Πριν λίγο καιρό αξιωματούχοι στις ΗΠΑ συνέκριναν την παγκόσμια αύξηση επιθέσεων ransomware με την τρομοκρατική απειλή μετά τις επιθέσεις της 11ης Σεπτεμβρίου, σχεδόν τον ίδιο καιρό που το υπουργείο Δικαιοσύνης των ΗΠΑ εξέφρασε την πρόθεσή του να αντιμετωπίσει το ransomware με τον ίδιο επείγοντα χαρακτήρα που κάνει με την τρομοκρατία.
Μπορούν όμως οι πρακτικές που εφαρμόζονται απέναντι σε «συμβατικούς» τρομοκράτες να έχουν αποτέλεσμα και απέναντι σε «ψηφιακούς» τρομοκράτες;
Σύμφωνα με πρόσφατη ανάλυση του δικτύου Chainalysis, παρά το γεγονός ότι τα «όπλα» στις ψηφιακές επιθέσεις δε χρησιμοποιούν σφαίρες, υπάρχουν σημαντικές ομοιότητες στις πρακτικές που μπορούν να χρησιμοποιηθούν, με εξίσου καλή αποτελεσματικότητα.
Σύμφωνα με την ανάλυση, με βάση τα διαθέσιμα δεδομένα blockchain, το 2020 οι εισβολείς ransomware απέσπασαν με επιτυχία τουλάχιστον 412 εκατ. δολάρια από τα θύματά τους, ποσό που είναι τετραπλάσιο από το αντίστοιχο ποσό του 2019.
Σύμφωνα με τα ίδια στοιχεία,μ η λεία των φετινών επιθέσεων δε δείχνει σημάδια υποχώρησης, και είχε ήδη ξεπεράσει τα 127 εκατ. δολάρια μέχρι το τέλος του Μαΐου του 2021. Στις 3 Ιουλίου γνωρίσαμε τη μεγαλύτερη ίσως επίθεση ransomware, καθώς η ομάδα κυβερνοτρομοκρατών REvil κατάφερε να μολύνει με ransomware πάνω από ένα εκατομμύριο υπολογιστές, εκμεταλλευόμενη μία ευπάθεια στο λογισμικό που χρησιμοποιεί ο πάροχος λύσεων πληροφορικής Kaseya, και προς το παρόν απαιτεί 70 εκατ. δολάρια για να στείλει τον κωδικό ξεμπλοκαρίσματος των συστημάτων.
Σε πολλές δε περιπτώσεις το πραγματικό κόστος της επίθεσης για τον πληττόμενο είναι πολύ μεγαλύτερο, εάν συνυπολογίσει κανείς το κόστος της επαναφοράς των δεδομένων μετά την επίθεση, των τυχόν αποζημιώσεων που θα πρέπει να δοθούν στους πελάτες, και (κυρίως ίσως, σε πολλές περιπτώσεις) τη μεγάλη ζημιά στην εταιρική φήμη. Χαρακτηριστικό παράδειγμα τα 600 εκατ. δολάρια με τα οποία κοστολόγησε ο υπουργός Υγείας της Ιρλανδίας την επίθεση ransomware που δέχτηκε το σύστημα Υγείας της χώρας περίπου 6 εβδομάδες νωρίτερα φέτος.
Όμως σε πολλές περιπτώσεις οι απώλειες είναι ακόμα μεγαλύτερες, καθώς δε μπορούν να αποτιμηθούν όλες σε χρήμα. Οι επιτιθέμενοι στοχεύουν συχνά σε κυβερνητικά ιδρύματα και οργανισμούς που σχετίζονται με κρίσιμες υποδομές στις οποίες βασιζόμαστε όλοι, όπως, για παράδειγμα, οι τράπεζες, τα νοσοκομεία, οι ενεργειακές εγκαταστάσεις και οι επιχειρήσεις τροφίμων, η απώλεια της εύρυθμης λειτουργίας των οποίων μπορεί να οδηγήσει ακόμα και σε απώλεια ανθρώπινων ζωών, είτε άμεσα, είτε έμμεσα.
