Επιχείρηση «Κρόνος» κατά Lockbit: «Αφοπλίστηκε» η μεγαλύτερη σπείρα χάκερ

Βασίλης Ανδριανόπουλος

Η Lockbit, το μεγαλύτερο διεθνές εγκληματικό δίκτυο κυβερνοεπιθέσεων παγκοσμίως, που υφάρπαζε ευαίσθητα δεδομένα και μετέπειτα ζητούσε λύτρα προκειμένου να μην τα δημοσιοποιήσει, δέχθηκε ένα μεγάλο χτύπημα. Επειτα από μια πρωτοφανή διεθνή επιχείρηση μεγάλης κλίμακας στην οποία συμμετείχαν δέκα χώρες, μεταξύ των οποίων αρκετές ευρωπαϊκές, η ΗΠΑ και η Ιαπωνία, οι διωκτικές αρχές κατόρθωσαν να έχουν πλέον υπό τον έλεγχό τους μεγάλο τμήμα των υποδομών που χρησιμοποιούσε το εγκληματικό αυτό δίκτυο, διακόπτοντας έτσι τις υπηρεσίες τους.   

Ζημιές δισεκατομμυρίων ευρώ

Σύμφωνα με σχετική ανακοίνωση της Europol, η Lockbit δέχθηκε σοβαρό πλήγμα «στις ικανότητες και την αξιοπιστία της». Πρόκειται για μια πολύμηνη διεθνή επιχείρηση-σκούπα των διωκτικών αρχών, υπό την ηγεσία της Εθνικής Υπηρεσίας Εγκλημάτων του Ηνωμένου Βασιλείου, στο πλαίσιο μιας διεθνούς ομάδας εργασίας γνωστής ως «Επιχείρηση Κρόνος», η οποία κατευθύνθηκε από την Europol και την Eurojust. Η υπόθεση άνοιξε στην Eurojust τον Απρίλιο του 2022 κατόπιν αιτήματος των γαλλικών αρχών.    

Εκτιμάται ότι η εγκληματική κυβερνοομάδα Lockbit έχει προκαλέσει ζημιές αξίας δισεκατομμυρίων ευρώ, ενώ αναγνωρίζεται διεθνώς ως «το πιο παραγωγικό και επιβλαβές κακόβουλο λογισμικό παγκοσμίως». Σύμφωνα με όσα έχουν έως τώρα ανακοινωθεί, η επιχείρηση των διωκτικών αρχών είχε ως αποτέλεσμα την παραβίαση της κύριας πλατφόρμας της LockBit και άλλων κρίσιμων υποδομών, που καθιστούσαν δυνατή την εγκληματική της επιχείρηση. Σύμφωνα με τη Europol, η «επιχείρηση Κρόνος» συνετέλεσε στην κατάργηση 34 διακομιστών της εγκληματικής ομάδας, οι οποίοι βρίσκονταν στις Κάτω Χώρες, τη Γερμανία, τη Φινλανδία, τη Γαλλία, την Ελβετία, την Αυστραλία, τις ΗΠΑ, και το Ηνωμένο Βασίλειο.

«Τεράστιος όγκος δεδομένων»

Ακόμη, δύο στελέχη της LockBit συνελήφθησαν στην Πολωνία και την Ουκρανία, κατόπιν αιτήματος των γαλλικών δικαστικών αρχών. Οι γαλλικές και αμερικανικές δικαστικές αρχές έχουν εκδώσει τρία διεθνή εντάλματα σύλληψης, ενώ έχουν ήδη παγώσει περισσότεροι από 200 λογαριασμοί κρυπτονομισμάτων που συνδέονται με την εγκληματική οργάνωση. Το γεγονός αυτό, σύμφωνα με την Europol, υπογραμμίζει «τη δέσμευση για τη διακοπή των οικονομικών κινήτρων που οδηγούν σε επιθέσεις ransomware». Αλλωστε, τα bitcoins είναι δυσκολότερο να εντοπιστούν, παρέχοντας έτσι στους αποδέκτες των λύτρων ανωνυμία.

