Πώς ξεκίνησα να συνομιλώ με τους hackers

Μιχάλης Μίγγος, co-founder, COO και επικεφαλής της ομάδας Incident Response και Ransomware Negotiation της TicTac Cyber Security.

Διαχείριση περιστατικών Ransomware και Incident Response

Η κυβερνοασφάλεια, για πολλούς, εξακολουθεί να ακούγεται σαν κάτι αφηρημένο. Firewalls, antivirus, πιστοποιήσεις, πολιτικές και διαδικασίες. Κάτι που αφορά κυρίως την πληροφορική και όχι τη διοίκηση.

Μέχρι τη στιγμή που ένα πρωί – συνήθως Δευτέρα ή Τρίτη – χτυπάει το τηλέφωνο και ακούς τη φράση:

«Δεν λειτουργεί τίποτα. Και το backup έχει καταστραφεί.»

Από εκείνη τη στιγμή, η κυβερνοασφάλεια παύει να είναι τεχνολογία.

Γίνεται κρίση.

Η εταιρία μας ασχολείται εδώ και χρόνια με την κυβερνοασφάλεια και τη διαχείριση περιστατικών κυβερνοεπιθέσεων κάθε μορφής. Στο πλαίσιο των υπηρεσιών Ransomware Incident Response & Digital Forensics (DFIR) έχουμε διαχειριστεί μεγάλα περιστατικά που αφορούν ελληνικές επιχειρήσεις αλλά και οργανισμούς στο εξωτερικό.

Ο στόχος μας σε κάθε περιστατικό είναι ξεκάθαρος και δεν αλλάζει:

1. Να μειώσουμε τη διάρκεια παύσης εργασιών της επιχείρησης
2. Να περιορίσουμε όσο γίνεται το οικονομικό και λειτουργικό κόστος
3. Να εντοπίσουμε με ακρίβεια πώς έγινε η επίθεση
4. Να επαναφέρουμε την υποδομή με αυξημένη ασφάλεια και συνεχή παρακολούθηση, ώστε ένα επόμενο περιστατικό να μη στοιχίσει το ίδιο

Ακριβώς επειδή ξεκινήσαμε πολύ νωρίς να ασχολούμαστε με αυτό το αντικείμενο, το word of mouth παίζει τεράστιο ρόλο στη δουλειά μας. Έτσι έχουμε διαχειριστεί μεγάλα περιστατικά που είδαν το φως της δημοσιότητας – κυρίως σε επιχειρήσεις που υπάγονται πλέον στην οδηγία NIS2 – αλλά και εκατοντάδες μικρότερα περιστατικά σε πολύ μικρές επιχειρήσεις που δεν δημοσιεύτηκαν ποτέ.

Η σημερινή εικόνα των ransomware attacks στην Ελλάδα

Η πικρή αλήθεια είναι ότι, παρά τα βήματα που έχουν γίνει τα τελευταία χρόνια, υπάρχει ακόμη μεγάλη άγνοια για το πώς λειτουργούν πραγματικά οι hackers.

Αν κάποιος πιστεύει ότι μια επιχείρηση που διαθέτει firewall, antivirus, backup και ISO 27001 διαδικασίες δεν μπορεί να υποστεί σοβαρή ζημιά, τότε δεν έχει δει την πραγματική εικόνα της αγοράς.

Με βάση την επαγγελματική μου εμπειρία και τα risk assessments που πραγματοποιούμε – τόσο σε επιχειρήσεις που υπάγονται στην NIS2 όσο και σε μικρότερες που απλώς άκουσαν ότι «χτύπησαν ransomware τον ανταγωνιστή» – η εικόνα είναι περίπου η εξής:

• Περίπου 15% των μεγάλων επιχειρήσεων έχουν επενδύσει ουσιαστικά στην κυβερνοασφάλεια
• Άλλο ένα 15% μικρότερων επιχειρήσεων έχει λάβει κάποια βασικά μέτρα
• Το υπόλοιπο 70% των ελληνικών επιχειρήσεων παραμένει ουσιαστικά απροετοίμαστο για ransomware ή Business Email Compromise

Τα ποσοστά αυτά δεν προέρχονται από ακαδημαϊκή έρευνα. Είναι εκτίμηση βασισμένη σε πραγματικά περιστατικά που βλέπουμε καθημερινά.

