Menu
Το μήνυμα για τα λύτρα είναι μόνο η αρχή. Πίσω του κρύβεται κάτι μεγαλύτερο
Λιγότερο απο 1 λεπτό Διάρκεια άρθρου: Λεπτά

Το μήνυμα για τα λύτρα είναι μόνο η αρχή. Πίσω του κρύβεται κάτι μεγαλύτερο

Το μήνυμα για τα λύτρα είναι μόνο η αρχή. Πίσω του κρύβεται κάτι μεγαλύτερο

Το Μάρτιο του 2024, μια ομάδα που είχε αναλάβει επίθεση για λογαριασμό της συμμορίας ransomware BlackCat ανάρτησε καταγγελία σε φόρουμ κυβερνοεγκλήματος. Η συγκεκριμένη ομάδα είχε πραγματοποιήσει την επίθεση κατά της Change Healthcare, μία από τις μεγαλύτερες παραβιάσεις δεδομένων στον τομέα της υγείας στην ιστορία των ΗΠΑ, αλλά δεν έλαβε ποτέ το μερίδιό που της αναλογούσε από τα 22 εκατομμύρια δολάρια που καταβλήθηκαν ως λύτρα. Οι διαχειριστές της BlackCat φέρονται να κράτησαν τα χρήματα και να εξαφανίστηκαν, αναρτώντας μια πλαστή ειδοποίηση του FBI στην ιστοσελίδα τους για να καλύψουν την αποχώρησή τους.

Εικόνα 1. Εξέλιξη της ανίχνευσης ransomware κατά το πρώτο εξάμηνο του 2025 και το δεύτερο εξάμηνο του 2025, μέση κίνηση επτά ημερών (Πηγή: ESET Threat Report H2 2025)
Εικόνα 2. Ιστοσελίδα διαρροών του LockBit (Πηγή: ESET Research)
Διαβάστε επίσης:Google AI Pro: Πολύ καλή προσφορά για 6 μήνες

Όμως, οι συγκεκριμένοι κίνδυνοι μεταβάλλονται με μεγάλη ταχύτητα. Πριν από μόλις δύο χρόνια, το ClickFix – μια τεχνική κοινωνικής μηχανικής κατά την οποία ένα ψεύτικο μήνυμα σφάλματος εξαπατά τους χρήστες ώστε να αντιγράψουν, να επικολλήσουν και να εκτελέσουν κακόβουλες εντολές, ήταν σχεδόν άγνωστο. Σήμερα, έχει διαδοθεί ευρέως και χρησιμοποιείται τόσο από ομάδες που υποστηρίζονται από κράτη όσο και από κυβερνοεγκληματίες.

Διαβάστε επίσης:Μεγάλη αναβάθμιση στη Revolut δίνει πλέον και δεδομένα κινητής

Μεγάλη αναβάθμιση στη Revolut δίνει πλέον και δεδομένα κινητής

Από την άλλη πλευρά, η ταχύτητα προσαρμογής δεν προκαλεί έκπληξη, αν σκεφτεί κανείς ότι μια παρόμοια δυναμική παρατηρείται και στη φύση. Τα είδη που ανταγωνίζονται μεταξύ τους πρέπει να προσαρμόζονται διαρκώς απλώς και μόνο για να διατηρήσουν τη θέση τους. Τα αρπακτικά γίνονται ταχύτερα, και τα θηράματα ακολουθούν. Τα θηράματα αναπτύσσουν καμουφλάζ, και τα αρπακτικά αποκτούν πιο οξεία όραση. Η βιολογία περιγράφει αυτό το φαινόμενο ως «φαινόμενο της Κόκκινης Βασίλισσας», από τον χαρακτήρα στο βιβλίο του Λιούις Κάρολ «Μέσα από τον Καθρέφτη», ο οποίος πρέπει να εξελίσσεται (τρέχει) συνεχώς μόνο και μόνο για να παραμένει στο ίδιο σημείο.