Τον έλεγχο της τεχνικής υποδομής που επιτρέπει τη λειτουργία όλων των στοιχείων της υπηρεσίας Lockbit, καθώς και τον ιστότοπο διαρροής τους στο σκοτεινό διαδίκτυο, έχει πλέον αναλάβει η Εθνική Υπηρεσία Καταπολέμησης του Εγκλήματος του Ηνωμένου Βασιλείου. Να σημειωθεί πως στον συγκεκριμένο ιστότοπο, σύμφωνα με τις αρχές, η LockBit φιλοξενούσε τα δεδομένα που είχαν κλαπεί από τα θύματα σε επιθέσεις ransomware (σ.σ. κακόβουλων λογισμικών).   

Κατά τη διάρκεια των ερευνών οι Αρχές συγκέντρωσαν έναν «τεράστιο όγκο δεδομένων», τα οποία σύμφωνα με τη Europol, «θα χρησιμοποιηθούν για την υποστήριξη των συνεχιζόμενων διεθνών επιχειρησιακών δραστηριοτήτων που επικεντρώνονται στη στοχοποίηση των ηγετών αυτής της ομάδας, καθώς και των προγραμματιστών, των θυγατρικών, των υποδομών και των εγκληματικών περιουσιακών στοιχείων που συνδέονται με αυτές τις εγκληματικές δραστηριότητες».

Ο τριπλός εκβιασμός

Η LockBit εμφανίστηκε για πρώτη φορά στα τέλη του 2019, αλλά σύντομα η δράση της γιγαντώθηκε, με αποτέλεσμα ήδη από το 2022 να θεωρείται η πιο διαδεδομένη παραλλαγή ransomware διεθνώς. Βάσει των στοιχείων που έχει δημοσιοποιήσει η Europol αναφορικά με την στελέχωση της LockBit, το εγκληματικό αυτό δίκτυο αποτελείται από μια βασική ομάδα η οποία δημιουργεί το κακόβουλο λογισμικό και διαχειρίζεται τον ιστότοπό της, ενώ παραχωρεί τον κώδικά της σε συνεργάτες της, οι οποίοι με τη σειρά τους εξαπολύουν διαδικτυακές επιθέσεις. Οι πληρωμές των λύτρων μοιράζονταν μεταξύ της βασικής ομάδας της LockBit και των «δορυφόρων» της, οι οποίοι εκτιμάται πως λάμβαναν κατά μέσο όρο τα τρία τέταρτα των λύτρων που εισπράττονταν.

Αναφορικά με τις μεθόδους που χρησιμοποιεί η Lockbit, η Europol ανέφερε ότι η πιο χαρακτηριστική μέθοδος που ακολουθούσε ήταν ο τριπλός εκβιασμός. Μέσω αυτής της μεθόδου, τα μέλη του εγκληματικού δικτύου χρησιμοποιούσαν παραδοσιακές μεθόδους κρυπτογράφησης των δεδομένων του θύματος, την απειλή διαρροής τους, ενσωματώνοντας παράλληλα επιθέσεις κατανεμημένης άρνησης παροχής υπηρεσιών DDoS ως πρόσθετο επίπεδο επίπεδο πίεσης.

Μυστικές συνομιλίες

Να σημειωθεί πως ο αντίκτυπος της δράσης της LockBit έχει γίνει περισσότερη αισθητή στις ΗΠΑ, όπου έχουν «χτυπηθεί« περισσότεροι από 1.700 οργανισμοί, από όλους σχεδόν τους τομείς της βιομηχανίας, όπως οι χρηματοοικονομικές υπηρεσίες, τα τρόφιμα, τα σχολεία, οι μεταφορές και κυβερνητικά τμήματα. Μια από τις πιο χαρακτηριστικές επιθέσεις της Lockbit σημειώθηκε πριν από μερικούς μήνες, όταν η συμμορία παραβίασε τον όμιλο χρηματοοικονομικών υπηρεσιών ION, διακόπτοντας τις δραστηριότητες με πελάτες που περιελάμβαναν κάποιες από τις μεγαλύτερες τράπεζες στον κόσμο, χρηματιστηριακές εταιρείες και επενδυτικά κεφάλαια.  

