Ανάκτηση Δεδομένων & Λύσεις Ransomware: Northwind

Ανάκτηση Δεδομένων και λύσεις για Ransomware

Οι μεγαλύτερες κυβερνοεπιθέσεις τύπου Ransomware του 2021

συντάκτης · Δημοσιεύτηκε · Ενημερώθηκε

Επιθέσεις Ransomware

Το 2021 αποτέλεσε μια από τις πιο θορυβώδεις χρονιές στον κόσμο του ίντερνετ. Οι κυβερνοεπιθέσεις τύπου Ransomware σημείωσαν τρομακτική αύξηση, με τους χάκερς να μην κάνουν διακρίσεις, πλήττοντας τόσο οικιακά υπολογιστικά συστήματα όσο και μονάδες βιομηχανικών κολοσσών. Ο στόχος ήταν σε κάθε περίπτωση κοινός: Η “απαγωγή’’ αρχείων και η απαίτηση λύτρων για την αποκρυπτογράφηση τους.

Συλλέξαμε και σας παρουσιάζουμε μερικές από τις μεγαλύτερες επιθέσεις Ransomware που έλαβαν χώρα το έτος που μας πέρασε.

Colonial Pipeline

colonial pipeline ransomware attack

Η Colonial Pipeline θεωρείται μια από τις σημαντικότερες εταιρείες κρίσιμων υποδομών, δεδομένου ότι μεταφέρει περίπου το ήμισυ των προμηθειών καυσίμων της ανατολικής ακτής των ΗΠΑ.

Υπεύθυνη για την επίθεση -σύμφωνα με το FBI- ήταν η Darkside, μια ομάδα χάκερς που θεωρείται ότι εδρεύει στη Ρωσία. Η επίθεση στόχευσε στην απενεργοποίηση του συστήματος τιμολόγησης, οδηγώντας την εταιρεία στο να αδρανοποιήσει μεγάλο τμήμα των αγωγών της.

Οι απευθείας επιθέσεις σε τεχνολογικούς και βιομηχανικούς κολοσσούς δεν είναι συχνό φαινόμενο, καθώς τα συστήματα άμυνας τους είναι σχεδόν απροσπέλαστα. Το επικρατέστερο σενάριο σε αυτές τις περιπτώσεις είναι ότι η πρόσβαση αποκτήθηκε μετά από ανθρώπινο λάθος (πχ. μέσω κάποιου email που οδήγησε σε κατέβασμα malware).

Η Colonial Pιpeline στην προσπάθεια της να απαγκιστρωθεί από την Darkside πλήρωσε λύτρα σε Bitcon αξίας $4.400.000. Αξίζει να αναφέρουμε ότι τα $2.3 εκατομμύρια από τα συνολικά $4.4 εκατομμύρια που πλήρωσε η Colonial Pipelines κατασχέθηκαν από το λογαριασμό Bitcoin όπου εστάλησαν, καθώς το FBI κατάφερε να τον κάνει trace.

Twitch

twitch ransomware επιθεση data breach

Μια από τις δημοφιλέστερες πλατφόρμες live streaming, ιδιοκτησίας της Amazon, χτυπήθηκε από χάκερς τον περασμένο Οκτώβριο με αποτέλεσμα μεγάλη διαρροή δεδομένων.

H διαρροή περιλαμβάνει όλο τον πηγαίο κώδικα του Twitch, εργαλεία ασφάλειας και αναλύσεις σε αναφορές που έχουν γίνει στον ανταγωνισμό.

Ακόμα, δημοσιοποιήθηκαν λίστες με τις αμοιβές γνωστών content creators της πλατφόρμας. Τέλος έγινε γνωστό το σχέδιο ενός νέου online καταστήματος βιντεοπαιχνιδιών της Amazon που δεν είχε ανακοινωθεί από την ίδια την εταιρεία.

