Πώς ένας χάκερ προσπάθησε να αποσπάσει μισό εκατομμύριο από μεγάλη ελληνική εταιρεία

Τα τελευταία χρόνια και καθώς οι νέες τεχνολογίες μπαίνουν ολοένα και περισσότερο στις λειτουργίες των επιχειρήσεων, γίνεται όλο και πιο έντονη η συζήτηση γύρω από πως θα μπορέσουν οι επιχειρήσεις να προστατέψουν τα δεδομένα τους από τις κυβερνοεπιθέσεις. Απο τα στατιστικά προκύπτει οτι οι μέθοδοι προστασίας που χρησιμοποιούσαν έως σήμερα οι επιχειρήσεις, δεν είναι πλέον αποτελεσματικές στις τακτικές που χρησιμοποιούν οι Hackers.

Σύμφωνα με μια μελέτη που διεξήγαγε η Osterman Research, πάνω από το ⅓ των επιχειρήσεων βίωσε μια επίθεση ransomware τον προηγούμενο χρόνο, ενώ σύμφωνα με το Cyber Magazine το 60% των εταιρειών που πέφτουν θύματα μιας τέτοιας επίθεσης κλείνουν εντός 6 μηνών. Παίρνοντας ως έναυσμα αυτό, αποφασίσαμε να ρίξουμε μια πιο προσεκτική ματιά στο πώς μια εταιρεία αντιμετωπίζει τέτοιου είδους επιθέσεις, ποιες είναι οι προκλήσεις, οι κίνδυνοι και πώς μπορούν να προστατευτούν.

Για αυτό το σκοπό απευθυνθήκαμε στον Μιχάλη Μίγγο, τεχνικό διευθυντή της εταιρείας TicTac, όπου εξειδικεύεται σε υπηρεσίες Cyber Security και Ανάκτησης Δεδομένων, για να μας δώσει μερικές πληροφορίες και να μας περιγράψει ένα αληθινό περιστατικό.

Το Περιστατικό

Η επίθεση αφορούσε ένα μεγάλο Retailer της Ελλάδας με προϊόντα ένδυσης και υπόδησης, με πάνω από 70 καταστήματα σε ολόκληρη τη χώρα. Ο συγκεκριμένος οργανισμός είχε δημιουργήσει μια κεντρική υποδομή, όπου κάποιοι servers φιλοξενούσαν όλα τα συστήματά τους (online κατάστημα, crm, λογιστικά συστήματα κ.λπ.). Αντίστοιχα, σε κάθε ένα μεμονωμένο φυσικό κατάστημα υπήρχε ένα λογισμικό πρόγραμμα, για τις πωλήσεις, τις τιμολογήσεις και την αποστολή των παραγγελιών στο κεντρικό σύστημα, ώστε να οργανωθούν και να ξεκινήσουν να αποστέλλονται.

Επομένως, όταν η εταιρεία χτυπήθηκε με ransomware και κρυπτογραφήθηκαν τα αρχεία της, όχι απλώς δεν μπορούσαν να περάσουν νέες παραγγελίες, αλλά δεν γνώριζαν ποιοι χρήστες έχουν πληρώσει, δεν υπήρχε επαφή με την αποθήκη και τα καταστήματα δεν μπορούσαν να τιμολογήσουν. Με λίγα λόγια δεν υπήρχε σύστημα για όλη την Ελλάδα!

Η Αντίδραση

Το πρώτο πράγμα που κάναμε ως ομάδα ήταν να μπούμε στα συστήματά τους, να απομονώσουμε το περιβάλλον και να πάρουμε backup όλα τα συστήματα (τόσο τα κρυπτογραφημένα, όσο και τα μη). Γιατί όμως έπρεπε να πάρουμε backup και αυτά που είχαν κρυπτογραφηθεί; Ώστε να αποτρέψουμε το ενδεχόμενο να ξανακρυπτογραφηθούν δεύτερη φορά, είτε από τον ίδιο το χάκερ είτε από άλλη ομάδα, αφού τα credentials της επιχείρησης πιθανόν είχαν διαρρεύσει και είχαν πουληθεί στο dark web.

Σε αυτό το σημείο, να κάνουμε ξεκάθαρο, ότι σε ενδεχόμενο δεύτερης κρυπτογράφησης, τότε η ανάκτηση γίνεται εντελώς ασύμφορη, καθώς πρώτον σε τέτοια περίπτωση η ανάκτηση δεδομένων από διπλή κρυπτογράφηση είναι σχεδόν αδύνατη και αν δεν μπορεί να γίνει ανάκτηση δεδομένων και τα αρχεία είναι απαραίτητα, τότε πρέπει η επιχείρηση να καταβάλλει το αντίτιμο των λύτρων σε δύο διαφορετικές ομάδες εκβιαστών.