Ομοιότητες στο πρόβλημα, αλλά και στις λύσεις
Όπως ακριβώς και οι «συμβατικοί» τρομοκράτες, οι ψηφιακοί τρομοκράτες που χρησιμοποιούν ransomware επιχειρούν να αξιοποιήσουν το φόβο, το χάος και την αναστάτωση για να τρομοκρατήσουν τα θύματά τους προκειμένου να επιτύχουν τους στόχους τους.
Όμως οι ομοιότητες μεταξύ «συμβατικής» και ψηφιακής τρομοκρατίας δεν περιορίζονται μόνον στους τρόπους επίθεσης και στη φύση των προβλημάτων που δημιουργούν, αλλά, σύμφωνα με την ανάλυση του δικτύου Chainalysis, επεκτείνονται και στις πρακτικές αντιμετώπισης.
Ο πυρήνας της μεθοδολογίας αντιμετώπισης είναι η ανάγκη των κυβερνήσεων και του ιδιωτικού τομέα να αυξήσουν τους πόρους που αφιερώνονται στην αντιμετώπιση των ψηφιακών απειλών και να βρουν πιο αποτελεσματικούς τρόπους συνεργασίας. Εάν αυτές οι προσπάθειες μπορούν να συνδυαστούν αρμονικά, είναι σε θέση να καταφέρουν καίρια πλήγματα στα ψηφιακά τρομοκρατικά δίκτυα και να αυξήσουν σημαντικά το κόστος των επιθέσεων ransomware, το οποίο είναι και το «κρίσιμο» στοιχείο για τη συχνότητα και το εύρος των συγκεκριμένων επιθέσεων.
Αύξηση του κόστους των επιθέσεων ransomware
Πολλοί ψηφιακοί τρομοκράτες που χρησιμοποιούν ransomware χρησιμοποιούν τέτοιες επιθέσεις επειδή ακριβώς οι ανταμοιβές για αυτές ξεπερνούν το κόστος για τη διενέργειά τους. Ένα από τα «κλειδιά» της αντιμετώπισης είναι ακριβώς αυτό: η εξεύρεση τρόπων αύξησης του φυσικού και οικονομικού κόστους των επιθέσεων ransomware.
Οι επιτιθέμενοι μπορούν να κερδίσουν εκατομμύρια δολάρια εάν στοχεύουν με επιτυχία το σωστό στόχο. Οι περισσότεροι και μεγαλύτεροι ψηφιακοί τρομοκράτες δρουν με έδρα χώρες όπου είναι σχετικά απίθανο να αντιμετωπίσουν τις συνέπειες των ενεργειών τους, ακόμα και εάν εντοπιστούν, όπως η Ρωσία και το Ιράν.
Μια επιτυχημένη επίθεση ransomware βοηθά στη «χρηματοδότηση» της επόμενης επίθεσης και ο κύκλος αυτός επαναλαμβάνεται με αυξανόμενη ταχύτητα, όγκο και συνέπειες.
Επιπλέον, αυτές οι επιθέσεις χρησιμεύουν για να υπονομεύσουν και να μειώσουν την εμπιστοσύνη των πολιτών στην ικανότητα του Δημόσιου και του ιδιωτικού τομέα να προστατεύσει τα προσωπικά του δεδομένα.
Το «μοντέλο» RaaS
Η εξέλιξη μιας «αλυσίδας εφοδιασμού» αφιερωμένη στο ransomware σημαίνει ότι γίνεται ιδιαίτερα εύκολο σε έναν ψηφιακό τρομοκράτη να πραγματοποιήσει μία επίθεση ransomware
Και δυστυχώς σήμερα τέτοιου είδους «αλυσίδες εφοδιασμού» έχουν εξελιχθεί τέτοιο βαθμό που να μιλάμε πλέον για «μοντέλο» ransomware-as-a-service (RaaS), που επιτρέπει σε σχετικά μη εξελιγμένους ψηφιακούς εγκληματίες στον κυβερνοχώρο να «ενοικιάσουν» «τεχνοκράτες» στις επιθέσεις ransomware με αντάλλαγμα ένα μικρό μέρος του ποσού για το οποίο έχουν σκοπό να λάβουν από την επίθεση.
