του Αλέξανδρου Κασιμάτη για το New Money

Το πρώτο -στη χώρα μας- περιστατικό κυβερνοεπίθεσης σε μεγάλη ελληνική εταιρεία με στόχο την απόσπαση λύτρων συνέβη πριν από λίγες ημέρες. Στο τέλος Οκτωβρίου θύμα των χάκερ έπεσε η Vivartia, μια ισχυρή ελληνική εταιρεία που ανήκει στον όμιλο της MIG. Εκτός από τα προϊόντα ΔΕΛΤΑ, στη Vivartia ανήκουν οι αλυσίδες πρόχειρου φαγητού Everest και Goody’s, μαζί με μια σειρά άλλων θυγατρικών.

Ενα ωραίο πρωινό, στα κεντρικά της Vivartia στην Κηφισιά, οι εργαζόμενοι που πήγαν στα γραφεία τους δεν συνάντησαν την καθημερινή ρουτίνα τους. Τα κομπιούτερ όλων, από αυτά των ανώτερων στελεχών έως των υπαλλήλων στα λογιστήρια και στις αποθήκες, άνοιγαν μεν, αλλά οι οθόνες τους παρέμεναν μαύρες. Η πρώτη αντίδραση ήταν να κληθεί για βοήθεια ομάδα ειδικών από την επίσης θυγατρική της MIG, τη SingularLogic, τα γραφεία της οποίας βρίσκονται μάλιστα στο διπλανό κτίριο. Με τη βοήθεια των ανθρώπων διαπιστώθηκε ότι τα αρχεία δεν είχαν σβηστεί αλλά κρυπτογραφηθεί και γι’ αυτό οι υπολογιστές ολόκληρης της εταιρείας ξεκινούσαν, αλλά η οθόνη παρέμενε κατάμαυρη, στην οποία δέσποζε η λέξη «password» μαζί με ένα ερωτηματικό. Κάποιος ή κάποιοι είχαν καταφέρει να μπουν στο πληροφορικό σύστημα της Vivartia και είχαν πάρει τον έλεγχό του. Ολα τα οικονομικά στοιχεία, από τις συναλλαγές, τις παραγγελίες, τις υποχρεώσεις, τις προμήθειες κ.λπ. μέχρι σούπερ μάρκετ, ακόμη και συναλλαγές σε καταστήματα της Vivartia στα αεροδρόμια, τα πάντα είχαν μπλοκαριστεί.

Το μήνυμα της «ομηρίας»

Δεν άργησε να έρθει σε λίγο και το μήνυμα από τον χάκερ που είχε καταφέρει να κρυπτογραφήσει τα αρχεία. Εξαιρετικά ολιγόλογος, κατέστησε σαφές ότι ζητούσε 75.000 ευρώ σε Βitcoin προκειμένου να παραδώσει το password στη Vivartia. Σημειωτέον ότι οι συναλλαγές σε Βitcoin βασίζονται στην τεχνολογία blockchain, πραγματοποιούνται μεταξύ δύο μερών χωρίς να μεσολαβεί τράπεζα και χωρίς να μπορούν να αναστραφούν. Στο μεταξύ, οι υπεύθυνοι στη Vivartia, έχοντας διαπιστώσει την κατάσταση, κάλεσαν αμέσως τις ειδικές δυνάμεις: οι άνθρωποι της SingularLogic κάλεσαν αυθεντίες στην κυβερνοασφάλεια, ειδικούς επιστήμονες, εταιρείες προστασίας δεδομένων κ.λπ.

Τα 75.000 ευρώ δεν είναι μικρό ποσό, αλλά ούτε βέβαια και εξωφρενικό για μια εταιρεία του μεγέθους της Vivartia. Γενικώς άλλωστε οι χάκερ ζητούν κατά κανόνα «λογικά» ποσά ως λύτρα, ποντάροντας στο ότι τελικά το θύμα τους θα προτιμήσει να πληρώσει για να απαλλαγεί από το πρόβλημα. Επίσης, στην προκειμένη περίπτωση ο χάκερ δεν χρησιμοποίησε κάποιο ψευδώνυμο και περιορίστηκε στις απολύτως αναγκαίες και λακωνικές επικοινωνίες μέσω e-mail

Ομως η αιχμαλωσία του πληροφορικού συστήματος της Vivartia προκάλεσε τεράστια λειτουργικά προβλήματα στην εταιρεία, με βασικότερο το ότι δεν ήταν δυνατόν να εκδοθούν τιμολόγια. Παράλληλα οι λογιστές έπρεπε να μεταβούν στις τράπεζες για να διαπιστώσουν αν είχε γίνει η πληρωμή που περίμεναν από πελάτες ή να κάνουν κάποια άλλη συναλλαγή. Δεν ήταν δυνατόν να παρακολουθήσουν τις καρτέλες των προμηθευτών και πελατών, ενώ ήταν ανέφικτο να δοθούν νέες παραγγελίες ή να πληρωθούν. Την ίδια στιγμή, σε κάποια καταστήματα εστίασης δεν δούλευαν οι ταμειακές και έπρεπε να εκδίδονται χειροκίνητα οι αποδείξεις. Το χάος επεκτάθηκε στις παραδόσεις των προϊόντων στα σημεία πώλησης, οι οποίες γίνονται με φορτηγά. Οι υπάλληλοι εξέδιδαν επιτόπου τιμολόγιο με φορητό υπολογιστή. Ομως τα πάντα είχαν μπλοκάρει. Αυτή η προβληματική, εφιαλτική κατάσταση διήρκεσε δύο ολόκληρες ημέρες.

