Πονοκέφαλο έχουν προκαλέσει στην παγκόσμια κοινότητα οι πρωτοφανείς συντονισμένες κυβερνοεπιθέσεις, οι οποίες παρέλυσαν την Παρασκευή δημόσιες και ιδιωτικές επιχειρήσεις αλλά και θεσμούς σε όλο τον κόσμο. Σύμφωνα με διεθνή Μέσα Ενημέρωσης, έχουν αναφερθεί επιθέσεις σε 100.000 «στόχους» σε τουλάχιστον 75 χώρες.
Οι χάκερ, σύμφωνα με ειδικούς της κυβερνοάμυνας, έκαναν χρήση χρήση εργαλείων που πιστεύεται ότι αναπτύχθηκαν από την αμερικανική Υπηρεσία Εθνικής Ασφάλειας (NSA), όπως αναφέρουν είναι πιθανό να εκμεταλλεύθηκαν ένα κομμάτι από τον κώδικα της NSA γνωστό ως «Eternal Blue» που αποκαλύφθηκε τον περασμένο μήνα από μια ομάδα γνωστή ως Shadow Brokers.
Ο ιός, του τύπου ransomware, κρυπτογράφησε δεδομένα στους υπολογιστές και ζητούσε από τους χρήστες να πληρώσουν από 300 έως 600 δολάρια ως λύτρα για να αποκτήσουν και πάλι πρόσβαση στα δεδομένα τους.
Ιδιωτικές εταιρείες ασφαλείας ταυτοποίησαν τον ransomware ως μια νέα εκδοχή του «WannaCry» που έχει την ικανότητα να διαδίδεται αυτομάτως σε εκτεταμένα δίκτυα εκμεταλλευόμενος έναν γνωστό σφάλμα στο λειτουργικό σύστημα των Windows της Microsoft.
«Είναι μία από τις μεγαλύτερες παγκόσμιες επιθέσεις ransomware που έχει δει ποτέ η κοινότητα του κυβερνοχώρου», δήλωσε ο Ριτς Μπέρτζερ, διευθυντής ερευνών απειλών στη Splunk, μία από τις εταιρείες που συνέδεσαν τον WannaCry με την NSA.
Ειδικοί στην κυβερνοασφάλεια είπαν πως ορισμένα από τα θύματα πλήρωσαν τελικά, μέσω του ψηφιακού νομίσματος bitcoin, αν και δεν γνωρίζουν ποιο ήταν το ποσοστό των χρηστών που υποχώρησε στους εκβιαστές.
Οι επιθέσεις που προκάλεσαν τη μεγαλύτερη αναστάτωση αναφέρθηκαν στη Βρετανία, όπου νοσοκομεία και κλινικές αναγκάσθηκαν να παραπέμπουν αλλού ασθενείς αφού έχασαν χθες την πρόσβαση στους ηλεκτρονικούς υπολογιστές τους.
Παράλληλα, στόχος των χάκερ έγινε και ο ισπανικός «γίγαντας» των τηλεπικοινωνιών Telefonica, όπου έπληξαν μόνο τους υπολογιστές τους εσωτερικού της δικτύου και δεν επηρέασε τους πελάτες της.
Το υπουργείο Ενέργειας στη Μαδρίτη εμφανίζεται καθησυχαστικό με το δελτίο τύπου που κυκλοφόρησε να αναφέρει:
«Η επίθεση επηρέασε μεμονωμένα εξοπλισμούς επεξεργασίας δεδομένων χρηστών που εργάζονται σε διαφορετικές επιχειρήσεις» και «δεν επηρεάζει την παροχή των υπηρεσιών ούτε τη λειτουργική ασφάλεια του δικτύου ούτε τον χρήστη αυτών των υπηρεσιών».
Η επίθεση «δεν θέτει σε κίνδυνο την ασφάλεια των δεδομένων και δεν πρόκειται για μια διαρροή δεδομένων» επιμένει το υπουργείο Ενέργειας.
Το Εθνικό Κέντρο Κρυπτολογίας (CCN) – τμήμα των υπηρεσιών πληροφοριών που είναι επιφορτισμένες με την ασφάλεια των τεχνολογιών πληροφόρησης- έκανε λόγο για μια «μαζική επίθεση ransomware».
Η επίθεση «πλήττει τα συστήματα Windows κρυπτογραφώντας όλα τους τα αρχεία και τα αρχεία των δικτύων με τα οποία συνδέονται» εξήγησε το CCN.