Οι Προκλήσεις

Ο Χάκερ κρυβόταν σε άλλο δίκτυο

Η πρώτη και μεγαλύτερη πρόκληση που αντιμετωπίσαμε ήταν ότι ενώ είχαν αποσυνδεθεί όλα τα workstations και οι server, όταν επιχειρούσαμε να βάλουμε τα συστήματα προστασίας μας, ο χάκερ "μας πέταγε εκτός”, και τα αφαιρούσε μόλις συνδεόμασταν στο δίκτυο της επιχείρησης.

Άρα δεν είχε δεχτεί μια απλή επίθεση, αλλά ο χάκερ ήταν μέσα στο δίκτυο, παρακολουθούσε τι κάναμε ως admin και μας απενεργοποιούσε όλα τα λογισμικά. 

Επομένως, το επόμενο βήμα ήταν το Forensic Investigation, το οποίο είχε αρνηθεί ο πελάτης αρχικά λόγω του μεγάλου κόστους, που σημαίνει ότι θα έπρεπε να μπούμε και να σκανάρουμε όλο το δίκτυο, να δούμε τι live συσκευές υπάρχουν (ανεξάρτητα με το αν ο πελάτης υποστήριζε ότι όλα τα συστήματα έχουν απενεργοποιηθεί) ώστε να βρούμε το κενό ασφαλείας, να ελέγξουμε πώς εισήλθαν στο δίκτυο, αν έκαναν εξαγωγή δεδομένων και εάν βρίσκονται ακόμα μέσα στο δίκτυο.

Ο "ένοχος” όντως βρέθηκε, μέσα από το σύστημα CCTV (κλειστό κύκλωμα τηλεόρασης). Ναι, πράγματι, ο χάκερ μπορούσε να έχει πρόσβαση στο κεντρικό δίκτυο, όντας ο ίδιος εγκατεστημένος σε συσκευή του κλειστού κυκλώματος τηλεόρασης και απο άλλο δίκτυο παρακολουθούσε τα πάντα.

Η Λύση

Από τη στιγμή που αφαιρέσαμε το σύστημα CCTV, τότε η τροπή της ιστορίας άλλαξε και πλέον είχαμε το πάνω χέρι στη διαπραγμάτευση. Ναι, πάντα ξεκινάμε διαπραγματεύσεις με τους χάκερς ανεξαρτήτως αν τελικά ο επιχειρηματίας αποφασίσει να πληρώσει τα λύτρα ή όχι. Αυτό γίνεται για 2 λόγους:

Στρατηγικοί

H διαπραγμάτευση με τον χάκερ από την πρώτη στιγμή έχει στρατηγική σημασία, καθώς μπορεί ο σκοπός μας να είναι να τον καθυστερήσουμε ώστε να μην χτυπήσει 2η φορά ή να τον ψυχολογήσουμε για να δούμε ποιες διαπραγματευτικές μεθόδους θα ακολουθήσουμε. Η εξειδικευμένη ομάδα των διαπραγματεύσεων γνωρίζει τα περιθώρια διαπραγμάτευσης που έχει και επίσης τι "κόστος” έχει η επίθεση για τον επιτιθέμενο. Τις περισσότερες φορές επιτυγχάνονται πολύ καλές συμφωνίες προς όφελος του πελάτη.

Τεχνικοί

Ο δεύτερος λόγος έχει να κάνει με πιο τεχνικά ζητήματα, ώστε να εξασφαλίσουμε αν όντως τα κλειδιά που μας δίνει αποκρυπτογραφούν τα αρχεία, με ποιες μεθόδους θα γίνει, αν γίνει, η πληρωμή των λύτρων, αλλά και τη γενικότερη προσπάθεια να μειωθούν οι επιπτώσεις της επίθεσης.

Επομένως, ενώ στην αρχή ο χάκερ ήταν αδιαπραγμάτευτος και ζητούσε ένα πόσο κοντά στις 500.000€, κατέληξε να έρθει σε συμφωνία για 25.000€. Το αν πληρωθεί το ποσό τελικά δεν έχει σημασία για την ομάδα μας. Σημασία έχει να δώσουμε στον πελάτη μας επιλογές, καθώς η τελική απόφαση είναι πάντα δική του και δεν εμπλεκόμαστε σε αυτό. Στο τέλος της ημέρας όταν κάποιος "απαγάγει” τα αρχεία σου και σταματάει να λειτουργεί η επιχείρηση σου, είναι σαν να απαγάγει κάποιος ένα κομμάτι του εαυτού σου. Εσύ τελικά αποφασίζεις.

