Το ενδεχόμενο να υπάρχουν πολιτικά κίνητρα πίσω από τις περιπτώσεις κυβερνοεπίθεσης που έχουν πλήξει αρκετές επιχειρήσεις τις τελευταίες ημέρες αφήνουν ανοικτό κορυφαίοι αναλυτές από το χώρο της ασφάλειας πληροφοριακών συστημάτων.
Το νέο «κακοήθες λογισμικό» (malware) που έχει «χτυπήσει» τις τελευταίες ημέρες αποκαλείται ως Nyetya, αν και ορισμένοι το αποκαλούν Petya ή ExPetr, και μοιάζει να ακολουθεί τη φιλοσοφία του ransomware (σ.σ. κακοήθες λογισμικό που «παγώνει» τον υπολογιστή και ζητά από τον χρήστη λύτρα για να τον «απελευθερώσει»). Όμως, όπως σημείωσε κατά τη διάρκεια του Cisco Live! 2017 που πραγματοποιείται αυτές τις ημέρες στο Λας Βέγκας, ο Graig Williams, ο οποίος είναι ουσιαστικά ο επικεφαλής των αναλυτών ασφάλειας της TALOS, μίας εκ των κορυφαίων εταιρειών στον συγκεκριμένο κλάδο παγκοσμίως και θυγατρική της Cisco, υπάρχουν πολλές ενδείξεις ότι ο στόχος του Nyetya δεν είναι η αποκόμιση κερδών αλλά να πλήξει μία σειρά από επιχειρήσεις.
Σύμφωνα με τον κ. Williams, το συγκεκριμένο λογισμικό είναι μεν αρκετά εξεζητημένο και φαίνεται να μην έχει τα λάθη που είχε το WannaCry, η προηγούμενη περίπτωση ransomware που αναστάτωσε την παγκόσμια επιχειρηματική κοινότητα πριν από μερικές εβδομάδες. Σημειωτέον ότι κατά την άποψη του κ. Williams, το WannaCry ήταν μία «αποτυχία» καθώς τα έσοδα που αποκόμισαν οι δημιουργοί του σε λύτρα δεν ήταν παρά μερικές δεκάδες χιλιάδες δολάρια!
Το ενδιαφέρον είναι πως και στην περίπτωση του Nyetya είναι μάλλον δύσκολο να υπάρξουν οικονομικά οφέλη. Για πρώτη φορά στην ιστορία των επιθέσεων ransomware, υπάρχει μόνο μία διεύθυνση email για να τη χρησιμοποιήσει το θύμα προκειμένου να πληρώσει τα λύτρα που είναι μόλις 1 bitcoin. Αυτό σημαίνει ότι ο πάροχος που διαχειρίζεται τη συγκεκριμένη διεύθυνση την μπλόκαρε αμέσως μόλις έγινε γνωστή. Άρα ο επιτιθέμενος δεν μπορεί να πάρει τα χρήματα!
Επίσης, η επίθεση χρησιμοποίησε, ως γνωστόν, την διαδικασία αναβάθμισης μίας εφαρμογής που χρησιμοποιείται για την πληρωμή οφειλών στην εφορία της Ουκρανίας. Ο Nyetya είχε εγκατασταθεί πριν από μία εβδομάδα περίπου, αλλά έκανε την «εμφάνιση» του την παραμονή εθνικής επετείου της Ουκρανίας. Και επίσης λόγω της μεθόδου που χρησιμοποιήθηκε για τη μετάδοση του, πρακτικά οι πολυεθνικές επιχειρήσεις που έχουν πληγεί είναι αυτές που έχουν σχέση με την Ουκρανία! Σύμφωνα με τον κ. Williams, τα στοιχεία δείχνουν ότι η ομάδα που οργάνωσε τη συγκεκριμένη κυβερνοεπίθεση δεν έδειξε να ενδιαφέρεται ιδιαίτερα για να πάρει «λύτρα».
Επιπλέον, αρκετές από τις υπάρχουσες ενδείξεις τείνουν προς το ότι το συγκεκριμένο malware είναι κατασκευασμένο με τέτοιο τρόπο ώστε να καταστρέφει ολοκληρωτικά τα αρχεία του υπολογιστή που προσβάλλει. Και ακόμη και αν κάποιος πλήρωνε τα λύτρα, πρακτικά δεν θα μπορούσε να πάρει πίσω τα αρχεία του. Κάτι που σημαίνει ότι ο στόχος είναι να γίνει ζημιά σε επιχειρήσεις και οργανισμούς που είτε βρίσκονται στην Ουκρανία είτε έχουν σχέση με τη συγκεκριμένη χώρα της ανατολικής Ευρώπης.
Σχόλια