Νικόλαος Σίμος
Technical Manager
Pylones Hellas – www.pylones.gr
«Μία στις τρεις ελληνικές επιχειρήσεις έχουν δεχθεί επίθεση»
Σύμφωνα με έρευνα της Pylones Hellas, μία στις τρεις ελληνικές επιχειρήσεις έχουν δεχθεί αντίστοιχες επιθέσεις, ενώ το 10% αντιμετώπισε εν τέλει σοβαρό πρόβλημα από τις κυβερνοεπιθέσεις, που μεταφράζεται σε απώλειες δεδομένων και ζημιές στα συστήματά τους.
H απειλή από επιθέσεις τύπου ransomware είναι βάσιμη, και πρακτικά εκδηλώνονται καθημερινά. Ο βασικός λόγος που δεν πληροφορούμαστε για όλες αυτές τις επιθέσεις, είναι ότι οι μηχανισμοί άμυνας έχουν εξελιχθεί και βελτιωθεί σε μεγάλο βαθμό που οι επιθέσεις να αντιμετωπίζονται κατά την εκδήλωσή τους – ή ακόμη και πριν από αυτή. Αντίστοιχα βέβαια εξελίσσονται και οι μηχανισμοί των επιτιθέμενων.
Σε ένα πολύ σοβαρό περιστατικό που αντιμετώπισαν πρόσφατα, ένα ransomware πέρασε από τον «προστατευτικό κλοιό» του συστήματος ασφαλείας. Η επίθεση ξεκίνησε με την κρυπτογράφηση μερικών δεκάδων αρχείων, αλλά το έξυπνο σύστημα αντιλήφθηκε την ύποπτη δραστηριότητα και την αντιμετώπισε.
Η τεχνητή νοημοσύνη είναι εδώ
Η πρόοδος της τεχνολογίας επιτρέπει την ανάπτυξη αποτελεσματικών αντίμετρων στις επιθέσεις αυτές με τη βοήθεια μάλιστα της Τεχνητής Νοημοσύνης. Αρκετά αποτελεσματικές θεωρούνται οι λύσεις EDR (Endpoint Detection and Response), οι οποίες πρακτικά ανιχνεύουν τις κακόβουλες ενέργειες σε πρώιμο στάδιο και τις αποκρούουν πριν καν εκδηλωθούν. Σε αντίθεση με τα παραδοσιακά antivirus που περιμένουν την εκδήλωση της επίθεση από έναν ιό για να αναπτύξουν άμυνα, τα συστήματα EDR ελέγχουν τη συμπεριφορά του μηχανήματος αλλά και του χρήστη, και εφόσον διαπιστώσουν ύποπτη δραστηριότητα ενεργοποιούνται και αντιμετωπίζουν την επίθεση. Παράλληλα, το σύστημα κρατάει σε τακτά διαστήματα «στιγμιότυπα» της κατάστασης του συστήματος, ώστε ακόμη και αν κρυπτογραφηθούν τα αρχεία να μπορούν να ανακτηθούν. Αυτή η γραμμή άμυνας ενδέχεται να μην είναι πανάκεια για όλα τα συστήματα, είναι ένα «ικανοποιητικό εμβόλιο».
Ο παράγοντας άνθρωπος …
Ουσιαστικά οι κακόβουλοι εκμεταλλεύονται αυτό που οι ειδικοί ασφαλείας περιγράφουν ως κοινωνική μηχανική –πχ ένας εργαζόμενος να εμπιστευτεί κάποιον και να μοιραστεί έναν κωδικό ασφαλείας – προκειμένου να αποκτήσουν πρόσβαση σε συστήματα και υποδομές. Αρκεί κάποιος να εντοπίσει τα ενδιαφέροντα του στόχου του. Αν, για παράδειγμα, του αρέσουν τα χειμερινά σπορ, ο κακόβουλος θα του στείλει μια διαφήμιση που περιλαμβάνει μία προσφορά για πέδιλα του σκι, με την παραίνεση να κάνει κλικ ώστε να κατέβει στον υπολογιστή του ο κώδικας.
Ο κλάδος της υγείας πρώτος στόχος
Ο κλάδος της υγείας είναι από τους πλέον ευάλωτους, καθώς νοσοκομεία, δομές υγείας, διαγνωστικά κέντρα, και ειδικά υπηρεσίες του δημοσίου, δέχονται συχνά επιθέσεις τύπου ransomware το τελευταίο διάστημα. Ο βασικότερος λόγος είναι ότι οι δομές αυτές συνήθως δεν ακολουθούν τα ενδεδειγμένα standards ασφαλείας.