Το δε κόστος των επιθέσεων είναι εξαιρετικά προσιτό, σύμφωνα με την ανάλυση, καθώς υπάρχει μία αφθονία τρίτων παρόχων που είναι πρόθυμοι να πουλήσουν στους ψηφιακούς εισβολείς την τεχνική υποδομή που χρησιμοποιείται για επιθέσεις ransomware.
Οι ομοιότητες δείχνουν το δρόμο και για την αντιμετώπιση
Η κατάσταση είναι κάπως ανάλογη με την παγκόσμια μάστιγα της «συμβατικής» τρομοκρατίας. Αν και τα κίνητρα είναι διαφορετικά, καθώς οι περισσότεροι τρομοκράτες καθοδηγούνται από την ιδεολογία, σε αντίθεση με τους εισβολείς ransomware που ισχυρίζονται ότι θέλουν μόνο χρήματα, οι τρομοκράτες βασίστηκαν ιστορικά στην έκπληξη, στους διαμεσολαβητές τρίτων και στις χαλαρές δικαιοδοσίες για να λειτουργήσουν με επιτυχία, πρακτικές που σε μεγάλο βαθμό ακολουθούν και οι ψηφιακοί τρομοκράτες που χρησιμοποιούν ransomware.
Η αντίληψη της «λογικής» των τρομοκρατικών συνωμοσιών, η ταυτοποίηση των τρομοκρατικών παραγόντων, η διάρρηξη των δικτύων «διευκόλυνσης» και η εξάλειψη των ασφαλών καταφυγίων, επέτρεψε στα έθνη όχι μόνο να εντοπίσουν και να συλλάβουν πλήθος τρομοκρατών, αλλά και να αποτρέψουν μελλοντικές επιθέσεις. Οι συλλήψεις, οι κατασχέσεις και οι διώξεις είχαν αντίκτυπο, καθώς, σε συνδυασμό αυτές οι ενέργειες συνέβαλαν στην αύξηση του συνολικού κόστους της τρομοκρατίας στο σημείο που ορισμένες επιθέσεις δεν ήταν πλέον βιώσιμες ή οδήγησαν κάποιες στο συμπέρασμα ότι δεν άξιζε τον κίνδυνο.
Το ίδιο μπορεί να γίνει και για το ransomware, σύμφωνα με την ανάλυση.
Πολλές εταιρείες δεν διαθέτουν τα δεδομένα, τα εργαλεία και την ικανότητα αποτελεσματικής αντιμετώπισης του ransomware. Ωστόσο, η «αλυσίδα εφοδιασμού» που έχει κάνει τις επιθέσεις ransomware τόσο εύκολες στην εκτέλεση αντιπροσωπεύει και τη μεγαλύτερη ευπάθεια του ransomware.
Επειδή τα άτομα που αποτελούν αυτό το δίκτυο «εφοδιαστικής αλυσίδας» βρίσκονται σε όλο τον κόσμο, είναι επίσης περισσότερο ευάλωτα στη στόχευση και τη σύλληψή τους. Υπάρχουν συγκεκριμένα παραδείγματα για αυτό.