Οι επαγγελματίες της ασφάλειας αναγνωρίζουν εύκολα αυτή τη δυναμική, αν και οι πιο γνωστοί όροι – όπως «αγώνας εξοπλισμών» ή «παιχνίδι της γάτας με το ποντίκι», δεν την αποδίδουν πλήρως. Η «Κόκκινη Βασίλισσα» περιγράφει κάτι πιο συγκεκριμένο: μια διαρκή εξέλιξη που δεν αποφέρει καθαρό πλεονέκτημα, αφού και η αντίπαλη πλευρά εξελίσσεται σχεδόν ταυτόχρονα.

Η πιο χαρακτηριστική εκδήλωση αυτής της δυναμικής εντοπίζεται στο χώρο μεταξύ των εργαλείων άμυνας και των εργαλείων επίθεσης. Τα προϊόντα ανίχνευσης και απόκρισης τερματικών συσκευών (EDR), καθώς και τα εκτεταμένα συστήματα ανίχνευσης και απόκρισης (XDR), αποτελούν βασικά εργαλεία για τον εντοπισμό δραστηριοτήτων που πραγματοποιούν συνεργάτες ransomware σε παραβιασμένα δίκτυα. Καθώς τα εργαλεία αυτά βελτιώνονται, οι κυβερνοεγκληματίες ανταποκρίνονται αναπτύσσοντας μια υπόγεια αγορά εργαλείων που έχουν σχεδιαστεί ειδικά για να τα παρακάμπτουν ή να τα απενεργοποιούν.

Και όπου υπάρχει ζήτηση, υπάρχει και προσφορά, συνήθως σε αφθονία.

Οι ερευνητές της ESET έχουν εντοπίσει σχεδόν 90 «EDR killers» που βρίσκονται σε ενεργή χρήση. Πενήντα τέσσερα από αυτά τα κακόβουλα εργαλεία αξιοποιούν την ίδια βασική τεχνική: φορτώνουν ένα νόμιμο αλλά ευάλωτο driver στο σύστημα-στόχο και τον χρησιμοποιούν για να αποκτήσουν δικαιώματα σε επίπεδο πυρήνα, τα οποία απαιτούνται για την απενεργοποίηση του προϊόντος ασφαλείας.

Η τεχνική αυτή ονομάζεται «Bring Your Own Vulnerable Driver» (BYOVD). Οι ευάλωτοι drivers λειτουργούν ως ένα είδος «εμπορεύματος»: ο ίδιος driver εμφανίζεται σε εργαλεία που δεν σχετίζονται μεταξύ τους, ενώ το ίδιο εργαλείο μπορεί να χρησιμοποιεί διαφορετικούς drivers σε ξεχωριστές εκστρατείες.

Η αγορά των EDR killers αντικατοπτρίζει την οικονομία του ransomware που εξυπηρετεί. Τα εργαλεία αυτά συνοδεύονται συχνά από υπηρεσίες συσκότισης βάσει συνδρομής, οι οποίες ενημερώνονται τακτικά ώστε να παραμένουν ένα βήμα μπροστά από τους μηχανισμούς ανίχνευσης. Συνήθως, οι συνεργάτες, και όχι οι ίδιοι οι χειριστές του ransomware, επιλέγουν ποιο «killer» θα αναπτύξουν, με την απόφαση αγοράς να λαμβάνεται σε επίπεδο franchise. Όταν το αμυντικό προϊόν ενημερώνεται, ακολουθεί και η αντίστοιχη υπηρεσία συσκότισης. Η Κόκκινη Βασίλισσα, και πάλι.

Η εκτεταμένη επένδυση στα EDR killers αποτελεί, κατά κάποιον τρόπο, το πιο σαφές μέτρο της αποτελεσματικότητας των εργαλείων ανίχνευσης απέναντι στο εγκληματικό μοντέλο επιχειρήσεων. Σε τελική ανάλυση, δεν δημιουργείς μια ολόκληρη κατηγορία προϊόντων για να εξουδετερώσεις κάτι που δεν επηρεάζει τα κέρδη σου.