Τι συμβαίνει πραγματικά σε ένα ransomware incident

Θα προσπαθήσω να αποτυπώσω την εικόνα όσο πιο παραστατικά μπορώ, γιατί την έχω ζήσει χιλιάδες φορές.

Στα περισσότερα περιστατικά, η επίθεση ξεκινά Σαββατοκύριακο. Η αποκάλυψη γίνεται Δευτέρα ή Τρίτη πρωί.

Μέσα σε 30 έως 90 λεπτά, βρισκόμαστε όλοι σε ένα Teams meeting.

Η εικόνα είναι σχεδόν πάντα ίδια:

• Όλοι οι servers κρυπτογραφημένοι
• Δεν έχει σημασία αν είναι physical ή virtualized
• Το NAS ή τα offline backups «δεν δουλεύουν»
• Ο πελάτης βρίσκεται ουσιαστικά στο μηδέν

Μέσα σε λίγες ώρες, η ομάδα Incident Response βρίσκεται επιτόπου. Οι συνάδελφοι είναι απλωμένοι σε όλη την Ελλάδα. Δεν υπάρχουν ωράρια. Δεν είναι σπάνιο να φεύγουμε από ένα περιστατικό όπου έχουμε ξενυχτήσει και να πηγαίνουμε κατευθείαν στο επόμενο.

Όσο σκληρό κι αν ακούγεται, όλοι στην ομάδα ζούμε για αυτά τα περιστατικά. Εκεί φαίνονται τα γαλόνια στο πεδίο. Εκεί χτίζονται σχέσεις ζωής με τους πελάτες. Εκεί καταλαβαίνεις ότι, για λίγες ημέρες, είσαι πιο κρίσιμος ακόμη και από γιατρό.

Όταν ο πανικός γίνεται μεγαλύτερος εχθρός από τον hacker

Σε ένα ransomware incident δοκιμάζονται όλοι. Ιδιοκτήτες, μέτοχοι, IT managers, προσωπικό.

Οι σχέσεις πιέζονται. Υπάρχει θυμός, φόβος, επίρριψη ευθυνών – και όλα αυτά τη χειρότερη δυνατή στιγμή. Εκεί γίνονται και τα πιο επικίνδυνα λάθη.

Ένα από τα συχνότερα και πιο καταστροφικά λάθη είναι η βιαστική επαναφορά backup. Σε πολλές περιπτώσεις, αυτό απλώς επαναφέρει και τη σύνδεση με τον επιτιθέμενο.

Το ransomware μοιάζει με φωτιά σε κτίριο.

Δεν ανοίγεις πόρτες στα τυφλά.

Η περίοδος απόλυτου πανικού μέχρι να οργανωθεί πλάνο διαρκεί από 24 ώρες έως και 3–4 ημέρες. Και ακόμη κι όταν επανέλθουν τα συστήματα, το περιστατικό δεν έχει τελειώσει. Ακολουθεί σκλήρυνση της υποδομής, παρακολούθηση, νέα στρατηγική backup και πλήρης κανονιστική τεκμηρίωση.

Ποιες εταιρίες πέφτουν θύματα ransomware συνήθως

Οι μεγάλες εταιρίες γίνονται στόχαστρο κυρίως λόγω του τζίρου τους. Οι hackers τις επιλέγουν συνειδητά και καταβάλλουν μεγαλύτερη προσπάθεια. Ξοδεύουν χρόνο μέσα στις υποδομές τους, χαρτογραφούν το περιβάλλον, εντοπίζουν πού βρίσκονται τα backups και μόνο όταν είναι σίγουροι ότι έχουν πλήρη εικόνα, προχωρούν στην κρυπτογράφηση των πάντων.

Σε χαρακτηριστική περίπτωση πολύ μεγάλης εταιρίας στον κλάδο των τροφίμων, διαπιστώσαμε ότι ο επιτιθέμενος είχε αποκτήσει πρόσβαση στο περιβάλλον της περίπου τρεις μήνες πριν το περιστατικό. Είχε εντοπίσει όλα τα backup locations, τα διαφορετικά sites και ακόμη και τη διαδικασία των offline backups.