Συνεργάτες του RaaS
Οι προγραμματιστές ransomware βασίζονται σε συνεργάτες για την πραγματοποίηση επιθέσεων χρησιμοποιώντας το λογισμικό τους. Αλλά σε αντίθεση με τους ίδιους τους προγραμματιστές, οι συνεργάτες μπορούν να βρίσκονται οπουδήποτε στον κόσμο. Για παράδειγμα, ενώ οι χειριστές του πασίγνωστου, και τώρα ανενεργού, ransomware NetWalker πιστεύεται ότι βρίσκονται στη Ρωσία, ένας από τους πιο «παραγωγικούς» συνεργάτες του ήταν Καναδός υπήκοος. Τον Ιανουάριο του 2021 οι Αρχές ανακοίνωσαν ότι κατάφεραν να τον συλλάβουν και τελικά κατέστρεψαν ολόκληρη την παγκόσμια επιχείρηση που βασιζόταν στο συγκεκριμένο ransomware.
Εργαλεία τρίτων
Οι επιθέσεις με λογισμικό ransomware συχνά απαιτούν ή μπορούν να ενισχυθούν με τη χρήση ψηφιακών εργαλείων και υποδομών που παρέχονται από παράνομους τρίτους προμηθευτές, πολλοί από τους οποίους πληρώνονται σε κρυπτονόμισμα.
Αυτά τα εργαλεία περιλαμβάνουν, αλλά δεν περιορίζονται σε, «αόρατα» web hosting, εργαλεία hacking και υπηρεσίες όπως επιθέσεις DDOS κατά παραγγελία.
Από τον Μάιο του 2021 η Chainalysis είχε παρατηρήσει μεγάλη αύξηση των κρυπτονομισμάτων που στάλθηκε σε αυτούς τους τύπους παρόχων από διευθύνσεις ransomware.
Παρακολουθώντας και διακόπτοντας τους προμηθευτές που είχαν λάβει προηγουμένως χρήματα κρυπτογράφησης από χειριστές ransomware, οι Αρχές μπορούν να προσδιορίσουν προληπτικά τις πιθανές καμπάνιες καθώς δημιουργούν και ελπίζουμε να αποτρέψουν την εμφάνιση μελλοντικών επιθέσεων.
Μπορεί επίσης να υπάρχουν ευκαιρίες για τις Αρχές να «αναλάβουν ήσυχα» αυτές τις υπηρεσίες προσωρινά, προκειμένου να συλλέξουν αποδεικτικά στοιχεία για εισβολείς ransomware, παρόμοια με αυτά που είδαμε πρόσφατα με την ANOM, μια ανώνυμη εφαρμογή ανταλλαγής μηνυμάτων που προτιμούσαν οι εγκληματίες.
Τέτοιες μυστικές επιχειρήσεις όχι μόνο μπορούν να οδηγήσουν σε συλλήψεις και χαρτογράφηση ψηφιακών εγκληματικών δικτύων, αλλά και να υπονομεύσουν την εμπιστοσύνη μεταξύ των εγκληματιών.
Υπηρεσίες νομιμοποίησης εσόδων από παράνομες δραστηριότητες
Μετά από μια επιτυχή εκβιασμό, οι εισβολείς ransomware πρέπει να προσπαθήσουν να μετακινήσουν κλεμμένα κρυπτονομίσματα σε ένα «ασφαλές» μέρος που δέχεται τη φύλαξη, ή τη «διαχείριση» ψηφιακών κεφαλαίων από «ύποπτες» πηγές, με απώτερο σκοπό το ξέπλυμά τους.
Υπάρχουν πολλά παραδείγματα Αρχών που κλείνουν τις υπηρεσίες κρυπτογράφησης που λειτουργούν ως μη καταχωρημένες επιχειρήσεις παροχής υπηρεσιών χρήματος ή παρόχους υπηρεσιών νομιμοποίησης εσόδων από παράνομες δραστηριότητες.