Η εν λόγω λίστα παρακάτω:

twitch αμοιβές content creators

Kaseya

Kaseya Ransomware attack

Η Kaseya προσφέρει εργαλεία πληροφορικής σε εκατοντάδες μικρομεσαίες επιχειρήσεις, κρατικούς μηχανισμούς, εταιρείες τηλεπικοινωνιών, ακόμα και Super Market.

Στόχος της επίθεσης ήταν ένα από τα πιο δημοφιλή λογισμικά της εταιρείας, το VAS. Το VAS αποτελεί ένα λογισμικό απομακρυσμένου ελέγχου που διαχειρίζεται το δίκτυο των server, των υπολογιστών και των εκτυπωτών μέσω μίας πηγής. Υπολογίζεται ότι εξυπηρετεί περισσότερους από 40.000 πελάτες.

H Kaseya προσβλήθηκε από διαδικτυακή επίθεση τύπου “supply chain ransomware” κατά την οποία κλειδώθηκαν εκτός συστήματος εκατοντάδες εταιρείες, οργανισμοί και επιχειρήσεις. Θύματα εντοπίζονται σε 17 χώρες σε όλο τον κόσμο.

Χαρακτηριστικό του μεγέθους της επίθεσης είναι το παροδικό κλείσιμο 800 καταστημάτων της Coupe Suede, μιας από της μεγαλύτερες αλυσίδες supermarket της Σουηδίας.

Πίσω από την επίθεση αυτή φάνηκε πως βρισκόταν ο διαβόητος οργανισμός Revil, που εδρεύει στην Ρωσία. Μερικούς μήνες αργότερα οι Ρωσικές αρχές προχώρησαν στην εξάρθρωση της REvil, όπως έχουμε αναφέρει στο σχετικό άρθρο εδώ.

Brenntag

Brenntag επιθεση Ransomware

H Darkside επιτέθηκε τον Μάιο του 2021 στον κολοσσό διανομής χημικών προϊόντων Brenntag, αποσπώντας άλλα $4.400.000. Η επίθεση έγινε μέσω λογισμικού απομακρυσμένης πρόσβασης και χρήσης κλεμένων διαπιστευτηρίων εισόδου (credentials).

Η σπείρα των κακοποιών, προκειμένου να πείσει την εταιρία να πληρώσει, δημιούργησε ένα portal όπου δημιοσιοποίησε ονόματα αρχείων που υπέκλεψε, screenshots από δεδομένα και απείλησε την δημοσιοποίησή τους, απαιτώντας αρχικά $7.500.000. Τελικά συμβιβάστηκε με τα $4.4m.

JBS

JBS Ransomware attack

Toν Ιούνιο, η REvil επιτέθηκε στην JBS και κατάφερε να κλείσει τεράστιο αριθμό μονάδων της εταιρίας. Η JBS διακινεί το 1/5 της παραγωγής κρέατος του πλανήτη και η επίθεση είχε άμεση επίδραση στην αμερικάνικη -κυρίως- αγορά.

Το ποσό που πληρώθηκε από την JBS ήταν $11.000.000

ΚΙΑ MOTORS

KIA Motors ransomware επιθεση

Μυστήριο καλύπτει την συγκεκριμένη επίθεση, με την ΚΙΑ Μοtors να αρνείται την ύπαρξη κυβερνοεπίθεσης με Ransomware και απλώς να ισχυρίζεται ότι διάφορα microsites και τηλεφωνικά κέντρα υπολειτουργούν.

Η σπείρα η οποία ισχυρίζεται ότι χτύπησε την αυτοκινητοβιομηχανία ήταν η DoppelPaymer (η οποία είχε χτυπήσει τον Ιούλιο του 2021 τον Δήμο Θεσσαλονίκης) και ζήτησε λύτρα $20.000.000.

Ireland’s HSE

HSE Ireland Ransomware attack

Toν Μάιο του 2021, το HSE (Health System Executive) της Ιρλανδίας δέχθηκε επίθεση από τον Conti Ransomware.

