Οι ειδικοί στην κυβερνοασφάλεια συνηθίζουν να λένε πως υπάρχουν δύο ειδών επιχειρήσεις. Αυτές που έχουν δεχτεί κυβερνοεπίθεση και αυτές που έχουν δεχτεί κυβερνοεπίθεση αλλά ακόμα δεν το γνωρίζουν. Το ρητό αυτό θέλει να αναδείξει κυρίως πως το ζήτημα δεν είναι αν μια εταιρεία θα γίνει στόχος κυβερνοεγκληματιών, αλλά το πότε και ότι οι εξελιγμένες τεχνικές των εισβολέων μπορούν να τους κάνουν «αόρατους» από τον εντοπισμό, με ιδιαίτερα οδυνηρές επιπτώσεις, κυρίως οικονομικές.
Δυστυχώς η σημερινή πραγματικότητα δείχνει πως οι απειλές αυξάνονται με ραγδαίους ρυθμούς, με στόχο τόσο την εξυπηρέτηση γεωπολιτικών συμφερόντων, όσο και την αποκόμιση παράνομων κερδών και σε αυτό το σκηνικό η Ελλάδα έχει να αντιμετωπίσει μεγάλες προκλήσεις.
Για τις νέες τάσεις στο κυβερνοέγκλημα, μίλησε στα Μακεδονικά Νέα ο κ. Δημήτρης Λούλης της «Northwind Data Recovery», με μεγάλη εμπειρία στο ransomware (λυτρισμικό), το οποίο είναι ένας τύπος κακόβουλου λογισμικού που κρυπτογραφεί τα δεδομένα ή κλειδώνει τη συσκευή ενός χρήστη ή τον server ενός οργανισμού και στη συνέχεια απαιτεί πληρωμή (λύτρα) για την αποκατάσταση της πρόσβασης.
Ο κ. Λούλης κάνει λόγο για αύξηση των στοχευμένων επιθέσεων στην Ελλάδα, με τη χρήση της ΑΙ και με πιο εξεζητημένους τρόπους εισβολής, ενώ τονίζει την ανάγκη άμεσης λήψης μέτρων κυβερνοασφάλειας από τις Ελληνικές επιχειρήσεις. Εκτιμά ότι οι κυβερνοπόλεμοι θα ενταθούν και ενώ αναγνωρίζει ότι έχουν γίνει βήματα στον ψηφιακό μετασχηματισμό στη χώρα μας, υπογραμμίζει την περαιτέρω ανάγκη θωράκισης του δημόσιου τομέα.
Μιλάει για τη διεθνή πρωτοβουλία «No More Ransom» - στην οποία συμμετέχει η εταιρεία του - που αποσκοπεί στην καταπολέμηση του ransomware μέσω συνεργασίας δημόσιου και ιδιωτικού τομέα, βοηθώντας τα θύματα να ανακτήσουν τα κρυπτογραφημένα τους δεδομένα χωρίς να πληρώσουν λύτρα στους εγκληματίες και τέλος κάνει γνωστό πως η εταιρεία του αναπτύσσει και θα κυκλοφορήσει σύντομα ένα καινοτόμο λογισμικό, ίσως το μοναδικό σε παγκόσμιο επίπεδο, το οποίο όπως εξηγεί, «θα τελειώσει το θέμα ransomware».
Ακολουθεί το πλήρες κείμενο της συνέντευξης του κ. Δημήτρη Λούλη στον Αλέξανδρο Αλεξιάδη:
-Τι δείχνουν οι τελευταίες τάσεις όσον αφορά στις κυβερνοεπιθέσεις και ποιος ο ρόλος της ΑΙ στο κυβερνοέγκλημα; Υπάρχει εργαλειοποίηση της τεχνητής νοημοσύνης και αύξηση των επιθέσεων;
Αυτό που έχουμε δει εμείς, είναι ότι η AI έχει εργαλειοποιηθεί όντως. Δηλαδή προσπαθούν να την εκμεταλλευτούν ιδίως κάποιες διανομές οι οποίες δεν είναι επίσημες όπως το Chat-Gpt, το Grok κτλ, αλλά πιο «σκιώδεις» διανομές, λιγότερο γνωστές στο ευρύ κοινό, έτσι ώστε να γίνουν πιο πιστευτές και οι προσπάθειες που κάνουν οι επιτήδειοι να ξεγελάσουν ιδίως ανυποψίαστα άτομα.
