Ένα επισυναπτόμενο ενός email που φιλοξενούσε ένα κακόβουλο αρχείο είναι αυτό που συνέτριψε το IT σύστημα της Δημόσιας επιχείρησης ηλεκτρισμού (City Power) του Johannesburg και οι εμπειρογνώμονες φοβούνται ότι περισσότερες νοτιοαφρικανικές εταιρείες θα αντιμετωπίσουν παρόμοιες επιθέσεις με διακυβεύσεις δημόσιων δεδομένων.
Μέχρι το απόγευμα της Παρασκευής, το πρόγραμμα ηλεκτρικής ενέργειας του Johannesburg προσπαθούσε να αποκαταστήσει τις εφαρμογές και τα δίκτυά του μετά από μια επίθεση ransomware τα μεσάνυχτα της Τετάρτης, λίγο πριν την ημέρα πληρωμής.
Το website της City Power ακόμη δεν έχει ανέβει, εμποδίζοντας τους πελάτες να καταγράψουν ηλεκτρικά σφάλματα και τους προμηθευτές από την υποβολή τιμολογίων. Οι προμηθευτές έπρεπε να μεταβούν στο κεντρικό γραφείο της City Power στο Booysens και να παραδώσουν τα τιμολόγια.
“Οι ειδικοί μας δουλεύουν μέρα και νύχτα και περιμένουμε ότι όλα θα επανέλθουν μέχρι το Σάββατο το απόγευμα”, δήλωσε ο εκπρόσωπος Isaac Mangena, προσθέτοντας ότι αυτή ήταν η πρώτη φορά που η εταιρεία του πέφτει θύμα μιας τέτοιας επίθεσης.
Όμως, ενώ αυτή μπορεί να είναι η πρώτη εμπειρία της City Power του Johannesburg σε μια επίθεση ransomware, οι ειδικοί λένε ότι γίνονται ολοένα και πιο συνηθισμένες τέτοιες επιθέσεις στη Νότια Αφρική και τις περισσότερες δεν τις γνωρίζει το κοινό.
“Οι εταιρείες δεν υποχρεούνται να αποκαλύπτουν τέτοιες επιθέσεις και οι περισσότεροι κάνουν ad hoc. Μπορεί να έχουν υπάρξει πολύ περισσότερες επιθέσεις ransomware ή malware σε κρατικές οντότητες, αλλά δεν αποκαλύπτονται επειδή, προφανώς, για λόγους φήμης προτιμάτε να μην ενημερώσετε τους ανθρώπους ότι υπάρχει παραβίαση δεδομένων “, δήλωσε ο Zamani Ngidi, κύριος σύμβουλος για τον κυβερνοχώρο στο Aon της Νότιας Αφρικής.
“Η Νότια Αφρική βρίσκεται στις τρεις πρώτες θέσεις για παραβιάσεις δεδομένων”.
Ο εμπειρογνώμονας στον τομέα των κυβερνοεγκλημάτων, Jacques van Heerden συμφώνησε και δήλωσε ότι γνωρίζει άλλα κυβερνητικά τμήματα που υπέστησαν επιθέσεις ransomware.
Το ανησυχητικό είναι ότι οι εγκληματίες που ξεκίνησαν την επίθεση στο City Power ενδέχεται να έχουν ακόμα πρόσβαση στα συστήματά του.
Ο συνηθισμένος τρόπος ενός εισβολέα ransomware για την αποστολή ενός μολυσμένου αρχείου συνήθως είναι ένα συνημμένο ηλεκτρονικού ταχυδρομείου.
Μόλις το malware μολύνει το IT σύστημα, κρυπτογραφεί τα αρχεία. Οι εγκληματίες έρχονται στη συνέχεια σε επαφή με το θύμα και προσφέρουν την αποστολή του κλειδιού κρυπτογράφησης έναντι αμοιβής.
Οι εγκληματίες συνήθως ζητούν πληρωμή σε κρυπτογράφηση, όπως το bitcoin το οποίο είναι δύσκολο να εντοπιστεί. Οι επιτιθέμενοι είναι πάντα σε άλλη χώρα που φυσικά καθιστά δύσκολο το να εντοπιστούν και να τους ασκηθεί δίωξη.
Συχνά τα λύτρα δεν είναι τόσο υψηλά και πολλές εταιρείες προτιμούν να πληρώσουν αντί να ξοδεύουν περισσότερα για την ανάκτηση των αρχείων.
Σύντομα, το νέο νομοσχέδιο για τα εγκλήματα στον κυβερνοχώρο θα βοηθήσει την επιβολή του νόμου στην καταπολέμηση των επιθέσεων ransomware, καθιστώντας υποχρεωτικό για τις εταιρείες να αναφέρουν αν ήταν θύματα τέτοιων εγκλημάτων.
“Στη Νότια Αφρική, επειδή δεν είμαστε τόσο ισχυροί όσο και σε επίπεδο άλλων χωρών, και λόγω της έλλειψης κανονιστικών ρυθμίσεων, οι πιθανότητες να πιάσουμε αυτούς τους εγκληματίες είναι χαμηλές”, δήλωσε ο Ngidi.
Οι ομάδες ασφαλείας της City Power ερευνούν την προέλευση της επίθεσης και θα εφαρμόσουν μέτρα για να αποτρέψουν το να πραγματοποιηθεί μια παρόμοια επίθεση ξανά.
Ο Mangena είπε ότι ζητήθηκαν λύτρα, αλλά δεν διευκρίνισε σε ποια ακριβώς μορφή. Οι ομάδες βοηθούνται επίσης από εξωτερικούς εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο.”Η ομάδα λαμβάνει επίσης βοήθεια από διάφορες εθνικές υπηρεσίες ασφαλείας που θεωρούν ότι πρόκειται για εθνική απειλή στον κυβερνοχώρο”, δήλωσε ο Mangena.
Αλλά δεν πρόκειται να περάσει πολύς καιρός πριν υπάρξει και άλλη επίθεση σε άλλο κρατικό θεσμό και ζητηθούν και άλλα λύτρα, πιστεύει ο Van Heerden.
“Το πρόβλημα είναι ότι δεν πρόκειται να σταματήσει σύντομα”.