Η επόμενη μέρα

Αφού εξασφαλίσαμε πως δεν υπάρχουν πλέον άλλες απειλές, στήθηκε ένα καινούργιο "καθαρό” δίκτυο, με νέους κωδικούς, με συστήματα προστασίας backup Acronis και EDR.

Αυτό που πρέπει να γίνει ξεκάθαρο από όλους είναι πως η ασφάλεια στον κυβερνοχώρο πρέπει να γίνει βασική προτεραιότητα για όλες επιχειρήσεις, καθώς οι κίνδυνοι που προκύπτουν αυξάνονται και θα συνεχίσουν να αυξάνονται συνεχώς και οι περισσότερες επιχειρήσεις σήμερα θεωρούν ότι δεν είναι στόχοι και είναι εντελώς απροετοίμαστες.

Τι πρέπει να κρατήσουμε από αυτό το περιστατικό;

Μεγάλη προσοχή στις πληρωμές λύτρων

Η πληρωμή λύτρων Ransomware δεν συστήνεται σε καμία περίπτωση. Μόνο όταν έχουν εξεταστεί όλες οι εναλλακτικές και τα αρχεία είναι κρίσιμα για τη λειτουργία μιας επιχείρησης, τότε ο επιχειρηματίας θεωρούμε ότι έχει το δικαίωμα της επιλογής και είναι καθαρά δική του απόφαση. Προσοχή όμως, καθώς πολλοί έχουν πληρώσει λύτρα και δεν πήραν ποτέ τα αρχεία τους, ή τα πήραν μερικώς, ή εκβιαστηκαν μετά την πρώτη καταβολή και αναγκάστηκαν να πληρώσουν ξανά. Δυστυχώς οι επιτηθέμενοι δεν είναι πάντα επαγγελματίες, για αυτό και καλό είναι να γίνει ένα Threat Intelligence απο μια εξειδικευμένη εταιρεία του χώρου, πριν πάρει τις αποφάσεις ο επιχειρηματίας, καθώς τα ποσά είναι μεγάλα και έχουμε δει πολλά λάθη ακόμα και στις πληρωμές.

Οι πρώτες ώρες είναι εξαιρετικά κρίσιμες 

Όπως έγινε κατανοητό από το παραπάνω περιστατικό, μια επίθεση ransomware μπορεί να παραλύσει ολοκληρωτικά μια μικρή ή μεγάλη επιχείρηση μέσα σε λίγα λεπτά, έχοντας τη δυνατότητα να προκαλέσει διακοπή στη λειτουργία της και τεράστιες οικονομικές απώλειες. Για αυτό, η άμεση και έγκαιρη αντίδραση είναι από τους πιο σημαντικούς παράγοντες για την αντιμετώπισή του προβλήματος. Δεν θα πρέπει να χαραμιστεί ούτε ένα λεπτό, καθώς κάθε ώρα που περνάει δημιουργεί ακόμα μεγαλύτερες ζημιές και δυσχεραίνει τη διαπραγματευτική θέση της εταιρείας που δέχτηκε την επίθεση. Είναι σημαντικό να απευθυνθεί κανείς σε εξειδικευμένο πάροχο υπηρεσιών κυβερνοασφάλειας για να αποφύγει λάθη τα οποία μπορεί να έχουν σοβαρό αντίκτυπο.

Backup & Ανάκτηση Δεδομένων

Η σημασία ενός ενημερωμένου backup συστήματος σε περιπτώσεις επιθέσεων με ransomware είναι κρίσιμης σημασίας για την επιτυχημένη ανάκτηση δεδομένων. Ένας σωστός σχεδιασμός backup επιτρέπει στις επιχειρήσεις να επαναφέρουν τα δεδομένα τους σε περίπτωση που πέσουν θύματα ransomware επίθεσης, αποφεύγοντας έτσι την διακοπή της λειτουργίας τους. Εξαιρετικά σημαντικό είναι να αναφέρουμε πως η επαναφορά από το backup πρέπει να είναι γρήγορη, ενώ ταυτόχρονα, οι διαδικασίες ανάκτησης πρέπει να έχουν δοκιμαστεί και να είναι λειτουργικές, εξασφαλίζοντας την απρόσκοπτη συνέχεια των εργασιών σε όσο το δυνατόν μικρότερο χρονικό διάστημα. Χρησιμοποιούμε πάντα τεχνική backup 3-2-1 και δεν βασιζόμαστε μόνο σε τοπικά αντίγραφα. Οι επιτηθέμενοι αν δεν καταστρέψουν όλα τα backup σας δεν κρυπτογραφούν. Και ξέρουν πολύ καλά να βρίσκουν τα backup μιας επιχείρησης ακόμα και εάν αυτά βρίσκονται σε εξωτερικούς δίσκους και κλειδωμένα σε μια ντουλάπα. 

