί οργανισμοί, όπως ομοσπονδιακές και πολιτειακές υπηρεσίες του ευρύτερου δημόσιου τομέα.
Για «οδοντιατρεία και λογιστικά γραφεία» έκανε λόγο ο αμερικανός πρόεδρος, θέλοντας προφανώς να υποβαθμίσει το γεγονός. «Όπως όλα δείχνουν, φαίνεται να έχουν προκαλέσει μικρές ζημιές στις αμερικανικές επιχειρήσεις, αλλά συνεχίζουμε να μαζεύουμε πληροφορίες», δήλωσε ο Τζο Μπάιντεν στις 6 Ιουλίου, «αισθάνομαι καλά για την ικανότητά μας να μπορούμε να απαντάμε [σε αυτές τις επιθέσεις]».
Ποιος είναι πίσω από την επίθεση
Συνεργαζόμενα δίκτυα και παρακλάδια της ρωσικής ομάδας χάκερ REvil ανέλαβαν την ευθύνη για το γιγαντιαίο και πρωτόγνωρο χτύπημα.
Η REVil απασχόλησε ξανά την ειδησεογραφία τον Ιούνιο του 2021, όταν εξαπέλυσε άλλο ένα συντριπτικό πλήγμα, κατά της αμερικανικής JBS αυτή τη φορά, γονατίζοντάς τη. Η JBS πλήρωσε τελικά τα λύτρα των 11 εκατ. δολαρίων για να ξανασταθεί στα πόδια της.
Η REvil είναι πλέον μεγάλη και τρομακτική ιστορία, τόσο για το ίντερνετ όσο και το επιχειρείν. Εταιρίες κυβερνοασφάλειας μας λένε πως προσφέρει πια το «ransomware ως υπηρεσία», παρέχει δηλαδή την ικανότητά της να χτυπά δίκτυα και υποδομές σε άλλες εγκληματικές οργανώσεις και κρατά ένα ποσοστό των λύτρων.
Ακόμα και το δικό της κανάλι «εξυπηρέτησης πελατών» διαθέτει, επιτρέποντας στα θύματα να πληρώνουν ευκολότερα τα λύτρα.
Η REvil απασχολεί πολύ τελευταία τις εταιρίες κυβερνοασφάλειας. Τον Μάρτιο ζήτησε λύτρα 50 εκατ. δολαρίων από την Acer για παρόμοια επίθεση, η εταιρία αρνήθηκε ωστόσο να σχολιάσει αν και τι συνέβη.
Αλλά και πέρυσι χτύπησε την Travelex, ζητώντας 3 εκατ. δολάρια σε λύτρα. Η Travelex επιβεβαίωσε το γεγονός, λέγοντας πως την έπληξε η ομάδα Sodinokibi. Το όνομα με το οποίο είναι γνωστή σε κάποιους κύκλους η REvil δηλαδή!
Η McAfee δήλωσε τότε ότι η REvil λειτουργεί ως «πληρωμένη υπηρεσία», επιτρέποντας σε άλλα εγκληματικά δίκτυα να «πειράζει» το λογισμικό της για την εκάστοτε κακόβουλη χρήση. Νέες εποχές σίγουρα για το κυβερνοέγκλημα…
Τι έγινε τελικά με τον εκβιασμό
Το καλύτερο μέρος της ιστορίας μας έμεινε για το τέλος. Όπως δήλωσε ο CEO της Kaseya, Fred Voccola, στο πρακτορείο Reuters, δεν πρόκειται να επιβεβαιώσει ποτέ αν η Kaseya πλήρωσε ή όχι τα 70 εκατ. δολάρια στους χάκερ. Ούτε αν διαπραγματεύτηκε με τους κυβερνοπειρατές ώστε να μειωθεί το αστρονομικό ποσό.
«Κανένα σχόλιο για ό,τι έχει να κάνει με διαπραγματεύσεις με τρομοκράτες, κατά κανέναν τρόπο», περιορίστηκε να δηλώσει. Η θέση του είναι λεπτή, αλίμονο. Αν τα λύτρα πληρωθούν, τότε αυτό ενδέχεται να πυροδοτήσει μια κούρσα εκβιασμών από πλευράς κυβερνοπειρατών.
Δίνοντάς τους ταυτοχρόνως περισσότερους πόρους και μέσα, ώστε να αποκτήσουν καλύτερο εξοπλισμό και να εντατικοποιήσουν τις επιθέσεις τους.
Για «επαγγελματίες χάκερ» κάνει χαρακτηριστικά λόγο και ο ακαδημαϊκός Doug Schmidt: «Όταν οι χάκερ διαβεβαιώνονται πως θα πληρωθούν και κανείς δεν θα τους πιάσει, τότε γίνονται ολοένα και πιο θρασείς. Θα δούμε μια τεράστια, τεράστια κλιμάκωση σε αυτού του είδους τις επιθέσεις. Τα πράγματα θα γίνουν πολύ χειρότερα».
Και πράγματι, την ώρα που η REvil χτυπούσε την JBS και την Kaseya μέσα σε έναν μήνα ουσιαστικά, άλλη μια ομάδα χάκερ που σχετίζεται με τη Ρωσία έπληξε τον αμερικανικό πάροχο ενέργειας Colonial Pipeline.
Αλλά και η Εθνική Επιτροπή του Ρεπουμπλικανικού Κόμματος δέχτηκε επίθεση στις 6 Ιουλίου από άλλη μια κολεκτίβα κυβερνοτρομοκρατίας με έδρα τη Ρωσία.
Η εκπρόσωπος Τύπου του Λευκού Οίκου, Τζεν Ψάκι, επιβεβαίωσε την ίδια μέρα ότι η αμερικανική κυβέρνηση έχει συγκαλέσει ευρύτατη σύσκεψη για να συζητηθούν αυτές οι επιθέσεις και η αντίδραση των ΗΠΑ.
Και επιβεβαίωσε πως υψηλόβαθμοι αμερικανοί αξιωματούχοι θα συναντηθούν με ρώσους ομολόγους τους για να συζητήσουν το «πρόβλημα με το ransomware».
Οι ειδικοί μιλούν πλέον καθαρά για μια νέα εποχή που ξημέρωσε στις κυβερνοεπιθέσεις και οι μονομερείς δράσεις ίσως σταθούν ανεπαρκείς να τις αναχαιτίσουν…