Η Telefonica επίσης υποχρεώθηκε να κλείσει τους υπολογιστές της στην έδρα της στη Μαδρίτη, είπε στο Γαλλικό Πρακτορείο μια πηγή από την εταιρεία που δεν θέλησε να κατονομαστεί.
Ο ιός «έπληξε εκατοντάδες υπολογιστές, εδώ, στην έδρα της επιχείρησης» συμπλήρωσε η ίδια πηγή, διαβεβαιώνοντας ότι οι υπηρεσίες προς τους πελάτες της εταιρείας δεν έχουν επηρεαστεί.
Πολλά ισπανικά ΜΜΕ μετέδωσαν νωρίτερα σήμερα ότι οι υπεύθυνοι της της Telefonica προειδοποίησαν από τα μεγάφωνα τους εργαζομένους για το πόσο επείγον είναι να κλείσουν τους υπολογιστές τους, γεγονός που επιβεβαίωσε η πηγή από την εταιρεία.
Επίσης, η εταιρεία διεθνών ταχυμεταφορών FedEx Corp ανακοίνωσε πως μερικοί υπολογιστές της μολύνθηκαν . «Προχωρούμε σε μέτρα για την αποκατάσταση της λειτουργίας τους το συντομότερο δυνατόν», αναφέρει η εταιρεία σε ανακοίνωση που εξέδωσε.
Η γαλλική αυτοκινητοβιομηχανία Renault επλήγη επίσης από το κύμα των ταυτόχρονων κυβερνοεπιθέσεων έγινε γνωστό το Σάββατο από τη διεύθυνση της εταιρείας.
«Από χθες το βράδυ έχουμε προχωρήσει σε μια δράση. Κάνουμε τα απαραίτητα για να αντιμετωπίσουμε αυτή την επίθεση», διευκρινίσθηκε από εκπρόσωπο της εταιρείας.
Πρόκειται για την πρώτη επιχείρηση ή θεσμό της Γαλλίας που ανακοινώνει ότι επλήγη από τις επιθέσεις αυτές.
Στη Γερμανία, πολλά συστήματα της δημόσιας επιχείρησης των γερμανικών σιδηροδρόμων, της Deutsche Bahn, επλήγησαν από κακόβουλο λογισμικό την Παρασκευή καθώς η κυβερνοεπίθεση, δίχως προηγούμενο σε διεθνές επίπεδο, κλείδωσε χιλιάδες υπολογιστές, σημειώνουν γερμανικά ΜΜΕ.
Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας πληροφοριών (BSI) εξέδωσε αργά χθες Παρασκευή μια προειδοποίηση που επισημαίνει ότι το ransomware εξαπλώνεται μέσω δικτύων φαινομενικά από μόνο του και κάλεσε να γίνει το ταχύτερο εγκατάσταση ενημερώσεων ασφαλείας σε συστήματα με το λειτουργικό σύστημα Windows.
Η Microsoft, η παραγωγός του λειτουργικού συστήματος Windows, επισήμανε ότι έχει εκδώσει ενημέρωση ασφαλείας για την αντιμετώπιση της απειλής.
Στη Ρωσία, το υπουργείο Εσωτερικών της Ρωσίας ανακοίνωσε αργά το βράδυ της Παρασκευής ότι εκατοντάδες υπολογιστές του έγιναν στόχος κυβερνοεπίθεσης, καθώς συγκλίνουσες πληροφορίες υποδεικνύουν πως βρίσκεται σε εξέλιξη μια επίθεση εναντίον συστημάτων σε δεκάδες χώρες.
Μια εκπρόσωπος του ρωσικού υπουργείου Εσωτερικών, η Ιρίνα Βολκ, δήλωσε σε ρωσικά πρακτορεία ειδήσεων ότι η επίθεση επιχειρήθηκε με κακόβουλο λογισμικό το οποίο πλήττει υπολογιστές με λειτουργικό σύστημα Windows, εκμεταλλευόμενο αδυναμίες του.
Περίπου 1.000 υπολογιστές του υπουργείου μολύνθηκαν και μπήκαν σε καραντίνα, σύμφωνα με την εκπρόσωπο, που επέμεινε πως η επίθεση έχει αποκρουστεί. Μια πηγή ενήμερη για την επίθεση διαβεβαίωσε το πρακτορείο ειδήσεων Interfax ότι το υπουργείο δεν απώλεσε δεδομένα στις επιθέσεις αυτές.