Ο μηχανογράφος χρησιμοποιούσε έξι εξωτερικούς σκληρούς δίσκους σε κυκλική βάση. Κάθε μέρα ένας συνδεόταν για backup και στη συνέχεια αποσυνδεόταν. Όταν μπήκαμε στο περιστατικό, διαπιστώσαμε ότι ο επιτιθέμενος είχε δημιουργήσει script που, μετά την ολοκλήρωση κάθε offline backup, έγραφε μηδενικά στα αρχεία και τα καθιστούσε corrupt. Την ημέρα της κρυπτογράφησης, τα offline backups υπήρχαν – αλλά δεν μπορούσαν να γίνουν restore.

Σενάρια που ακούγονται σαν επιστημονική φαντασία. Στην πράξη, όμως, τα έχουμε δει.

Οι μικρές επιχειρήσεις, από την άλλη, σπάνια στοχοποιούνται στρατηγικά. Πέφτουν στην κατηγορία του «βρήκα φως και μπήκα». Οι επιθέσεις είναι μαζικές και αυτοματοποιημένες. Δεν έχει σημασία αν είσαι στην Αθήνα ή σε ένα μικρό γραφείο με δύο υπολογιστές στη Χίο.

Με απλό port scanning εντοπίζονται ανοιχτές πόρτες, default credentials και αδύναμοι κωδικοί. Μέσα σε 30 λεπτά μπορεί να κρυπτογραφηθούν τα πάντα και να ζητηθούν 5.000, 10.000 ή 20.000 ευρώ. Πολλές φορές, δεν τους ενδιαφέρει καν αν μπορείς να πληρώσεις.

Το συμπέρασμα είναι απλό:

ο κίνδυνος υπάρχει ανεξάρτητα από το μέγεθος, την τοποθεσία ή την οικονομική αντοχή μιας επιχείρησης. Η ζημιά θα γίνει – και συνήθως θα είναι μεγάλη.

Πώς ξεκίνησα να συνομιλώ με τους hackers

Τα πρώτα ransomware εμφανίστηκαν στη χώρα μας γύρω στο 2016. Θυμάμαι ακόμη ένα μεγάλο λογιστικό γραφείο που ήρθε στο εργαστήριό μας για ανάκτηση δεδομένων. Τα αρχεία δεν είχαν διαγραφεί. Ήταν κρυπτογραφημένα. Η ομάδα λεγόταν Cerber.

Παρά την έρευνα, δεν υπήρχε τεχνικός τρόπος αποκρυπτογράφησης. Ο πελάτης μάς ζήτησε να κάνουμε ό,τι χρειάζεται. Για εκείνον, η απώλεια δεδομένων σήμαινε καταστροφή φήμης.

Πάντα είχα ενδιαφέρον για τη διαπραγμάτευση. Είχα διαβάσει βιβλία, γνώριζα τα κρυπτονομίσματα και είχα εμπειρία ως IT Administrator και Data Recovery Engineer. Έτσι ξεκίνησαν οι πρώτες συνομιλίες με hackers.

Ο σκοπός της διαπραγμάτευσης

Η διαπραγμάτευση δεν γίνεται πάντα για πληρωμή λύτρων.

Στόχος είναι:

• να μη χαθεί η επικοινωνία
• να περιοριστεί η ζημιά
• να συλλεχθούν στοιχεία
• να τεκμηριωθεί το περιστατικό
• να κλείσει γρήγορα και με το μικρότερο δυνατό κόστος

Σε αρκετές περιπτώσεις, χάρη σε data recovery ή backups, οι πελάτες δεν πληρώνουν. Σε άλλες, πληρώνουν μόνο για να αποφύγουν τη δημοσίευση δεδομένων.

Επίλογος

Μακάρι να μη χρειαστεί ποτέ να μιλήσει κανείς με έναν hacker.

Αλλά αν συμβεί, η διαφορά δεν είναι στην τεχνολογία.

Είναι στην ψυχραιμία.

Στην εμπειρία.

Στις σωστές αποφάσεις, τη σωστή στιγμή.

Και αυτά δεν διδάσκονται.

Μαθαίνονται μόνο στο πεδίο.