Η πρόσφατη κυβερνοεπίθεση με λογισμικό τύπου ransomware στα ΕΛΤΑ προστίθεται σε μια μακρά αλυσίδα παρόμοιων συμβάντων που έχουν πλήξει τα τελευταία δύο χρόνια εταιρείες αλλά και φορείς του ευρύτερου Δημοσίου στη χώρα μας.
Με αφορμή το χτύπημα στα ΕΛΤΑ, η «Κ» παρουσιάζει στοιχεία από αντίστοιχες υποθέσεις ψηφιακών ομηριών που απασχόλησαν τις ελληνικές υπηρεσίες ασφαλείας τα τελευταία δύο χρόνια. Σε όλες τις περιπτώσεις υπάρχουν ενδείξεις ότι οι επιθέσεις ήταν στοχευμένες, όπως φαίνεται από την επιμονή των δραστών να τρυπώσουν σε κάποιο δίκτυο ή από το περιεχόμενο των μηνυμάτων που έστελναν, απαιτώντας λύτρα σε κάποιο κρυπτονόμισμα για να αποκαταστήσουν την τάξη.
Φεβρουάριος 2021
Τα Ελληνικά Αμυντικά Συστήματα μπαίνουν στο στόχαστρο κυβερνοεκβιαστών στις 10/2/2021. Κρυπτογραφούνται οικονομικά και νομικά αρχεία της εταιρείας, αρχεία αλληλογραφίας, καθώς και αρχεία που αφορούν συμβάσεις. Οι δράστες ζητούν εκατοντάδες χιλιάδες ευρώ ως λύτρα σε μορφή bitcoin για να στείλουν το κλειδί αποκρυπτογράφησης. Από τη διοίκηση της εταιρείας αποκλείεται η πιθανότητα διαπραγμάτευσης ή συναλλαγής με τους δράστες. Συνολικά πλήττονται από την επίθεση 150 υπολογιστές. Το κακόβουλο λογισμικό μόλυνε τα ηλεκτρονικά συστήματα της εταιρείας με τη μέθοδο email phishing. Σύμφωνα με τον Ανδρέα Μουντράκη, διευθυντή Πληροφορικής στα ΕΑΣ, τα παραπλανητικά emails στέλνονταν ένα μήνα πριν εκδηλωθεί η επίθεση, ώσπου κάποιος υπάλληλος πάτησε το συνημμένο αρχείο και ενεργοποίησε τον ιό.
Οπως διαπιστώθηκε, επρόκειτο για το κακόβουλο λογισμικό Avaddon. Σε ομάδα χάκερ που είχε χρησιμοποιήσει παρόμοιο λογισμικό αποδόθηκε, μεταξύ άλλων, την ίδια χρονιά μία επίθεση σε αστυνομικό τμήμα στην πολιτεία της Φλόριντα των ΗΠΑ. Οι δράστες ζητούσαν τότε λύτρα ύψους 450.000 δολαρίων για να απελευθερώσουν τα κρυπτογραφημένα αρχεία του αστυνομικού τμήματος και για να εντείνουν την πίεσή τους δημοσίευσαν τις φωτογραφίες μιας σορού από σκηνή εγκλήματος τις οποίες είχαν υποκλέψει. Κλιμάκιο της Διεύθυνσης Κυβερνοάμυνας του ΓΕΕΘΑ πέρασε περίπου ένα μήνα στα ΕΑΣ για να σχεδιάσει από την αρχή την τοπολογία του δικτύου και να θέσει νέες πολιτικές ασφαλείας. Ενα από τα μέτρα που έλαβαν, πέρα από την εγκατάσταση νέου firewall, ήταν η απαγόρευση της χρήσης usb από υπαλλήλους.
Οι δράστες απαιτούν αμοιβή σε κάποιο κρυπτονόμισμα – Μετά την επίθεση στον Δήμο Θεσσαλονίκης, χρειάστηκε να στηθεί όλο το δίκτυο του δήμου από την αρχή.
Ιούλιος 2021
Ο Δήμος Θεσσαλονίκης δέχεται κυβερνοεπίθεση με ransomware στις 21/7/2021. Πλήττονται οι κεντρικοί και οι βοηθητικοί σέρβερ. Στις οθόνες εμφανίζεται το μήνυμα «Θεσσαλονίκη την έχετε πατήσει», στοιχείο που παραπέμπει σε στοχευμένη και όχι τυχαία ενέργεια. Βλέποντας ότι ο δήμος δεν ανταποκρινόταν στις απαιτήσεις τους για πληρωμή λύτρων, λίγες εβδομάδες μετά το χτύπημά τους οι δράστες επανήλθαν διαρρέοντας στο dark web έγγραφα που είχαν υποκλέψει. Χρειάστηκε να στηθεί όλο το δίκτυο του δήμου από την αρχή, με τον καθαρισμό υπολογιστών και την αγορά νέων τερματικών. Στις 30 Σεπτεμβρίου, με διαφορά 12 ωρών, ο δήμος δέχεται πάλι δύο διαδοχικές κυβερνοεπιθέσεις οι οποίες σύμφωνα με τους υπευθύνους αντιμετωπίζονται εγκαίρως χωρίς απώλειες.
Είχε προηγηθεί τον ίδιο μήνα επίθεση στα πληροφοριακά συστήματα του υπουργείου Περιβάλλοντος και Ενέργειας, από κακόβουλο λογισμικό το οποίο κλειδώνει αρχεία. Επίσημα δεν γίνεται λόγος από το υπουργείο για λογισμικό τύπου ransomware ή για απαίτηση λύτρων, τα στοιχεία της κυβερνοεπίθεσης όμως παραπέμπουν σε χτύπημα αυτού του τύπου.
Ιανουάριος 2022
Μολύνεται με ransomware σέρβερ που στεγάζεται στις εγκαταστάσεις της 1ης Υγειονομικής Περιφέρειας Αττικής και εξυπηρετεί το λογιστικό και διοικητικό σύστημα στα νοσοκομεία «Σωτηρία» και «Ασκληπιείο Βούλας». Η επίθεση προκαλεί πρόβλημα στην ηλεκτρονική τιμολόγηση και αρκετές υπηρεσίες διοικητικού χαρακτήρα αναγκαστικά λειτουργούν χειρογράφως μέχρι να αποκατασταθεί η λειτουργία του δικτύου. Δεν έχει διευκρινιστεί το ύψος των λύτρων που ζητούσαν οι δράστες, όμως και σε αυτή την περίπτωση αποκλείστηκε οποιαδήποτε πιθανότητα δια-πραγμάτευσης μαζί τους.