Στόχος επίθεσης ανακοίνωσε ότι έγινε και η ρωσική τράπεζα Sberbank, το μεγαλύτερο ταμιευτήριο της χώρας, που όμως επίσης διαβεβαίωσε ότι κατάφερε να την αποκρούσει.
Από την Ινδονησία και την Νότιο Κορέα, οι αρχές προσπαθούν να αντιμετωπίσουν προβλήματα σε σχολεία, πανεπιστήμια και πανεπιστημιακές κλινικές, χωρίς να είναι ακόμα σε θέση να γνωρίζουν τον ακριβή αριθμό των στόχων.
«Χάκαραν» και το ΑΠΘ
Το πρωί του Σαββάτου το τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος ενημερώθηκε από το διαχειριστή του Κέντρου Ηλεκτρονικής Διακυβέρνησης του Αριστοτέλειου Πανεπιστημίου (ΑΠΘ) ότι πολλοί χρήστες της πλατφόρμας κατήγγειλαν στην Υπηρεσία Εξυπηρέτησης Χρηστών συμπτώματα επιθετικής μόλυνσης από κακόβουλο λογισμικό - ιό κρυπτογράφησης (ransomware).
Τα συμπτώματα που διαπίστωσαν οι χρήστες στους υπολογιστές τους ήταν α) κρυπτογράφηση τοπικών αρχείων σε αφαιρούμενα μέσα (USB) και β) Αφαίρεση αρχείων που βρίσκονται σε διαχειριστικούς φακέλους.
Από τους αρμόδιους διαχειριστές του Κέντρου Ηλεκτρονικής Διακυβέρνησης του ΑΠΘ επισημαίνεται ότι μετά τις πολλές καταγγελίες που υπήρξαν και την εξακρίβωση της επίθεσης λήφθηκαν όλα τα αναγκαία μέτρα για τη μη περαιτέρω διασπορά του κακόβουλου λογισμικού και την αντιμετώπιση του προβλήματος.
Πώς ένας 22χρονος Αγγλος σταμάτησε την παγκόσμια κυβερνοεπίθεση
Ο 22χρονος είναι ερευνητής κυβερνοασφάλειας και εμφανίζεται στα social media με το όνομα malwaretechblog. Σκέφθηκε ότι οι δημιουργοί του κακόβουλου λογισμικού θα έχουν βάλει κάποιο "κλειδί", ώστε εάν θελήσουν κάποια στιγμή να αναστείλουν την εξάπλωση του, να μπορούν να το κάνουν.
Έτσι λοιπόν, ξοδεύοντας λίγα δολάρια, ο 22χρονος κατάφερε να καταχωρήσει ένα domain name (όνομα ιστότοπου), το οποίο ήταν κρυμμένο στο κακόβουλο λογισμικό. Αυτό ήταν το "κλειδί" που σταμάτησε από χθες την εξάπλωση του.
Ο νεαρός Αγγλος έγραψε στο Twitter ότι βρήκε κατά τύχη το "φάρμακο" για να σταματήσει το «WannaCry». Σκέφθηκε απλώς ότι θα έχει κάποιον «διακόπτη έκτακτης ανάγκης»
Αυτός ο «διακόπτης» ήταν ενσωματωμένος στο κακόβουλο λογισμικό, σε περίπτωση που ο δημιουργός του ήθελε να σταματήσει την εξάπλωσή του. Περιελάμβανε ένα πολύ μεγάλο όνομα που δεν έβγαζε νόημα. Σ'αυτό κάνει «αίτημα» το κακόβουλο λογισμικό- σαν να ψάχνει μία οποιαδήποτε ιστοσελίδα. Αν το αίτημα επιστρέψει και δείξει ότι το όνομα του ιστότοπου είναι live, τότε ενεργοποιείται ο «διακόπτης έκτακτης ανάγκης» και σταματά να εξαπλώνεται το κακόβουλο λογισμικό.
«Είδα ότι δεν ήταν καταχωρημένο και σκέφτηκα να το αποκτήσω'», δήλωσε ο ναρός Αγγλος. «Πλήρωσα 10,69 δολάρια, το ενεργοποίησα και αμέσως το domain name κατέγραφε χιλιάδες συνδέσεις κάθε δευτερόλεπτο.
