Cyber, Διαδικτυακές απειλές

Μυστηριώδης εξαφάνιση των χάκερ της REvil

Γράφει η Αθηνά Πάσχου, φοιτήτρια Computer Forensics

Ένα φλέγον ζήτημα που έχει επηρεάσει τον κόσμο τον τελευταίο καιρό είναι η εμφάνιση αρκετών ομάδων χάκερ που κάνουν επιθέσεις με σκοπό την απόσπαση χρημάτων ή την δυσφήμηση ατόμων. Μία από τις ομάδες που έχει απασχολήσει την επικαιρότητα είναι η ομάδα REvil που είναι συνδεδεμένη με αρκετές επιθέσεις ανά τα χρόνια.

Για να ονομάσουμε μερικές, η REvil έχει συνδεθεί με την επίθεση ενάντια στην Ταϊβανέζικη εταιρεία Quanta η οποία πουλούσε εξοπλισμό για κέντρα δεδομένων στην Apple. Άλλη μία περίπτωση επίθεσης από την REvil, ήταν η εταιρεία νομικής συμβουλευτικής Grubman, Shire, Meiselas & Sacks. Η REvil είπε ότι είχε στην κατοχή της και έγγραφα που αφορούσαν τον τότε πρόεδρο της Αμερικής, Ντόναλντ Τραμπ, αλλά δεν υπήρξαν ποτέ αποδείξεις για αυτό.

Την Τρίτη 13 Ιουλίου 2021, η ομάδα ransomware REvil που φαινόταν να εδρεύει στην Ρωσία εξαφανίστηκε από τις διαδικτυακές ιστοσελίδες που χρησιμοποιούσε. Ο εκπρόσωπος της ομάδας διατηρεί μυστηριώδη σιγή σύμφωνα με τον Λόρενς Έιμπραμς, ειδικό της κυβερνοασφάλειας με βάση στην Αμερική. Όλες οι ιστοσελίδες της ομάδας έχουν διαγραφεί και φήμες λένε ότι νομικές υπηρεσίες έχουν συλλάβει την ομάδα μετά από την τελευταία σειρά επιθέσεων τους.

Η REvil είχε αναλάβει την ευθύνη για αρκετές επιθέσεις ransomware, με την πιο σύγχρονη να είναι η επίθεση στην εταιρεία Kaseya. Οι χάκερ εκμεταλλεύτηκαν ένα τρωτό σημείο στο λογισμικό της εταιρείας για να επιτεθούν μετά σε διάφορες εταιρείες όπως η σουηδική εταιρεία σουπερμάρκετ Coop και η μεγαλύτερη εταιρεία προμήθειας κρέατος στον κόσμο JBS. Συγκεκριμένα, η συμμορία ζήτησε 70 εκατομμύρια δολάρια από την Kaseya για απελευθέρωση των δεδομένων. Ανάμεσα στους πληγέντες από την επίθεση ήταν και 11 σχολεία στην Νέα Ζηλανδία.

Λίγες μέρες μετά, η ομάδα μυστηριωδώς κατέβασε το ποσό που ζητούσε για λύτρα ενώ 20 μέρες μετά την πρώτη επίθεση στην Kaseya, η εταιρεία ανακοίνωσε ότι έχει πρόσβαση σε ένα κλειδί που θα ξεκλείδωνε τα αρχεία όλων των θυμάτων από την επίθεση στο σύστημά της. Δεν έχει γίνει σαφές αν τα λύτρα πληρώθηκαν και από ποιον.

Η ξαφνική εξαφάνιση ομάδων ransomware δεν είναι απαραίτητα ασυνήθιστη τεχνική όταν οι ομάδες θέλουν να χτίσουν μία καινούρια επίθεση και να εμφανιστούν με καινούριο όνομα. Αν και η ακολουθία των γεγονότων είναι περίεργη, η συμμορία εξαφανίστηκε λίγες μέρες αφού o πρόεδρος της Αμερικής, Τζο Μπίντεν, προειδοποίησε τις ρωσικές αρχές ότι η Αμερική δεν θα διστάσει να αντεπιτεθεί στους σέρβερ που χρησιμοποιεί η συμμορία αν ξαναγίνει επίθεση με ransomware.

Οι εταιρείες θύματα επίθεσης ransomware καλούνται να πληρώσουν σημαντικά ποσά στους επιτιθέμενους για να γλυτώσουν πιθανή διαγραφή όλων των στοιχείων τους. Βέβαια, έχει εκφραστεί πολλές φορές η άποψη ότι μία τέτοια ενέργεια μόνο ενθαρρύνει τους δράστες οπότε οι εταιρείες δεν πρέπει να πληρώνουν λύτρα αλλά να ειδοποιούν τις αρχές και να ακολουθούν αυστηρά τις οδηγίες τους. Γενικά οι εταιρείες υποχρεούνται να έχουν ένα σωστό πλαίσιο κυβερνοασφάλειας που δεν τις κάνει ευάλωτες σε τέτοιες επιθέσεις.

Αν μία εταιρεία δεν έχει σωστό πλαίσιο ασφάλειας και πέσει θύμα επίθεσης, πολλές φορές πληρώνει πρόστιμο για παραβίαση των νόμων περί προστασίας πνευματικών δικαιωμάτων του πολίτη. Ας πάρουμε για παράδειγμα την περίπτωση της βρετανικής αεροπορικής εταιρείας British Airways που πλήρωσε πάνω από 20 εκατομμύρια λίρες για την διαρροή προσωπικών δεδομένων τουλάχιστον 400.000 πελατών το 2018.

Στην περίπτωση της Kaseya, το τρωτό σημείο που χρησιμοποίησε η συμμορία ήταν ήδη γνωστό στην εταιρεία και είχαν ήδη προσληφθεί ειδικοί για να το διορθώσουν και να αναβαθμίσουν την ασφάλεια της ιστοσελίδας. Ήταν μία μάχη ενάντια στο χρόνο που, δυστυχώς για την εταιρεία, δεν βγήκε σε καλό.

Ως αναφορά, ransomware ορίζεται το κακόβουλο λογισμικό που κρυπτογραφεί όλα τα δεδομένα του χρήστη μέχρι να πληρωθεί κάποιο χρηματικό ποσό σε λύτρα. Αν αυτό το ποσό δεν πληρωθεί, η εταιρεία έχει σημαντικό κίνδυνο διαγραφής των δεδομένων της ή δημοσίευσης των δεδομένων στο διαδίκτυο που θα είχε καταστροφικές συνέπειες στην εταιρεία, καθώς οι νόμοι προστασίας προσωπικών δεδομένων είναι πολύ αυστηροί.

Πηγές:

https://www.bbc.com/news/technology-57719820

https://www.bbc.com/news/technology-57826851

https://www.fortunegreece.com/article/revil-pia-ine-i-omada-piso-apo-mia-sira-epitheseon-ransomware/

https://fortune.com/2021/07/07/what-is-revil-ransomware-attack-kaseya/