Τα κακόβουλα εργαλεία αυτά ενδέχεται να εξαπλωθούν ακόμη περισσότερο, καθώς η τεχνητή νοημοσύνη καθιστά την αγορά – και, ευρύτερα, την οικονομία του κυβερνοεγκλήματος- πιο προσιτή. Οι ερευνητές της ESET εκτιμούν ότι η τεχνητή νοημοσύνη έχει ήδη συμβάλει στην ανάπτυξη ορισμένων EDR killers, με τα προϊόντα της συμμορίας Warlock να αποτελούν ένα χαρακτηριστικό παράδειγμα.

Παράλληλα, άλλοι ερευνητές έχουν τεκμηριώσει το φαινόμενο που αποκαλούν «vibeware»: κακόβουλο λογισμικό που δημιουργείται μαζικά με τη βοήθεια της τεχνητής νοημοσύνης και έχει στόχο να κατακλύσει το περιβάλλον-στόχο με κώδικα μίας χρήσης, αυξάνοντας την πιθανότητα κάποια εκδοχή να περάσει απαρατήρητη.

Το εμπόδιο για τη δημιουργία κακόβουλου λογισμικού έχει μειωθεί σε τέτοιο βαθμό, ώστε ο βασικός περιοριστικός παράγοντας να είναι πλέον η πρόθεση και όχι οι εξειδικευμένες δεξιότητες, μια εξέλιξη που αντικατοπτρίζει ευρύτερες τάσεις στον χώρο του κυβερνοεγκλήματος.

Ανάλυση της αγοράς ransomware

Αν θεωρήσουμε το ransomware απλώς ως μια επίθεση, δημιουργούμε άμυνες που στοχεύουν αποκλειστικά στην αντιμετώπιση επιθέσεων. Αν όμως το προσεγγίσουμε ως έναν ολόκληρο κλάδο, τότε αναδύονται διαφορετικές και πιο σύνθετες προτεραιότητες.

Πώς εξελίσσεται η δυναμική της «Κόκκινης Βασίλισσας» μεταξύ των αμυντικών προϊόντων και των εργαλείων επίθεσης; Ποια κακόβουλα εργαλεία, τεχνικές και διαδικασίες βρίσκονται αυτή τη στιγμή σε κυκλοφορία; Μπορεί το σύστημα ασφαλείας σας να αποκρούσει μια επίθεση BYOVD που αξιοποιεί τα διαθέσιμα σήμερα προγράμματα οδήγησης; Τι θα συμβεί στο περιβάλλον σας αν ένας MSP στην αλυσίδα εφοδιασμού σας παραβιαστεί; Ποιοι δράστες ransomware στοχεύουν ενεργά τον τομέα σας και ποια EDR killers χρησιμοποιούν;

Εάν δεν μπορείτε να απαντήσετε σε αυτά τα επείγοντα ερωτήματα, είναι πιθανό ότι, μέχρι να φτάσει σε εσάς το αποτέλεσμα αυτής της «βιομηχανίας», μεγάλο μέρος της αλυσίδας επίθεσης θα έχει ήδη εκτελεστεί. Δεν μπορείτε να προβλέψετε ποια ομάδα θα επιτεθεί, σε ποιο χρονικό σημείο ή μέσω ποιας διαδρομής. Μπορείτε, όμως, να διατηρείτε έναν ενημερωμένο χάρτη για το πού κατευθύνονται οι ενεργές ομάδες και να αξιολογείτε αν κάποια από αυτές τις διαδρομές θα μπορούσε να οδηγήσει στην πόρτα σας.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

Το πρωτότυπο άρθρο https://techmaniacs.gr/to-minyma-gia-ta-lytra-einai-mono-i-archi-piso-toy-kryvetai-kati-megalytero/ ανήκει στο Ιντερνετ Archives – Techmaniacs .