Οι εκβιασμοί και η διαδρομή των λύτρων
Η δράση της συμμορίας χάκερ LockBit, το πλήγμα στις υποδομές της και οι έρευνες των αμερικανικών αρχών
Από το αριστερό χέρι του λείπει ένα δάχτυλο και στο δεξί έχει ένα τατουάζ-μανίκι με σχέδια φεγγαριών, πλανητών και μετεωριτών κάτω από τα οποία κολυμπούν μεγάλα ψάρια και σαλάχια. Ζει στη Ρωσία και στο παρελθόν έχει ταξιδέψει στην Ταϊλάνδη. Στο Διαδίκτυο είναι γνωστός κυρίως με το ψευδώνυμο «Wazawaka» και οι αμερικανικές αρχές τον έχουν επικηρύξει για 10 εκατ. δολάρια. Ο 32χρονος Μιχαΐλ Πάβλοβιτς Ματβέεφ είναι ένα από τα άτομα που φέρεται να εμπλέκονται στην πολυπρόσωπη συμμορία κυβερνοεκβιαστών LockBit, η οποία έχει χτυπήσει στόχους από τις ΗΠΑ μέχρι την Ιαπωνία, συμπεριλαμβανομένης και της Ελλάδας. Πρόσφατα, έπειτα από πολύμηνες έρευνες διεθνών διωκτικών αρχών, αφοπλίστηκε η υποδομή της εγκληματικής ομάδας, έγιναν συλλήψεις και εκδόθηκαν νέα εντάλματα. Ο Ματβέεφ, πάντως, παραμένει καταζητούμενος.
Το LockBit ήταν ένα από τα πιο δημοφιλή κακόβουλα λογισμικά το 2022. Εκτιμάται ότι μέσα σε τρία χρόνια έπληξε περισσότερα από 2.000 θύματα εξασφαλίζοντας κέρδη άνω των 120 εκατ. δολαρίων στους χειριστές του. Το χρησιμοποιούσαν κυρίως ως υπηρεσία, δηλαδή το λογισμικό αναπτύχθηκε από άλλους προγραμματιστές οι οποίοι έπειτα το διέθεταν με προμήθεια 20% επί των κερδών σε άλλους χάκερ, κατά κάποιο τρόπο τον εκτελεστικό βραχίονά τους, για να πραγματοποιήσουν εκείνοι τις επιθέσεις. Μόλις μολυνθεί ένας υπολογιστής με ransomware όπως το LockBit κρυπτογραφούνται τα αρχεία του και οι δράστες ζητούν λύτρα σε bitcoin για να τα αποδεσμεύσουν. Συνήθως, εάν δεν ανταποκριθεί το θύμα, δημοσιεύουν όσα δεδομένα υπέκλεψαν σε σελίδα τους στο «σκοτεινό» Διαδίκτυο.
Στο Πανεπιστήµιο Αιγαίου
Η «Κ» είχε περιηγηθεί στη σελίδα τους και είχε διαπιστώσει ότι από τις 27 Νοεμβρίου 2023 είχαν αναρτηθεί σε αυτή εκατοντάδες αρχεία του Πανεπιστημίου Αιγαίου. Η επίθεση στα ηλεκτρονικά συστήματα του πανεπιστημίου είχε καταγραφεί στις 2 Μαρτίου. Στα αρχεία που διέρρευσαν περιλαμβάνονταν, μεταξύ άλλων, προσωπικά
δεδομένα υπαλλήλων, όπως βεβαιώσεις «πόθεν έσχες» και φορολογικές ενημερότητες, καθώς και έντυπα διαγωνιστικών διαδικασιών, κατόψεις κτιρίων και πιστοποιητικά ολοκλήρωσης σπουδών. Για την υπόθεση είχε ενημερωθεί και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.Η Europol και το αμερικανικό υπουργείο Δικαιοσύνης ανακοίνωσαν την περασμένη Τρίτη ότι διέκοψαν τις υπηρεσίες της συγκεκριμένης ομάδας κυβερνοεκβιαστών, κατέβασαν 34 διακομιστές, «πάγωσαν» περισσότερους από 200 λογαριασμούς κρυπτονομισμάτων και απέκτησαν τον έλεγχο τόσο της τεχνικής υποδομής
του LockBit όσο και της σελίδας στο «σκοτεινό» Διαδίκτυο όπου αναρτούσαν τα αρχεία που είχαν υφαρπάξει.
Ακόμη, συνελήφθησαν δύο άτομα στην Πολωνία και στην Ουκρανία έπειτα από αίτημα των γαλλικών αρχών, ενώ οι ΗΠΑ απήγγειλαν νέες κατηγορίες εις βάρος δύο υπηκόων Ρωσίας. Κατηγορούνται ότι είχαν επιτεθεί σε κατασκευαστικές, ασφαλιστικές και άλλες εταιρείες σε Μινεσότα, Φλόριντα, Πόρτλαντ, Πουέρτο Ρίκο, Σιγκαπούρη, Ταϊβάν και Λίβανο. Η πρώτη επίθεση που τους καταλογίζεται συνέβη τον Ιούνιο του 2020.Μέσα από επίσημα έγγραφα των αμερικανικών αρχών, η «Κ» ξετυλίγει τη
δράση του LockBit, καθώς και το πλέγμα των προσώπων που εμπλέκονται στη χρήση και στη διασπορά του.