Η κερκόπορτα

Οι ειδικοί βεβαίως είχαν αρχίσει αμέσως να μελετούν την κατάσταση. Γρήγορα εντοπίστηκε η κερκόπορτα που επέτρεψε την παραβίαση του συστήματος: σε κάποιες από τις δαιδαλώδεις εγκαταστάσεις της Vivartia που απλώνονται σε όλη την Ελλάδα (χωρίς να έχει επιβεβαιωθεί, αλλά μάλλον σε κάποιες αποθήκες) λειτουργούσαν κάποια «ξεχασμένα» κομπιούτερ με λειτουργικό Windows ΧΡ. Πρόκειται για παλιό λειτουργικό σύστημα, το οποίο ήταν στην αγορά προτού κυκλοφορήσουν τα Windows 7, ενώ σήμερα χρησιμοποιούμε τα Windows 10. Το 2014 η Μicrosoft είχε ανακοινώσει ότι σταματά πλέον να υποστηρίζει κομπιούτερ με Windows ΧΡ.

Διέκοψε δηλαδή τις κατά καιρούς αναβαθμίσεις του συγκεκριμένου λειτουργικού που βελτίωναν την ασφάλεια, την αποτελεσματικότητα κ.λπ. Επιπλέον, το 2017 διέκοψαν την υποστήριξη των Windows ΧΡ και τα προγράμματα περιήγησης (browser), όπως τα Firefox και Chrome. Κάποιος εργαζόμενος που χειριζόταν αυτά τα απαρχαιωμένα κομπιούτερ είχε απαντήσει σε ένα από τα συνηθισμένα μηνύματα για μια δήθεν ξεχασμένη κληρονομιά 1-2 εκατ. ευρώ, ή για κάποια εντυπωσιακή καλλονή που ξαφνικά θέλει να τον συναντήσει - και το κακό έγινε. Η κερκόπορτα άνοιξε.

Την τρίτη ημέρα οι άνθρωποι των «ειδικών δυνάμεων» που προσπαθούσαν πυρετωδώς να ανακτήσουν τον έλεγχο του πληροφορικού συστήματος ενημέρωσαν ότι πρόκειται για μια ιδιαίτερα περίπλοκη κρυπτογράφηση. Δεν ήταν σε θέση να εγγυηθούν ότι τελικά θα βρουν το password, αλλά για να έχουν πιθανότητες θα χρειαζόταν να δουλέψουν εντατικά περίπου για τέσσερις μήνες, τονίζοντας ότι η τελική κατάληξη είναι αβέβαιη

Μετά από αυτό και υπό τον κίνδυνο τα λειτουργικά προβλήματα να πάρουν μεγαλύτερες διαστάσεις, ο διευθύνων σύμβουλος της ΜΙG Θανάσης Παπανικολάου άναψε το πράσινο φως για να πληρωθούν τα λύτρα των 75.000 ευρώ. Την τρίτη ημέρα ομηρίας του πληροφορικού συστήματος η πληρωμή σε Βitcoin πραγματοποιήθηκε και ο χάκερ έστειλε με mail το πολυπόθητο password. Οι εργασίες της Vivartia ομαλοποιήθηκαν και η καθημερινότητα επανήλθε στους συνήθεις ρυθμούς, χωρίς η περιπέτεια με το Ransomware και την κυβερνοεπίθεση να γίνει αισθητή στην αγορά.

Ωστόσο οι περιπτώσεις όπου χάκερ διεισδύουν σε υπολογιστικά συστήματα, τα οποία και μπλοκάρουν, ζητώντας χρήματα για να τα απελευθερώσουν, γίνονται όλο και πιο συχνές στην Ελλάδα. Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας εκδίδει τακτικά προειδοποιήσεις για παγίδες κακόβουλου λογισμικού, ενώ στο παρελθόν έχουν γίνει επιθέσεις στα συστήματα e-banking των ελληνικών τραπεζών, στο σύστημα της Τραπέζης της Ελλάδος κ.α.

Το μπλοκάρισμα των εταιρικών αρχείων έχει ξανασυμβεί στην Ελλάδα, με θύματα όμως πολύ μικρότερες εταιρείες από τη Vivartia. Πρόσφατα, ανάλογο περιστατικό κυβερνοεπίθεσης δέχθηκε τουριστική εταιρεία στη Ρόδο, με τον ιδιοκτήτη της να μην ενδίδει και να προτιμά να χάσει τα αρχεία παρά να πληρώσει λύτρα.