Αυτό γίνεται είτε με τις κλασσικές μεθόδους, όπως τα email τα οποία είναι παγιδευμένα αλλά τα «μεταμφιέζουν» ακόμα καλύτερα ώστε να γίνουν πιο πιστευτά, είτε με κάποια sites τα οποία έχουν πάνω τους bots ή κάποια worms, τα οποία πλέον είναι πολύ πιο εύκολο να εισβάλλουν σε ένα σύστημα.
Η αλήθεια είναι ότι δεν έχουμε δει πολύ μεγάλες διαφορές σε ό,τι έχει να κάνει με τον τρόπο με τον οποίο προσπαθούν να πετύχουν το σκοπό τους. Δηλαδή ουσιαστικά πηγαίνουν και πάλι στην μέθοδο SCAM, phishing, κλπ, απλά χρησιμοποιούν πιο αποτελεσματικά εργαλεία έτσι ώστε να γίνουν περισσότερο πιστευτοί.
Σε ό,τι έχει να κάνει με τους αριθμούς των επιθέσεων, το κύριο χαρακτηριστικό είναι ότι ενώ δεν έχουν αυξηθεί, έχουν γίνει περισσότερο στοχευμένες. Δηλαδή εμείς έχουμε σχετικά λιγότερα περιστατικά «τυφλών» επιθέσεων σε ιδιώτες, προφανώς γιατί οι επιτήδειοι έχουν διαπιστώσει ότι δεν αποδίδει αυτό που περιμένουν. Π.χ, αν ζητήσουν από κάποιον απλό ιδιώτη ένα bitcoin, δεν πρόκειται να το πάρουν ποτέ. Αν επιτεθούν όμως σε μια εταιρεία στοχευμένα και ζητήσουν μεγάλα ποσά σε λύτρα, τότε έχουν περισσότερες δυνατότητες να πληρωθούν.
Οπότε έχουν πάει σε πιο στοχευμένες επιθέσεις, σε πιο sophisticated (εξεζητημένους) τρόπους εισβολής μέσα σε εσωτερικά δίκτυα κλπ, έτσι ώστε να αποσπάσουν χρήματα με λύτρα.
-Είναι αλήθεια αυτό που λένε ότι υπάρχουν δύο ειδών εταιρείες, αυτές που έχουν δεχθεί κάποια επίθεση και αυτές που έχουν δεχθεί αλλά δεν το γνωρίζουν ακόμα;
Ναι, θα έλεγα ότι ισχύει ειδικά όσον αφορά μεγάλες εταιρείες. Είναι γνωστά περιστατικά και στο παρελθόν από εταιρείες οι οποίες αργότερα παραδέχτηκαν πχ μια διαρροή δεδομένων. Που μετά από πιέσεις που δέχτηκαν, παραδέχτηκαν ότι είχαν δεχτεί επίθεση υποστηρίζοντας ότι έλυσαν το πρόβλημα, ότι δεν υπήρχε πλέον κανένας κίνδυνος κτλ.
Υπάρχουν όμως και εταιρείες οι οποίες από την πρώτη στιγμή βγήκαν «μπροστά» και παραδέχτηκαν αμέσως μια επίθεση, ανακοινώνοντας μέτρα και πχ συμβουλεύοντας πελάτες και χρήστες υπηρεσιών να αλλάξουν κωδικούς πρόσβασης. Γενικότερα πάντως, ναι ισχύει, η κλίμακα είναι τεράστια.
-Η Ελλάδα στην έκθεση της Kaspersky για το 2024, ήταν από τις χώρες με τις πιο ευάλωτες επιχειρήσεις παγκοσμίως, με ελλιπή μέτρα προστασίας, άγνοια για τους κινδύνους κτλ. Βλέπετε να έχει κινητοποιήσει δυνάμεις στη χώρα μας αυτή η διαπίστωση; Έχει αλλάξει κάτι ουσιαστικά;
Αυτό που βλέπουμε εμείς είναι ότι τα πράγματα γίνονται χειρότερα. Δεν έχουμε δει κινήσεις για την εκπαίδευση του προσωπικού των εταιρειών ή των οργανισμών. Δεν έχουμε δει κινήσεις όπως η παροχή κινήτρων ώστε μία επιχείρηση να μπορέσει να εκπαιδεύσει το προσωπικό της, από τα πιο απλά πράγματα του τύπου «ποιο email να ανοίξω και ποιο όχι», μέχρι το πώς να γίνονται secured τα εσωτερικά συστήματα, το intranet κτλ. Εμείς δεν έχουμε διαπιστώσει κάτι να συμβαίνει. Με βάση τα σημερινά δεδομένα, η εικόνα που έχουμε συμφωνεί απόλυτα με την έκθεση της Kaspersky.
