Μία από τις μεγαλύτερες κυβερνοαπειλές το ransomware έχει πλέον γίνει μια βιομηχανία δισεκατομμυρίων δολαρίων. Όμως εκείνο δεν ήταν πάντα τόσο μεγάλο – ούτε ήταν ένας διαδεδομένος κίνδυνος για την κυβερνοασφάλεια όπως είναι σήμερα.
Το ransomware πρόκειται για μια μορφή κακόβουλου λογισμικού, που χρονολογείται από τη δεκαετία του 1980, που χρησιμοποιείται από εγκληματίες του κυβερνοχώρου για να κλειδώνουν αρχεία στον υπολογιστή ενός ατόμου και να απαιτούν πληρωμή για να τα ξεκλειδώσουν.
Η τεχνολογία – η οποία έκλεισε επίσημα τα 35 της στις 12 Δεκεμβρίου – έχει προχωρήσει πολύ, με τους εγκληματίες να μπορούν πλέον να παράγουν και να διαθέτουν ransomware πολύ πιο γρήγορα και να το αναπτύσσουν σε πολλούς στόχους.
Αυτές είναι οι κυβερνοαπειλές που θα αντιμετωπίσουμε το 2025
Σύμφωνα με στοιχεία της εταιρείας ανάλυσης blockchain Chainalysis οι εγκληματίες του κυβερνοχώρου κέρδισαν 1 δισεκατομμύριο δολάρια από εκβιασμένες πληρωμές κρυπτονομισμάτων από θύματα ransomware το 2023, ένα ποσό ρεκόρ. Οι ειδικοί αναμένουν ότι το ransomware θα συνεχίσει να εξελίσσεται, με τη σύγχρονη τεχνολογία cloud computing, την τεχνητή νοημοσύνη και τη γεωπολιτική να διαμορφώνουν το μέλλον.
Πώς προέκυψε το ransomware;
Ιστορικά, το πρώτο γεγονός που θεωρείται επίθεση ransomware συνέβη το 1989. Ένας χάκερ έστειλε με φυσική αλληλογραφία δισκέτες ισχυριζόμενος ότι περιείχαν λογισμικό που θα μπορούσε να βοηθήσει να διαπιστωθεί εάν κάποιος κινδυνεύει να αναπτύξει AIDS. Ο χάκερ ήταν ο Τζόζεφ Ποπ και μοίρασε τους 20.000 μολυσμένους δίσκους στους συμμετέχοντες στο συνέδριο του Παγκόσμιου Οργανισμού Υγείας για το AIDS.
Οι δίσκοι έφεραν την επισήμανση «AIDS Information – Introductory Diskettes» και περιείχαν φυλλάδια που προειδοποιούσαν ότι το λογισμικό «θα επηρέαζε δυσμενώς άλλες εφαρμογές προγραμμάτων» και επίσης ανέφεραν, «θα οφείλετε αποζημίωση και πιθανές ζημιές στην PC Cyborg Corporation και ο μικροϋπολογιστής σας θα σταματήσει να λειτουργεί κανονικά».
Στην πραγματικότητα, όταν γινόταν εγκατάσταση, το λογισμικό έκρυβε τους καταλόγους και κρυπτογραφούσε τα ονόματα αρχείων στους υπολογιστές των χρηστών μετά την επανεκκίνηση 90 φορές. Στη συνέχεια εμφανιζόταν ένα σημείωμα λύτρων που ζητούσε να σταλεί επιταγή σε μια διεύθυνση στον Παναμά για άδεια επαναφοράς των αρχείων και των καταλόγων.
Το πρόγραμμα έγινε γνωστό από την κοινότητα της κυβερνοασφάλειας ως «AIDS Trojan».
«Ήταν το πρώτο ransomware και προήλθε από τη φαντασία κάποιου. Δεν ήταν κάτι για το οποίο είχαν διαβάσει ή για το οποίο είχαν ερευνηθεί», δήλωσε στο CNBC ο Μάρτιν Λι, επικεφαλής της ζώνης EMEA της Talos, του τμήματος πληροφοριών κυβερνοαπειλών της εταιρείας πληροφορικής Cisco. «Πριν από αυτό, δεν είχε συζητηθεί ποτέ. Δεν υπήρχε καν η θεωρητική έννοια του ransomware».
Ο δράστης, ο βιολόγος Τζόζεφ Ποπ που είχε αποφοιτήσει από το Χάρβαρντ, συνελήφθη στην Ολλανδία. Ωστόσο, αφού επέδειξε ακανόνιστη συμπεριφορά, θεωρήθηκε ακατάλληλος να δικαστεί και επέστρεψε στις Ηνωμένες Πολιτείες.
Πώς αναπτύχθηκε το ransomware
Από τότε που εμφανίστηκε το AIDS Trojan, το ransomware έχει εξελιχθεί πολύ. Το 2004, ένας παράγοντας απειλών στόχευσε Ρώσους πολίτες με ένα πρόγραμμα εγκληματικού ransomware γνωστό σήμερα ως «GPCode».