Το δίκτυο
Το νήμα οδηγεί στην Αριζόνα των ΗΠΑ λίγους μήνες νωρίτερα. Τον περασμένο Ιούνιο, συνελήφθη από τις αμερικανικές αρχές ο 20χρονος Ρώσος υπήκοος Ρουσλάν Ασταμίροφ. Σύμφωνα με το κατηγορητήριο, ήταν ένα από τα μέλη της ομάδας LockBit και συμμετείχε σε επιθέσεις κατά επιχειρήσεων στη Φλόριντα, τη Βιρτζίνια, την Ιαπωνία και τη Γαλλία. Το τελευταίο χτύπημα που του αποδίδεται καταγράφηκε τον Μάρτιο του 2023 στην Κένυα.
Οπως διαπίστωσαν οι ερευνητές, προκειμένου να θολώσει η διαδρομή του χρήματος, τα λύτρα μεταφέρονταν διαδοχικά σε διαφορετικές διευθύνσεις bitcoin προτού περάσουν στην κατοχή του. Βάσει της έρευνας του FBI το 80% των λύτρων που πλήρωσε η επιχείρηση στην Κένυα, αξίας άνω των 700.000 δολάριων, κατέληξε σε μια διεύθυνση bitcoin που αντιστοιχεί στον 20χρονο.Στις 13 Μαΐου, ο Ασταμίροφ δέχτηκε να μιλήσει σε πράκτορες του FBI στην Αριζόνα. Φέρεται να παραδέχτηκε σε εκείνη τη συνάντηση ότι στο παρελθόν είχε αποκτήσει, χρησιμοποιήσει και πουλήσει κωδικούς πρόσβασης για διαδικτυακές
υπηρεσίες. Κατασχέθηκαν όλες οι ηλεκτρονικές συσκευές του, ένα iPhone, ένα iPad, ένας φορητός υπολογιστής και ένα USB. Από τη διερεύνησή τους προέκυψε η σύνδεσή του με συγκεκριμένο email, το οποίο τον συσχέτιζε με τη χρήση του LockBit.
Ενα μήνα νωρίτερα, οι αμερικανικές αρχές είχαν εστιάσει σε έναν άλλο Ρώσο υπήκοο, τον Μιχαΐλ Πάβλοβιτς Ματβέεφ. Του καταλογίζουν επιθέσεις μέσω του LockBit, καθώς και άλλων δύο ransomware, του Babuk και του Hive. Θεωρείται υπεύθυνος για επιθέσεις κατά κρίσιμων υποδομών και αστυνομικών τμημάτων στις ΗΠΑ.
Τα σηµειώµατα
Στο σχετικό κατηγορητήριο των 22 σελίδων περιλαμβάνονται και τα εκβιαστικά σημειώματα που φέρεται να έστελνε σε θύματά του απαιτώντας να πληρώσουν λύτρα. «Τα δεδομένα σας έχουν κρυπτογραφηθεί και αντιγραφεί στους σέρβερ μας», σημείωνε σε ένα εξ αυτών. «Εχετε επτά ημέρες διορία για να επικοινωνήσετε μαζί μας αλλιώς θα δημοσιεύσουμε τις
Η «Κ» ακολουθεί τα «ίχνη» του κακόβουλου λογισμικού από την Αριζόνα των ΗΠΑ έως την Ελλάδα.
Ρώσος υπήκοος, γνωστός με το ψευδώνυμο «Wazawaka», έχει επικηρυχθεί για 10 εκατ. δολάρια.
πληροφορίες για το χακάρισμα στα ΜΜΕ και στα μέσα κοινωνικής δικτύωσης. Εάν δεν επικοινωνήσετε μαζί μας, όλα τα δεδομένα σας θα διαρρεύσουν». Σε μία από αυτές τις επιθέσεις είχε υφαρπάξει από επιχείρηση δεδομένα μεγέθους 964 GB, τα οποία περιελάμβαναν στοιχεία πιστωτικών καρτών, λογιστικά έγγραφα, βάσεις δεδομένων πελατών και προσωπικές πληροφορίες εργαζομένων.
«Δεν με εξέπληξε. Περίμενα ότι θα συμβεί», δήλωσε ο ίδιος σχετικά με την επικήρυξή του σε συνέντευξη που φέρεται να παραχώρησε σε ιστοσελίδα που ειδικεύεται σε θέματα κυβερνοασφάλειας. «Συμβαίνουν τόσο πολλά στον κόσμο και τα νέα για εμένα πολύ σύντομα θα ξεχαστούν», πρόσθεσε. Αρνήθηκε ότι ευθυνόταν για επιθέσεις κατά αστυνομικών τμημάτων στις ΗΠΑ, προσπάθησε να υποβαθμίσει τον ρόλο του και ισχυρίστηκε πως εκείνος απλώς ανέβασε στην ιστοσελίδα της ομάδας τα αρχεία που είχαν διαρρεύσει. «Πολλές δυτικές εταιρείες κυβερνοασφάλειας θεωρούν ότι οι ομάδες ransomware ψεύδονται», είπε. «Ανέβασα τα δεδομένα για να αποδείξω ότι όντως είχαν κλαπεί και δεν ήταν κάποια απάτη».