Κυβερνοεπίθεση με το ransomware Ragnar Locker δέχθηκε ο ΔΕΣΦΑ στα πληροφοριακά συστήματά του. Δεν υπάρχει πρόβλημα στο δίκτυο φυσικού αερίου.
Κυβερνοεπίθεση με ransomware Ragnar Locker στο ΔΕΣΦΑ
Ο Διαχειριστής Εθνικού Συστήματος Φυσικού Αερίου (ΔΕΣΦΑ) δέχθηκε κυβερνοεπίθεση σε μέρος της υποδομής πληροφορικής του από κυβερνοεγκληματίες που προσπάθησαν να έχουν παράνομη πρόσβαση σε ηλεκτρονικά αρχεία και με επιβεβαιωμένη επίπτωση στη διαθεσιμότητα ορισμένων συστημάτων και πιθανή διαρροή αριθμού αρχείων και δεδομένων .
Η διαχείριση του Εθνικού Συστήματος Φυσικού Αερίου (ΕΣΦΑ) συνεχίζει να λειτουργεί ομαλά και ο ΔΕΣΦΑ συνεχίζει να προμηθεύει με φυσικό αέριο όλα τα σημεία εισόδου και εξόδου της χώρας με ασφάλεια και επάρκεια.
Στις 19 Αυγούστου οι χάκερς επικοινώνησαν με το ΔΕΣΦΑ και τον ενημέρωσαν για την κυβερνοεπίθεση απαιτώντας λύτρα για να μην δημοσιοποιήσουν τα δεδομένα.
Ο ΔΕΣΦΑ στην από 20 Αυγούστου ανακοίνωσή του αναφέρει ότι διερευνά τα βαθύτερα αίτια της επίθεσης ταυτόχρονα με την ανάκτηση των συστημάτων στην κανονική λειτουργία και ότι θα παραμένει ακλόνητος στη θέση του να μη συνδιαλέγεται με κυβερνοεγκληματίες.
Στις 23 Αυγούστου, η ομάδα των χάκερ δημοσιοποίησε τα δεδομένα συνολικού μεγέθους 361 GB στο Dark Web.
Για την υπόθεση ο ΔΕΣΦΑ έχει ενημερώσει όλες τις αρμόδιες αρχές και οργανισμούς και συνεργάζεται με το Υπουργείο Ψηφιακής Διακυβέρνησης, την Αρχή Προστασίας Δεδομένων, τη Δίωξη Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ., το Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) καθώς και με το Υπουργείο Περιβάλλοντος & Ενέργειας και τη Ρυθμιστική Αρχή Ενέργειας για την επίλυση του ζητήματος και την ελαχιστοποίηση τυχόν πιθανών επιπτώσεων.
Τι είναι το Ragnar Locker Ransomware
Το ransomware Ragnar Locker είναι κακόβουλο λογισμικό, 55 KB σε μέγεθος, που στοχεύει εταιρικά δίκτυα με υπολογιστές που λειτουργούν σε Windows της Microsoft. Ανακαλύφθηκε για πρώτη φορά στα τέλη του 2019.
Μόλις εισέλθουν οι εισβολείς στο πληροφοριακό σύστημα του στόχου τους, εισάγουν το ransomware Ragnar Locker το οποίο αρπάζει ευαίσθητα δεδομένα και τα ανεβάζει μέσω μιας σύνδεσης δικτύου στους διακομιστές τους.
Σε όλη αυτή τη διαδικασία, το ransomware τερματίζει κρίσιμα προγράμματα και κρυπτογραφεί αρχεία.
Κατόπιν οι επιτιθέμενοι ενημερώνουν τα θύματα τους ότι τα αρχεία τους θα δημοσιοποιηθούν εάν δεν καταβληθεί το καθορισμένο ποσό λύτρων καθώς επίσης θα ενημερωθούν οι συνεργάτες, οι πελάτες και οι επενδυτές τους για αυτήν την παραβίαση που ενδεχομένως στραφούν νομικά εναντίον τους λόγω μη τήρησης του απορρήτου των δεδομένων.