Ηταν πάντως αργά για να βοηθήσει την Ευρώπη και την Ασία, όπου είχαν ήδη επηρεαστεί αρκετοί οργανισμοί από την κυβερνοεπίθεση. Ομως, έδωσε στις ΗΠΑ τον απαιτούμενο χρόνο να να προστατευθούν από την επίθεση, επιδιορθώνοντας τα συστήματά τους.
Ο «διακόπτης έκτακτης ανάγκης» δεν μπορεί να βοηθήσει κάποιον του οποίου ο υπολογιστής έχει ήδη προσβληθεί από το κακόβουλο λογισμικό και είναι πιθανό άλλες εκδοχές του, με διαφορετικούς «διακόπτες» θα συνεχίσουν να εξαπλώνονται.
To «ransomware» είναι ένας τύπος κακόβουλου λογισμικού που «κλειδώνει» τα δεδομένα ενός χρήστη και στη συνέχεια απαιτεί χρήματα για να τα ξεκλειδώσει. Η συγκεκριμένη επίθεση έγινε με τον ιό που ονομάζεται «WanaCrypt0r 2.0» ή «WannaCry», που εκμεταλλεύεται ένα ευάλωτο σημείο των Windows.
Η Microsoft είχε εκδώσει μία ενημέρωση που διορθώνει το πρόβλημα, τον Μάρτιο, αλλά όσοι υπολογιστές δεν την είχαν εγκαταστήσει, παρέμειναν ευάλωτοι
Τι κάνει ο ισχυρός ιός
Το λογισμικό ransomware είναι ένας ισχυρός ιός που «παραλύει» τους υπολογιστές, καθώς κρυπτογραφεί αρχεία (βίντεο, φωτογραφίες, αρχεία word), τα οποία οι χρήστες δεν μπορούν να επανακτήσουν.
Εξαπλώνεται εκμεταλλευόμενος κάποιο κενό ασφαλείας των Windows, σε όσους υπολογιστές δεν έχουν κάνει την τελευταία αναβάθμιση της Microsoft, που ήταν διαθέσιμη από τον Μάρτιο, όπως αναφέρει το CNNi. Τον περασμένο μήνα, έγινε γνωστό, πως αυτό ήταν ένα εργαλείο κατασκοπίας της NSA.
Οι G7 υπέρ της συνεργασίας για την καταπολέμηση των κυβερνοεπιθέσεων
Οι υπουργοί Οικονομικών της Ομάδας των Επτά ισχυρότερων βιομηχανικών χωρών θα δεσμευθούν σήμερα να συνεργαστούν για να καταπλεμήσουν την αυξανόμενη απειλή από τις διεθνείς κυβερνοεπιθέσεις, σύμφωνα με σχέδιο δήλωσης από τη συνάντηση που πραγματοποιούν στην Ιταλία.
«Αναγνωρίζουμε πως τα κυβερνοεπεισόδια αντιπροσωπεύουν μια αυξανόμενη απειλή για τις οικονομίες μας και πως πρέπει να δοθούν οι κατάλληλες απαντήσεις οικονομικής πολιτικής», αναφέρεται στο σχέδιο δήλωσης που είδε το Ρόιτερς.
Οι επτά ζητούν να υπάρξουν κοινές πρακτικές για να εντοπίζονται γρήγορα οποιαδήποτε ευάλωτα σημεία στο παγκόσμιο οικονομικό σύστημα και υπογραμμίζουν την ανάπτυξη αποτελεσματικών μέτρων για την αξιολόγηση της κυβερνοασφάλειας μεταξύ μεμονωμένων χρηματοοικονομικών εταιρειών και στο σύνολο του τομέα.
Το σχέδιο δήλωσης θα επανεξετασθεί πριν δημοσιοποιηθεί αργότερα σήμερα από τους υπουργούς Οικονομικών και τους κεντρικούς τραπεζίτες της G7, οι οποίοι συζητούν τα ζητήματα που αντιμετωπίζει η παγκόσμια οικονομία κατά τη διήμερη σύνοδο που πραγματοποιούν στο Μπάρι της Ιταλίας.
Ο ιταλός υπουργός Οικονομικών Πιέρ Κάρλο Πάντοαν δήλωσε στους δημοσιογράφους πως η συζήτηση, η οποία είχαν προγραμματισθεί πριν από τις χθεσινές επιθέσεις, ήταν «δυστυχώς πολύ επίκαιρη».