Να σημειωθεί πως στον ιστότοπο της Lockbit στο σκοτεινό διαδίκτυο, ο οποίος ήταν ενεργός μέχρι και πριν λίγες ώρες, καταγράφονταν τα ονόματα των οργανισμών που είχαν πληγεί από την εγκληματική οργάνωση, ενώ υπήρχαν ψηφιακά ρολόγια τα οποία έδειχναν τον αριθμό των ημερών που τους απέμεναν μέχρι να αποπληρώσουν τα λύτρα. Σε περίπτωση που δεν το έπρατταν, η LockBit θα δημοσιοποιούσε τα ευαίσθητα δεδομένα τους που είχε υποκλέψει. 

Σε αρκετές περιπτώσεις, οι οργανισμοί που μπαίνουν στο στόχαστρο της Lockbit, αναζητούν τη βοήθεια εταιρειών κυβερνοασφάλειας προκειμένου να ταυτοποιήσουν τα δεδομένα που τους υποκλάπηκαν και να διαπραγματευθούν με τους χάκερ αναφορικά με τα λύτρα. Αυτές οι παρασκηνιακές συνομιλίες παραμένουν ιδιωτικές και μπορεί να διαρκέσουν για μεγάλο χρονικό διάστημα. Αρκετά συχνά σε αυτές τις περιπτώσεις η LockBit δεν δημοσιοποιεί το όνομα του στόχου.

Χτύπημα και στην Ελλάδα

Να σημειωθεί πως στις 27 Νοεμβρίου 2023 αναρτήθηκαν στην ιστοσελίδα της LockBit εκατοντάδες αρχεία που υποκλάπηκαν από το Πανεπιστήμιο Αιγαίου. Μάλιστα, τα ηλεκτρονικά συστήματα του ιδρύματος είχαν τεθεί σε ψηφιακή ομηρία από τις 2 Μαρτίου του περασμένου έτους. Το πρώτο αίτημα των κυβερνοεγκληματιών για πληρωμή λύτρων δεν ικανοποιήθηκε, με αποτέλεσμα να επανέλθουν απαιτώντας την πληρωμή τους, ειδάλλως θα δημοσιοποιούσαν τα αρχεία που υφάρπαξαν. Μεταξύ των αρχείων που τελικώς διέρρευσαν, συμπεριλαμβάνονται έντυπα διαγωνιστικών διαδικασιών, κατόψεις κτιρίων, εσωτερικά έγγραφα του πανεπιστημίου και πιστοποιητικά ολοκλήρωσης σπουδών.

Να σημειωθεί πως δεδομένου ότι το 2022 καταγράφηκαν παγκοσμίως 38% περισσότερες κυβερνοεπιθέσεις, πραγματοποιήθηκε στα τέλη του 2023 η Εθνική Διακλαδική Ασκηση Κυβερνοάμυνας «Πανόπτης 2023», υπό τον συντονισμό της Διεύθυνσης Κυβερνοάμυνας του ΓΕΕΘΑ. Σκοπό της άσκησης ήταν η πλήρης ετοιμότητα των Ενόπλων Δυνάμεων, αλλά και δημόσιων και ιδιωτικών φορέων, για την αποτελεσματική διαχείριση των κυβερνοεπιθέσεων και την εξάσκηση στην αντιμετώπιση διαφόρων περιστατικών στον τομέα της κυβερνοασφάλειας.