Εμπειστευθείτε εξειδικευμένους επαγγελματίες

Σε περίπτωση μιας τέτοιας επίθεσης, κυριολεκτικά εξαρτάται το μέλλον της επιχείρησής σας. Για αυτό το λόγο, μην κάνετε πειράματα ή ακολουθείτε τεχνικές backup πεπαλαιωμένες για να γλιτώσετε κάποια χρήματα. Η ζημιά που μπορεί να προκληθεί είναι τεράστια και κρίνει την βιωσιμότητα ενός οργανισμού. Είναι απαραίτητο να εμπιστευθείτε κάποιον έμπειρο επαγγελματία που μπορεί να διαχειριστεί όλες τις πτυχές μιας τέτοιας κατάστασης. Τόσο από θέμα backup και ανάκτησης δεδομένων, όσο και νομικής υποστήριξης, διαχείρισης κρίσεων και διαπραγματεύσεων.

Πώς να αντιδράσετε σε μια τέτοια περίπτωση;

Αν έχετε πέσει θύμα Ransomware, υπάρχουν ορισμένες βασικές ενέργειες που μπορείτε να κάνετε για να ελαχιστοποιήσετε τη ζημιά μέχρι να αναλάβουν οι εξειδικευμένοι συνεργάτες σας.

Αποσυνδέστε τις συσκευές σας

Αποσυνδέστε τη μολυσμένη συσκευή από το internet, όλα τα δίκτυα, τις συσκευές και τα αποθηκευτικά μέσα.

Ενημερώστε όλους τους υπαλλήλους σας

Ενημερώστε τους υπαλλήλους σας για το πρόβλημα που έχει δημιουργηθεί και πληροφορήστε τους πελάτες σας για τον αναμενόμενο χρόνο αποκατάστασης του συστήματος.

Σημειώστε βασικές λεπτομέρειες της επίθεσης

Κρατήστε όλες τις πληροφορίες που σας έδωσε ο χάκερ, όπως η ανακοίνωση των απαιτούμενων λύτρων, ιστοσελίδες, emails, διευθύνσεις, ημερομηνία και ώρα της επίθεσης κ.λπ. Όλα αυτά μπορούν να βοηθήσουν τους ειδικούς στην προσπάθεια αντιμετώπισης του ransomware.

Κρατήστε εφεδρικά αντίγραφα από τα πάντα

Τόσο τα κρυπτογραφημένα αρχεία όσο και τα λειτουργικά πρέπει να γίνουν άμεσα backup για να μην γίνουν τα πράγματα χειρότερα. Σε δεύτερη φάση θα σκεφτείτε την λειτουργία της επιχείρησης ξανά. Αναζητήστε βοήθεια από επαγγελματίες της κυβερνοασφάλειας.

Επίλογος

Απο το 2016 περίπου που ξεκίνησαν οι κυβερνοεπιθέσεις και στη χώρα μας, έχουν γίνει χιλιάδες χτυπήματα, έχουν πληρωθεί πολλά εκατομμύρια ευρώ σε λύτρα και κάποιες επιχειρήσεις δεν συνέχισαν τη λειτουργία τους. Επίσης έχουν ξεκινήσει καμπάνιες ενημέρωσης για τις ελληνικές επιχειρήσεις που ακόμα θεωρούν οτι δεν αποτελούν στόχο επειδή είναι μικρές. 

Όλες οι επιχειρήσεις αποτελούν στόχο και όλες οι επιχειρήσεις πρέπει να κάνουν ένα Penetration Test για να ελέγξουν και να μειώσουν τις ευπάθειες τους ώστε να μην αποτελούν εύκολο στόχο. Όλες οι επιχειρήσεις θα πρέπει να κάνουν μια επαγγελματική μελέτη για τα backup τους για να δουν αν είναι ευάλωτα σε κυβερνοεπιθέσεις.