Ακόμα και σε μια διεθνική εγκληματική οργάνωση που ειδικεύεται σε επιθέσεις ransomware, οι Αρχές μπορούν να επιβραδύνουν τις επιχειρήσεις ransomware στοχεύοντας τους νομιμοποιητές εσόδων από τον οργανισμό, όπως έκανε η Ουκρανία κατά του φορέα CLOP. Η επιβολή του νόμου και οι ρυθμιστικές Αρχές χρειάζονται τους πόρους για να αυξήσουν αυτές τις προσπάθειες, ενώ αυτό μπορεί επίσης να διευκολύνει την ανάκτηση περιουσιακών στοιχείων που στη συνέχεια μπορούν να αποδοθούν στα θύματα.
Πολλές οι δυνατότητες αντιμετώπισης, εάν…
Η αλυσίδα εφοδιασμού ransomware επεκτείνεται σε όλο τον κόσμο δίνοντας στις κυβερνήσεις άφθονες ευκαιρίες για να χτυπήσουν τη λειτουργία των παράνομων ψηφιακών δικτύων και να «ακολουθήσουν τα χρήματα».
Φυσικά, αυτό δεν σημαίνει ότι πρέπει να ξεχάσουμε τους προγραμματιστές ransomware και τις χαλαρές δικαιοδοσίες πίσω από τις οποίες λειτουργούν. Οι κυβερνήσεις πρέπει να αναζητήσουν τρόπους για να προωθήσουν την ανάπτυξη ικανοτήτων και να δώσουν κίνητρα σε αυτές τις δικαιοδοσίες για να σταματήσουν να επιτρέπουν στους εισβολείς ransomware να λειτουργούν ατιμώρητα εντός των συνόρων τους. Σε ορισμένες περιπτώσεις, απαιτούνται συνεχείς διπλωματικές ενέργειες και κυρώσεις για να επηρεάσουν αυτά τα ασφαλή καταφύγια ransomware.
Ωστόσο, ενώ η αύξηση του κόστους των επιθέσεων ransomware είναι το κλειδί για την πρόληψη, καμία μεμονωμένη χώρα, οργανισμός ή εταιρεία δεν μπορεί να δώσει τη λύση από μόνη της.
Η συνεργασία και οι… ΣΔΙΤ είναι το κλειδί
Οι κυβερνήσεις, οι Αρχές επιβολής του νόμου, οι ρυθμιστικές Αρχές, τα χρηματοπιστωτικά ιδρύματα και οι επιχειρήσεις κρυπτογράφησης σε όλο τον κόσμο πρέπει να συνεργαστούν για να εφαρμόσουν τις πρακτικές και τις πολιτικές που είναι απαραίτητες για να αυξήσουν το κόστος των επιθέσεων ransomware. Έχουμε δει τη συνεργασία να ενισχύει τις αντιτρομοκρατικές προσπάθειες με διάφορους βασικούς τρόπους:
- Διεθνής συνεργασία. Οι κοινές έρευνες και επιχειρήσεις έχουν αυξήσει τις αντιτρομοκρατικές ικανότητες των στρατιωτικών, της επιβολής του νόμου και των υπηρεσιών πληροφοριών σε όλο τον κόσμο.
- Κοινή χρήση πληροφοριών. Τα πλαίσια και η χρήση διεθνών λιστών παρακολούθησης τρομοκρατίας επέτρεψαν στις συμμαχικές υπηρεσίες να μοιράζονται σημαντικές πληροφορίες γρήγορα και με ασφάλεια.
- Συμπράξεις δημόσιου – ιδιωτικού τομέα. Οι ΣΔΙΤ δεν είναι μόνο χρήσιμες στην υλοποίηση μεγάλων έργων, αλλά έχουν αποδειχθεί πολύτιμοι σύμμαχοι και στις προσπάθειες καταπολέμησης της τρομοκρατίας, ιδίως στους τομείς της έγκαιρης αναφοράς απειλών, της τεχνολογίας και της ανάλυσης δεδομένων.