Οι κακοποιοί έκαναν γνωστό ότι έχουν υποκλέψει περισσότερα από 700GB δεδομένων, τα οποία περιελάμβαναν φακέλους ασθενών, ιατρικά ιστορικά, μισθοδοσίες, συμβόλαια κλπ και απαίτησαν λύτρα της τάξης των $20.000.000 για να μην τα δημοσιοποιήσουν.

Η επίθεση ήταν γενικευμένη και επιτυχημένη. Παρέλησε ένα τμήμα του συστήματος Υγείας της χώρας ενώ η πρόσβαση σε φακέλους ασθενών, αποτελέσματα εξετάσεων και η χορήγηση φαρμάκων έγινε μετ’ εμποδίων για αρκετά μεγάλο χρονικό διάστημα.

Ο πρωθυπουργός της χώρας, Micheál  Martin, δήλωσε “θα ήθελα να καταστήσω σαφές ότι δεν υπάρχει καμία περίπτωση να πληρώσουμε λύτρα ή να μπούμε καν σε τέτοιες διαδικασίες”.

CNA Financial

CNA Financial Ransomware attack

H CNA Financial, ασφαλιστικός κολοσσός με έδρα το Σικάγο, δέχτηκε επίθεση τον Ιούλιο με αποτέλεσμα να καταρρεύσουν τα συστήματα Η/Υ και να διαρρεύσουν στη δημοσιότητα τα προσωπικά στοιχεία και τα συμβόλαια χιλιάδων πελατών και υπαλλήλων της εταιρίας.

Η επίθεση έγινε με τον Phoenix Locker Ransomware και ενώ αρχικά η εταιρία αρνήθηκε να πληρώσει τα $40.000.000 που ζητήθηκαν ως λύτρα, μία εβδομάδα αργότερα υπέκυψε και προχώρησε στην πληρωμή.

QUANTA

Quanta Ransomware attack

H Quanta Computers, με έδρα την Ταϊβάν, είναι ο δεύτερος μεγαλύτερος κατασκευαστής πρωτότυπων laptop στον κόσμο (μετά την Compal η οποία επίσης είχε πέσει θύμα επίθεσης με Ransomware το 2020). Η Quanta προμηθεύει με πρωτότυπα διάφορους κατασκευαστές όπως η Apple, η Lenovo, η HP, η Cisco, η Dell και η Microsoft.

Τον Απρίλιο δέχτηκε επίθεση από την REvil η οποία στο site της στο Dark Web υποστήριξε ότι έχει κλέψει πρωτότυπα schematics από νέες συσκευές της Apple και απαίτησε λύτρα $50.000.000 για να μην τα δημοσιοποίησει.

Η Quanta δεν αντέδρασε και η REvil δημοσιοποίησε μεγάλο αριθμό από Schematics από Apple συσκευές απαιτώντας το διπλάσιο ποσό ($100.000.000) για να μην δημοσιεύσει και τα υπόλοιπα. Η Apple πάντως διέψευσε ότι τα blueprints αφορούσαν δικές της υπό κατασκευή συσκευές και δεν έχει καταστεί σαφές αν τελικά τα λύτρα πληρώθηκαν.

ACER

O τεχνολογικός κολοσσός από την Ταϊβάν επλήγη από επίθεση Ransomware τον περασμένο Μάρτιο.

Πίσω από την επίθεση κρύβονταν και πάλι η REvil, η οποία στο Dark Web δημοσίευσε πλήθος αρχείων που περιελάμβαναν οικονομικές συναλλαγές, οικονομικά αρχεία, μισθοδοσίες κλπ

Το ποσό που ζήτησε η REvil ήταν $50.000.000 τα οποία -σύμφωνα με όσα έγιναν γνωστά- δεν της καταβλήθηκαν.

Όπως επίσης έγινε γνωστό, η επίθεση πραγματοποιήθηκε βάσει των γνωστών ευπαθειών που παρουσίασαν εκείνη την εποχή οι Microsoft Exchange Servers.