Το πρόγραμμα παραδόθηκε στα θύματα μέσω email — μια μέθοδος επίθεσης που σήμερα είναι κοινώς γνωστή ως phishing («ψάρεμα»). Οι χρήστες, δελεασμένοι με την υπόσχεση μιας ελκυστικής προσφοράς σταδιοδρομίας, θα κατέβαζαν ένα συνημμένο που περιείχε κακόβουλο λογισμικό «μεταμφιεσμένο» σε φόρμα αίτησης εργασίας.
Μετά το άνοιγμα, το συνημμένο κατέβαζε και εγκαθιστούσε κακόβουλο λογισμικό στον υπολογιστή του θύματος, σαρώνοντας το σύστημα αρχείων και κρυπτογραφώντας αρχεία και απαιτώντας πληρωμή μέσω τραπεζικού εμβάσματος.
Στη συνέχεια, στις αρχές της δεκαετίας του 2010, οι χάκερ ransomware στράφηκαν στα κρυπτονομίσματα ως μέθοδο πληρωμής. Το 2013, λίγα μόνο χρόνια μετά τη δημιουργία του bitcoin, εμφανίστηκε το CryptoLocker ransomware.
Οι χάκερ που στόχευαν άτομα με αυτό το πρόγραμμα ζήτησαν πληρωμές είτε σε bitcoin είτε σε προπληρωμένα κουπόνια μετρητών – αλλά ήταν ένα πρώιμο παράδειγμα του πώς το crypto έγινε το νόμισμα επιλογής για τους εισβολείς ransomware.
Αργότερα, πιο διάσημα παραδείγματα επιθέσεων ransomware που επέλεξαν τα κρυπτονομίσματα ως μέθοδο πληρωμής λύτρων ήταν τα WannaCry και Petya.
«Τα κρυπτονομίσματα παρέχουν πολλά πλεονεκτήματα για τους κακούς, ακριβώς επειδή είναι ένας τρόπος μεταφοράς αξίας και χρημάτων εκτός του ρυθμιζόμενου τραπεζικού συστήματος με τρόπο που είναι ανώνυμος και αμετάβλητος», είπε ο Λι στο CNBC. «Αν κάποιος πληρώσει, αυτή η πληρωμή δεν μπορεί να επιστραφεί».
Το CryptoLocker έγινε επίσης διαβόητο στην κοινότητα της κυβερνοασφάλειας ως ένα από τα πρώτα παραδείγματα λειτουργίας «ransomware-as-a-service» – δηλαδή μια υπηρεσία ransomware που πωλήθηκε από προγραμματιστές σε περισσότερους αρχάριους χάκερ έναντι αμοιβής για να τους επιτρέψει να πραγματοποιούν επιθέσεις.
«Στις αρχές της δεκαετίας του 2010, έχουμε αυτή την αύξηση στον επαγγελματισμό», είπε ο Λι, προσθέτοντας ότι η συμμορία πίσω από το CryptoLocker ήταν «πολύ επιτυχημένη στη λειτουργία του εγκλήματος».
Τι ακολουθεί το ransomware;
Καθώς η βιομηχανία ransomware εξελίσσεται ακόμη περισσότερο, οι ειδικοί προβλέπουν ότι οι χάκερ θα συνεχίσουν να βρίσκουν όλο και περισσότερους τρόπους χρήσης της τεχνολογίας για την εκμετάλλευση επιχειρήσεων και ιδιωτών.
Μέχρι το 2031, το ransomware προβλέπεται να κοστίζει στα θύματα συνολικά 265 δισεκατομμύρια δολάρια ετησίως, σύμφωνα με έκθεση της Cybersecurity Ventures.
Ορισμένοι ειδικοί ανησυχούν ότι η τεχνητή νοημοσύνη έχει μειώσει το εμπόδιο εισόδου για εγκληματίες που θέλουν να δημιουργήσουν και να χρησιμοποιήσουν ransomware. Τα εργαλεία δημιουργίας τεχνητής νοημοσύνης όπως το ChatGPT της OpenAI επιτρέπουν στους καθημερινούς χρήστες του Διαδικτύου να εισάγουν ερωτήματα και αιτήματα που βασίζονται σε κείμενο και να λαμβάνουν εξελιγμένες, ανθρώπινες απαντήσεις — και πολλοί προγραμματιστές το χρησιμοποιούν ακόμη και για να τους βοηθήσουν να γράψουν κώδικα.
Ο Μάικ Μπεκ, επικεφαλής ασφάλειας πληροφοριών της Darktrace, είπε στο «Squawk Box Europe» του CNBC ότι υπάρχει μια «τεράστια ευκαιρία» για την τεχνητή νοημοσύνη — τόσο στον οπλισμό των εγκληματιών στον κυβερνοχώρο όσο και στη βελτίωση της παραγωγικότητας και των λειτουργιών σε εταιρείες κυβερνοασφάλειας. «Πρέπει να οπλιστούμε με τα ίδια εργαλεία που χρησιμοποιούν οι κακοί», είπε ο Μπεκ. «Οι κακοί θα χρησιμοποιούν το ίδιο εργαλείο που χρησιμοποιείται παράλληλα με όλες αυτές τις αλλαγές σήμερα».