Αυτές οι ίδιες στρατηγικές μπορούν να εφαρμοστούν και στο ransomware. Ας πάρουμε ως παράδειγμα την αναφορά απειλών και τη λίστα παρακολούθησης. Εάν οι κυβερνήσεις και οι επιχειρήσεις κρυπτονομισμάτων συγκεντρώσουν όλη τη «νοημοσύνη» και τις πληροφορίες που διαθέτουν σχετικά με το ποιος πραγματοποιεί και επιτρέπει επιθέσεις ransomware, θα μπορούσαν να δημιουργήσουν μια ισχυρή βιβλιοθήκη από τους πιο παραγωγικούς φορείς, συνεργάτες, τρίτους προμηθευτές και παρόχους υπηρεσιών ξεπλύματος χρημάτων με δεδομένα κρυπτογράφησης που σχετίζονται με αυτά τα άτομα και οντότητες (π.χ. διευθύνσεις και ιστορικά συναλλαγών).
Αυτή η συνδυασμένη αναφορά απειλών και η προκύπτουσα λίστα παρακολούθησης γνωστών ή ύποπτων ατόμων ή φορέων που σχετίζονται με το ransomware θα έδινε σε οργανισμούς σε όλο τον κόσμο μια κοινή κατανόηση του ποιος οδηγεί τις περισσότερες επιθέσεις ransomware ανά πάσα στιγμή, θα βοηθήσει όλα τα μέρη να ανταποκριθούν ταχύτερα σε επιθέσεις και θα υποστηρίξει τις προσπάθειες σύλληψης και κύρωσης χειρότεροι παραβάτες.
Οι ΣΔΙΤ είναι βασικές εδώ, καθώς οι κυβερνήσεις θα βασίζονται σε παρόχους ανάλυσης blockchain και εταιρείες ασφάλειας στον κυβερνοχώρο για πολλά από τα δεδομένα που θα χρειαστούν για να συντάξουν μια λίστα παρακολούθησης κυβερνο – ransomware και κοινά πρότυπα. Η Ομάδα Εργασίας Ransomware του Ινστιτούτου για την Ασφάλεια και την Τεχνολογία έχει ήδη αποδειχθεί ανεκτίμητη εδώ στον καθορισμό πλαισίων απόκρισης και πρόληψης επίθεσης ransomware, καθώς και διάδοσης ενημερωμένης έρευνας σχετικά με τις τελευταίες τάσεις ransomware.
Blockchain analytics
Το Ransomware υπήρχε πριν από την έλευση του κρυπτονομίσματος, αλλά η κρυπτογράφηση έχει γίνει η κύρια μέθοδος που επέλεξαν οι σχετιζόμενοι με το ransomware για να χρηματοδοτήσουν τις δραστηριότητές τους και να πληρώσουν άλλους στην πορεία για τις παράνομες υπηρεσίες υποστήριξής τους.
Ως αποτέλεσμα, το blockchain analytics της κρυπτογράφησης γίνεται το ενοποιητικό σύνολο δεδομένων που διαπερνά όλες αυτές τις δραστηριότητες και εξουσιοδοτεί τους ερευνητές να εντοπίζουν παράγοντες ransomware και το παγκόσμιο δίκτυο εφοδιασμού ransomware. Η αύξηση των γνώσεων στον κυβερνοχώρο, την κρυπτογράφηση και τις δυνατότητες διερεύνησης μεταξύ κυβερνητικών και ιδιωτικών εταίρων είναι το κλειδί για οποιαδήποτε στρατηγική ransomware
Η κατάρτιση και η ανάπτυξη ικανοτήτων είναι τομείς όπου οι ΣΔΙΤ θα είναι σημαντικές για την εφαρμογή μιας αποτελεσματικής στρατηγικής. Το επόμενο βήμα είναι να παρέχουμε παγκόσμια εκπαίδευση, πόρους και ανάπτυξη ικανοτήτων σε οργανισμούς σε πολιτειακό, περιφερειακό και τοπικό επίπεδο, έτσι ώστε και αυτοί να μπορούν να συμμετάσχουν στον αγώνα για αποτελεσματική ανταπόκριση και καταπολέμηση του ransomware.