Ο κλάδος της υγείας είναι αρκετά εκτεθειμένος, επομένως καθίσταται πιο ελκυστικός για τους χάκερ που εκτός από χρήμα επιδιώκουν και δόξα και την υστεροφημία τους, ενώ άλλοι κλάδοι όπως ο τραπεζικός, ο ασφαλιστικός και ο βιομηχανικός δέχονται λιγότερες επιθέσεις καθώς είναι πιο καλά προετοιμασμένοι και υποψιασμένοι.
Μη διαπραγματεύεστε – Μην πληρώνετε.
Το ransomware υπάγεται στη δικαιοδοσία της Ελληνικής Αστυνομίας καθώς θεωρητικά ανήκει στην ευρύτερη κατηγορία του ηλεκτρονικού εγκλήματος. Τόσο τα στελέχη της Δίωξης Ηλεκτρονικού Εγκλήματος όσο και οι σύμβουλοι ασφαλείας συστήνουν να αποφεύγεται η διαπραγμάτευση με τους χάκερ γιατί ενδέχεται να τους τρομάξει, όπως ακριβώς συμβαίνει και με τους απαγωγείς όταν διαπραγματεύονται με την αστυνομία. Ο ίδιος συστήνει στους πελάτες να μην σκεφτούν καν να καταβάλουν τα λύτρα, καθώς το πιθανότερο είναι να χάσουν το ζητούμενο ποσό και τα αρχεία τους να μείνουν κλειδωμένα. «Το πιθανότερο είναι να στείλεις τα Bitcoins και οι χάκερ να μη σου στείλουν ποτέ το κλειδί για να ξεκλειδώσεις τα κρυπτογραφημένα αρχεία».
Ορισμένες ομάδες χάκερ έφτασαν στο σημείο να τηλεφωνήσουν στα θύματα των επιθέσεων, όταν διαπίστωσαν ότι επιχειρούσαν να ανακτήσουν τα αρχεία τους χωρίς να πληρώσουν τα λύτρα.
Πως να προφυλαχθείτε
Μετά από επίθεση τύπου ransomware σε μεγάλη εγχώρια επιχείρηση δόθηκε εντολή από τον επικεφαλής της να τηρούνται όλα τα αρχεία και σε έντυπη μορφή («Εκτυπώστε τα όλα» ήταν η εντολή που απηύθυνε»), προκειμένου να θωρακιστούν από αντίστοιχες επιθέσεις στο μέλλον. Επειδή προφανώς η εκτύπωση όλων των emails και των ηλεκτρονικών εγγράφων μιας εταιρείας προφανώς δεν μπορεί να συνιστά επιλογή στο σύγχρονο περιβάλλον, οι ειδικοί συστήνουν εγρήγορση και σωστή ενημέρωση.
Οι εταιρείες και οι οργανισμοί που πέφτουν θύματα εκβιαστών είναι αυτές που δεν έχουν ακολουθήσει ούτε τα βασικά βήματα ασφαλείας και δεν έχουν εκπαιδεύσει ούτε στοιχειωδώς το προσωπικό τους.
Κόντρα στο κλίμα τεχνοφοβίας που συνοδεύει αντίστοιχες επιθέσεις, προτείνουν στους χρήστες τα εξής βασικά βήματα ως πρόληψη:
- Να έχετε διαρκώς ενεργές τις αναβαθμίσεις.
- Να μην πατάτε κλικ σε μηνύματα που σας δημιουργούν το αίσθημα του φόβου ή ανασφάλειας.
- Να χρησιμοποιείτε password manager.
- Να παίρνετε τακτικά backup των αρχείων και των δεδομένων σας.
Μόνο με αυτά τα απλά βήματα, όπως λένε, θα είχαμε εξαλείψει περίπου το 95% των επιθέσεων.
Για τις επιχειρήσεις ανεξαρτήτως μεγέθους προτείνουν:
- Να επιλέγουν πολύ ισχυρά λογισμικά ασφαλείας για τον έλεγχο των email, ώστε να φιλτράρουν τα ύποπτα μηνύματα πριν φτάσουν στους υπολογιστές και τα κινητά των χρηστών.
- Να ενισχύεται η ασφάλεια στην ταυτοποίηση του χρήστη, εάν είναι δυνατόν με έλεγχο δύο επιπέδων (ακόμη δηλαδή κι αν κλέψουν ένα password, να απαιτείται και άλλο επίπεδο ασφαλείας, πχ μήνυμα στο κινητό ή εφαρμογή).
- Nα εκπαιδεύουν συστηματικά τους χρήστες σε θέματα cyber security awareness
- Και βέβαια να μην περιμένουν να γίνει η ζημιά για να κάνουν όλα τα παραπάνω βήματα.