-Τα τελευταία χρόνια είδαμε επιθέσεις και στον δημόσιο τομέα με πολιτικά – γεωστρατηγικά χαρακτηριστικά. Στον διεθνή χώρο βλέπουμε επιθέσεις που εικάζεται ότι είναι από τη Ρωσία. Διαπιστώνουμε δηλαδή ότι και ο δημόσιος τομέας και μεγάλες επιχειρήσεις που είναι στενά συνδεδεμένες με χώρες, αντιμετωπίζουν κυβερνοεπιθέσεις που δεν έχουν οικονομικά κίνητρα, αλλά πολιτικά ή άλλα. Πιστεύετε ότι αυτό θα ενταθεί τα επόμενα χρόνια;
Σαφέστατα. Ο κυβερνοπόλεμος είναι κάτι το οποίο ουσιαστικά θα αντικαταστήσει τον κλασικό συμβατικό πόλεμο. Και οι έννοιες «ασύμμετρες απειλές» και «ασύμμετρες επιθέσεις», έχουν να κάνουν κυρίως με αυτό. Και φυσικά με την ανάπτυξη της τεχνητής νοημοσύνης που λέγαμε πριν, αυτό θα γίνει ακόμα πιο σαφές, πιο ισχυρό και πιο επιθετικό.
Δηλαδή θεωρώ ότι χώρες οι οποίες έχουν μεταξύ τους διαφωνίες - ήδη συμβαίνει, δεν το θεωρώ εγώ, δηλαδή είναι κάτι που το βλέπουμε - είτε πολιτικές, είτε οικονομικές, είτε θρησκευτικές, εξαπολύουν κυβερνοπολέμους. Αυτό δυστυχώς θα ενταθεί.
-Ο δημόσιος τομέας στην Ελλάδα, είναι αναπτυγμένος ψηφιακά ώστε να αντιμετωπίσει τέτοιες απειλές;
Αυτό που διαπιστώνω προσωπικά, είναι ότι τουλάχιστον στον ψηφιακό μετασχηματισμό της χώρας έχουν γίνει βήματα. Δηλαδή υπάρχουν υπηρεσίες οι οποίες έχουν αυτοματοποιηθεί ως έναν βαθμό και περιέχουν δεδομένα τα οποία «μιλάνε» με άλλες υπηρεσίες κτλ. Ωστόσο θεωρώ ότι η θωράκιση του δημόσιου τομέα σε ότι έχει να κάνει με τον ψηφιακό πόλεμο, είναι απολύτως απαραίτητη.
-Είδαμε ότι η εταιρεία σας, η Northwind Data Recovery αποτελεί μέλος του project “No More Ransom”. Τι είναι και πού αποσκοπεί αυτή η πρωτοβουλία;
Το “No More Ransom” δημιουργήθηκε ουσιαστικά από κάποιες εταιρείες ψηφιακής ασφάλειας, όπως είναι η Kaspersky και η McAfee, σε συνεργασία με τη Europol και στη συνέχεια εντάχθηκαν σχεδόν όλες οι υπηρεσίες ασφάλειας της κάθε χώρας που ασχολούνται με τη δίωξη του ηλεκτρονικού εγκλήματος.
Σκοπός είναι να ψάχνουμε και να βρίσκουμε ευάλωτα σημεία από κάποια στελέχη που έχουν χρησιμοποιηθεί για να γίνουν επιθέσεις ransomware. Στη συνέχεια μέσω reverse engineering προσπαθούμε να βρούμε το κλειδί αποκρυπτογράφησης, έτσι ώστε ο κόσμος να μπορεί να πάρει τα δεδομένα του χωρίς να πληρώσει ούτε ένα ευρώ, χρησιμοποιώντας την υπηρεσία αυτή.
Σε πάρα πολλές περιπτώσεις έχουμε βοηθήσει. Είναι εκατοντάδες εκατομμύρια οι χρήστες οι οποίοι έχουν πάρει τα δεδομένα τους πίσω. Δυστυχώς όμως υπάρχουν πολλές περιπτώσεις που τα στελέχη του λειτουργικού του ransomware είναι τόσο καλά φτιαγμένα που δεν μπορούμε να βρούμε κάποιο ευάλωτο σημείο. Σε αυτήν την περίπτωση περιμένουμε απλά να γίνουν συλλήψεις ή να γίνουν κατασχέσεις στους server που κρατάνε τα «κλειδιά», έτσι ώστε να βγάλουμε και εμείς το κλειδί αποκρυπτογράφησης.