Αυτή η τακτική είναι γνωστή ως «διπλός εκβιασμός». Χαρακτηριστικό είναι το 2ο μήνυμα που έστειλαν στη ΔΕΣΦΑ:
“Χαιρετίσματα!
Για σε όλους όσους περίμεναν τα νέα – ορίστε!
Δυστυχώς η εταιρεία ΔΕΣΦΑ δεν έδωσε καμία σημασία στον πιθανό κίνδυνο διαρροής δεδομένων.
Έτσι, όπως υποσχεθήκαμε σήμερα δημοσιεύουμε τα πλήρη Στοιχεία που κατεβάσαμε από το δίκτυο του ΔΕΣΦΑ.
Τηρούμε πάντα τον λόγο μας και δεδομένου ότι η διοίκηση αυτής της εταιρείας δεν επικοινώνησε μαζί μας ούτε καν έκανε δημόσιες αξιώσεις, είναι σαφές για εμάς ότι δεν ενδιαφέρονται για τις πληροφορίες ή την ασφάλεια του δικτύου.
Πιστεύουμε ότι όλοι όσοι αντιμετωπίζουν αυτήν την εταιρεία με τον έναν ή τον άλλο τρόπο θα πρέπει να τους λογοδοτήσουν και να συμμετάσχουν στις ομαδικές αγωγές κατά του ΔΕΣΦΑ για να αναλάβουν όλη την ευθύνη για ένα τέτοιο θέμα.
Είχαν όλες τις πιθανότητες να αποφύγουν τη διαρροή και να φτιάξουν τις τρύπες στην περίμετρο ασφαλείας αλλά δεν το έκαναν.
Λοιπόν, σύμφωνα με τους κανόνες μας, δεν μπορούμε να σιωπήσουμε για την αμέλεια και την ανευθυνότητα όσον αφορά το απόρρητο των πληροφοριών και την ασφάλεια του δικτύου.
Όπως πάντα, λέμε: Οι οργανισμοί που συλλέγουν και αποθηκεύουν προσωπικά δεδομένα, θα πρέπει να είναι υπεύθυνοι για το απόρρητό τους.”
Ποιοι είναι οι χάκερ Ragnar Locker
Κατά την εκτέλεση, το κακόβουλο λογισμικό Ragnar Locker εκτελεί έναν έλεγχο στις τρέχουσες τοπικές ρυθμίσεις στο σύστημα του χρήστη με τη συνάρτηση GetLocaleInfoW.
Σύμφωνα με το FBI εάν διαπιστωθεί ότι η τοποθεσία του θύματος είναι πρώην χώρα της ΕΣΣΔ (Αζερμπαϊτζάν, Αρμενία, Λευκορωσία, Καζακστάν, Κιργιστάν, Μολδαβία, Τατζικιστάν, Ρωσία, Τουρκμενιστάν, Ουζμπεκιστάν, Ουκρανία ή Γεωργία) το κακόβουλο λογισμικό θα τερματίσει καθώς επίσης και η διαδικασία μόλυνσης. [PDF: FBI TLP:WHITE flash alert MU-000140-MW]
Η ταυτότητα των χάκερ που χρησιμοποιούν του ransomware Ragnar Locker δεν είναι γνωστή αν και υπάρχουν στο ξενόγλωσσο διαδίκτυο δημοσιεύματα ότι έχουν σχέση με την Ρωσία, το οποίο ενδέχεται να πηγάζει από τα όσα αναφέρει το FBI.
Όσον αφορά στο το ransomware Ragnar Locker, το FBI εντόπισε τουλάχιστον 52 οργανισμούς σε 10 κρίσιμους τομείς υποδομής που επηρεάζονται από αυτό, συμπεριλαμβανομένων οργανισμών στους κρίσιμους τομείς της παραγωγής, της ενέργειας, των χρηματοοικονομικών υπηρεσιών, της κυβέρνησης και της τεχνολογίας πληροφοριών. [PDF: FBI TLP:WHITE flash alert CU-000163-MW]