Αλλά ο Λι δεν πιστεύει ότι η τεχνητή νοημοσύνη ενέχει τόσο σοβαρό κίνδυνο ransomware όσο πολλοί θα πίστευαν. «Υπάρχουν πολλές υποθέσεις σχετικά με το ότι η τεχνητή νοημοσύνη είναι πολύ καλή για την κοινωνική μηχανική», είπε ο Λι στο CNBC. «Ωστόσο, όταν κοιτάς τις επιθέσεις που είναι εκεί έξω και ξεκάθαρα λειτουργούν, τείνει να είναι οι πιο απλές που είναι τόσο επιτυχημένες».
Στόχευση συστημάτων cloud
Μια σοβαρή απειλή που πρέπει να προσέξουμε στο μέλλον θα μπορούσαν να είναι οι χάκερ που στοχεύουν συστήματα cloud, τα οποία επιτρέπουν στις επιχειρήσεις να αποθηκεύουν δεδομένα και να φιλοξενούν ιστότοπους και εφαρμογές εξ αποστάσεως, από μακρινά κέντρα δεδομένων.
«Δεν έχουμε δει πάρα πολλά ransomware να χτυπούν συστήματα cloud και νομίζω ότι αυτό είναι πιθανό να είναι το μέλλον καθώς εξελίσσεται», είπε ο Λι.
Θα μπορούσαμε τελικά να δούμε επιθέσεις ransomware που κρυπτογραφούν περιουσιακά στοιχεία cloud ή αποκλείουν την πρόσβαση σε αυτά αλλάζοντας τα διαπιστευτήρια ή χρησιμοποιώντας επιθέσεις βάσει ταυτότητας για να απαγορεύσουν την πρόσβαση στους χρήστες, σύμφωνα με τον Λι.
Η γεωπολιτική αναμένεται επίσης να διαδραματίσει βασικό ρόλο στον τρόπο με τον οποίο εξελίσσεται το ransomware τα επόμενα χρόνια.
«Τα τελευταία 10 χρόνια, η διάκριση μεταξύ εγκληματικών ransomware και επιθέσεων εθνικών κρατών γίνεται όλο και πιο θολή και το ransomware γίνεται ένα γεωπολιτικό όπλο που μπορεί να χρησιμοποιηθεί ως εργαλείο γεωπολιτικής για να διαταράξει οργανισμούς σε χώρες που θεωρούνται εχθρικές», είπε ο Lee. .
«Πιστεύω ότι πιθανότατα θα δούμε περισσότερα από αυτά», πρόσθεσε. «Είναι συναρπαστικό να βλέπεις πώς ο εγκληματικός κόσμος θα μπορούσε να επιλεγεί από ένα εθνικό κράτος για να κάνει την προσφορά του».
Αυτόνομα κατανεμημένο λογισμικό
Ένας άλλος κίνδυνος που βλέπει ο Λι να κερδίσει έλξη είναι αυτόνομα κατανεμημένο ransomware. «Υπάρχει ακόμα περιθώριο να υπάρξουν περισσότερα ransomware εκεί έξω που θα εξαπλωθούν αυτόνομα — ίσως να μην χτυπούν τα πάντα στο πέρασμά τους, αλλά να περιορίζονται σε έναν συγκεκριμένο τομέα ή έναν συγκεκριμένο οργανισμό», είπε στο CNBC.
Ο Λι αναμένει επίσης ότι το ransomware-as-a-service θα επεκταθεί γρήγορα. «Πιστεύω ότι θα βλέπουμε όλο και περισσότερο το οικοσύστημα ransomware να γίνεται όλο και περισσότερο επαγγελματικό, κινούμενο σχεδόν αποκλειστικά προς αυτό το μοντέλο ransomware-as-a-service», είπε.
Ωστόσο, ακόμη και όταν πρόκειται να εξελιχθούν οι τρόποι με τους οποίους οι εγκληματίες χρησιμοποιούν ransomware, η πραγματική σύνθεση της τεχνολογίας δεν αναμένεται να αλλάξει πολύ δραστικά τα επόμενα χρόνια.
«Εκτός από τους παρόχους RaaS και αυτούς που χρησιμοποιούν κλεμμένες ή αγορασμένες αλυσίδες εργαλείων, τα διαπιστευτήρια και η πρόσβαση στο σύστημα έχουν αποδειχθεί αποτελεσματικά», δήλωσε στο CNBC ο Τζέικ Κινγκ, επικεφαλής ασφαλείας στην εταιρεία αναζήτησης στο Διαδίκτυο Elastic. «Μέχρι να εμφανιστούν περαιτέρω εμπόδια για τους αντιπάλους, πιθανότατα θα συνεχίσουμε να παρατηρούμε τα ίδια μοτίβα».