To No More Ransom, για μένα είναι μια εκπληκτική πρωτοβουλία. Μόνος σκοπός της είναι να βοηθήσει τους ανθρώπους που έχουν πέσει θύματα απάτης και αυτό το στηρίζουμε ολόψυχα και εγκάρδια
-Και βλέπουμε ότι η «κορωνίδα» των συμβουλών στο πρόγραμμα αυτό, είναι «μην πληρώνετε γιατί αυτό δεν εξασφαλίζει τίποτα», έτσι;
Βεβαίως. Ουσιαστικά πρέπει να γίνει σαφές πως όταν ερχόμαστε σε επικοινωνία με τους ανθρώπους αυτούς, οι οποίοι έχουν παγιδεύσει τον υπολογιστή μας, μας έχουν κρυπτογραφήσει τα αρχεία και μας ζητάνε χρήματα για να μας στείλουν το «κλειδί», ουσιαστικά ερχόμαστε σε επικοινωνία με κακοποιούς. Είναι καταζητούμενοι από το FBI και όσο εμείς υποκύπτουμε σε αυτό, ουσιαστικά αυτοί βλέπουν το κακοποιό τους έργο να ανθίζει και συνεχίζουν να το κάνουν.
Φυσικά είναι πολύ δύσκολο να πεις σε κάποιον που έχει κλειδωμένα πολύτιμα επαγγελματικά δεδομένα ή φωτογραφίες από το παιδί του «μην πληρώνεις τα λίτρα και ξέχνα τα δεδομένα σου». Αυτό όμως που μπορούμε να πούμε είναι να κάνει υπομονή. Αν γίνεται, αν δηλαδή δεν υπάρχει πίεση χρόνου, η συμβουλή που δίνουμε είναι να κάνουν υπομονή και κάποια στιγμή υπάρχει σοβαρή πιθανότητα να βρεθεί το κλειδί με τον έναν ή τον άλλον τρόπο ώστε να πάρουν πίσω τα δεδομένα τους.
Το λογισμικό που «τελειώνει» το ransomware
Ο κ. Λούλης εξηγεί στη συνέχεια τον ακριβή τρόπο λειτουργίας του νέου λογισμικού που αναπτύσσει η “Northwind Data Recovery” εδώ και περίπου τρία χρόνια, προκειμένου όπως τονίζει να υπάρχει ένα εργαλείο προστασίας ευαίσθητων – κρίσιμων δεδομένων και να «τελειώσει» με αυτόν τον τρόπο η απειλή επιθέσεων τύπου ransomware.
«Ουσιαστικά δεν αντικαθιστά κανένα από τα λογισμικά προστασίας. Δεν έχει λειτουργία αντι-virus ή αντι-malware το λογισμικό μας. Αυτό που κάνει είναι να του ορίζουμε εμείς κάποιον φάκελο που έχει μέσα τα δεδομένα που είναι σημαντικά για εμάς - για παράδειγμα η επιφάνεια εργασίας – να τον «κλειδώνει» και να τον προστατεύει. Σε περίπτωση που γίνει επίθεση από ransomware, αυτή θα εξελιχθεί κανονικά, αλλά με το που θα ολοκληρωθεί η επίθεση, ο συγκεκριμένος φάκελος θα έχει μείνει αναλλοίωτος, ασφαλής και θα μπορέσουμε να πάρουμε τα δεδομένα του.
Η ανάπτυξή του καθυστέρησε λίγο, καθώς η ομάδα μας προσπαθούσε να βρει λύση για τις βάσεις δεδομένων SQL, κάτι που ''καίει'' και τους περισσότερους επαγγελματίες. Έχουμε βρει τη λύση τελικά και για αυτό, οπότε ελπίζουμε ότι το λογισμικό θα κυκλοφορήσει μέσα στον επόμενο μήνα. Πρόκειται για μια δική μας έμπνευση, για μια δική μας δημιουργία, μιας και ο κώδικας είναι γραμμένος όλος από εμάς. Σε όλο το διάστημα της ανάπτυξης, κάναμε δοκιμές με διάφορα στελέχη και αυτή τη στιγμή είμαστε σε μια φάση που έχουμε δοκιμάσει τα 15-20 πιο γνωστά ransomware πάνω στο συγκεκριμένο λογισμικό και τα πέρασε όλα με επιτυχία. Σε επόμενη φάση ανάπτυξης, θα προσπαθήσουμε να προστατεύουμε και δικτυακούς δίσκους».
