Το WannaCry υπήρξε μία από τις σημαντικότερες κυβερνοεπιθέσεις του εικοστού πρώτου αιώνα, επηρεάζοντας περισσότερους από 230.000 υπολογιστές σε περισσότερες από 150 χώρες. Το κακόβουλο λογισμικό είχε ως στόχο ηλεκτρονικούς υπολογιστές που χρησιμοποιούν ως λειτουργικό τους σύστημα τα Microsoft Windows. Στη συνέχεια, το λογισμικό κρυπτογραφούσε τον υπολογιστή του θύματος, τον κλείδωνε και ζητούσε να κατατεθούν λύτρα εντός τριών ημερών, σε έναν λογαριασμό Bitcoin, προκειμένου ο ηλεκτρονικός υπολογιστής να γίνει λειτουργικός ξανά. Αν η διορία περνούσε και το θύμα δεν κατέθετε τα χρήματα, τότε το ποσό διπλασιαζόταν και αν πάλι θύμα αρνούνταν να καταβάλλει και τα διπλάσια χρήματα των λύτρων το λογισμικό απειλούσε με μόνιμο κλείδωμα του υπολογιστή. Πολλοί λοιπόν ήταν εκείνοι που υπέκυψαν στον εκβιασμό, καθώς υπολογίζεται πως στον Bitcoin λογαριασμό των κυβερνοεγκληματιών έχουν κατατεθεί περίπου 130.000 δολάρια. Η διάρκεια που διεξήχθη η κυβερνοεπίθεση ήταν μόλις 3 μέρες και συγκεκριμένα, από τις 12 Μαΐου έως 15 Μαΐου 2017. Συγκεκριμένα, την 15η Μαΐου ο Marcus Hutchins, ένας 22χρονος ερευνητής ασφαλείας ανακάλυψε έναν τρόπο προκειμένου να απενεργοποιεί το WannaCry από έναν προσβεβλημένο υπολογιστή. Στη συνέχεια, η Microsoft έβγαλε άμεσα ενημερώσεις για όλα τα λειτουργικά της, ακόμα και για τα Windows XP, τα οποία είχε σταματήσει να τα υποστηρίζει, προκειμένου να αποκτήσουν προστασία απέναντι στον ιό. Παρόλο βέβαια που τα Windows XP ήταν τα πιο ευάλωτα στον ιό, μιας και είχε σταματήσει η υποστήριξη τους, έρευνες έδειξαν ότι μόλις το 0.1 % των υπολογιστών που χτυπήθηκαν χρησιμοποιούσαν Windows XP. Αξίζει ωστόσο να σημειωθεί ότι οι περισσότεροι υπολογιστές που χτυπήθηκαν χρησιμοποιούσαν ως λειτουργικό σύστημα τα Windows 7. Πέρα από τους οικιακούς υπολογιστές, προσβλήθηκαν πολλές εταιρίες και οργανισμοί, όπως η National Health Service του Ηνωμένου Βασιλείου, ένας τηλεφωνικός πάροχος της Ισπανίας, η αμερικανική εταιρία μεταφορών FedEx, η Γερμανική εταιρία σιδηροδρόμων Deutsche Bahn αλλά και το Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης, δέχθηκε επίθεση από το κακόβουλο αυτό λογισμικό.

Λίγες μέρες μετά την εμφάνιση του ιού, η Microsoft έβγαλε μία σκληρή ανακοίνωση εναντίον της υπηρεσίας εθνικής ασφαλείας των Ηνωμένων Πολιτειών της Αμερικής NSA, κατηγορώντας την ως υπαίτιο για την εξάπλωση και τη δημιουργία του κακόβουλου λογισμικού. Συγκεκριμένα, όπως ανακαλύφθηκε, η NSA γνώριζε γι αυτό το κενό ασφαλείας στα Windows αλλά το κρατούσε για δική της χρήση σε περίπτωση που αυτό ήταν απαραίτητο. Έτσι, οι κυβερνοεγκληματίες υποκλέπτοντας την πληροφορία αυτή κατάφεραν να εντοπίσουν το κενό ασφαλείας και δημιούργησαν τον ιό WannaCry έχοντας ως αποτέλεσμα την παγκόσμια αναταραχή που δημιουργήθηκε.

• https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

Η ιστοσελίδα Linked in, έπεσε θύμα ρώσων hacker στις 5 Ιουνίου του 2012. Οι κωδικοί περίπου 6,5 εκατομμυρίων χρηστών κλάπηκαν και οι λογαριασμοί αυτοί, ουσιαστικά κλειδώθηκαν από την εταιρία, διότι, έπρεπε να γίνουν αλλαγές των κωδικών για να μπορούν οι χρήστες να έχουν πρόσβαση ξανά στους λογαριασμού τους. Επίσης, η εταιρία παρότρυνε σε όλους τους χρήστες να αλλάξουν τους κωδικούς πρόσβασης τους, είτε σε αυτούς που έπεσαν θύματα της κλοπής, είτε όχι, μετά από αυτό το συμβάν. Οι κωδικοί οι οποίοι βρέθηκαν με τη μέθοδο του κατακερματισμού, αναρτήθηκαν σε ένα ρωσικό forum την ίδια μέρα και ακριβώς την επόμενη μέρα οι ίδιοι κωδικοί ήταν προσβάσιμοι στον καθένα σε μορφή απλού κειμένου. Τον Μάιο του 2016, η εταιρία ανακάλυψε ότι, ακόμα 100 εκατομμύρια e-mail και κωδικοί που πιθανών ήταν συνδεδεμένοι με το ίδιο συμβάν του 2012, με αποτέλεσμα η εταιρία να καταργήσει όλους τους κωδικούς των χρηστών, οι οποίοι δεν είχαν αλλαχθεί πριν από το 2012. Το συμβάν αυτό, έφτασε μέχρι τη βουλή των ΗΠΑ με θέμα αν οι εταιρίες που διαχειρίζονται ευαίσθητα προσωπικά στοιχεία δεδομένων, θα πρέπει να ελέγχονται για τις μεθόδους κρυπτογράφησης και αποθήκευσης που χρησιμοποιούν, με σκοπό να είναι όσο το δυνατόν περισσότερο δύσκολο να έχει κάποιο τρίτο πρόσωπο πρόσβαση στην βάση δεδομένων της εταιρίας. Επίσης, ένας ερευνητής ασφάλειας υποστήριξε ότι ο χάκερ είχε πρόσβαση στη βάση δεδομένων της εταιρίας μέσω της ιστοσελίδα της. Πολλοί υπεύθυνοι στον τομέα της ασφάλειας δήλωσαν ότι οι κλεμμένοι κωδικοί δεν ήταν κρυπτογραφημένοι με τον κατάλληλο τρόπο για μια εταιρία τέτοιου μεγέθους. Ακόμη, το FBI βοήθησε την εταιρία στην εξιχνίαση της απάτης και ένας μεγάλος αριθμός υπεύθυνων ασφάλειας υποστήριξαν ότι, οι κωδικοί μπορούσαν να κλαπούν εύκολα, διότι, η εταιρία δεν χρησιμοποιούσε τη μέθοδο salt όταν γινόταν κατακερματίσει στους κωδικούς πρόσβασης. Τον Οκτώμβιο του 2016, ο ρώσος χάκερ, Yevgeny Nikulin, συνελήφθη από τις τσεχικές αρχές στην Πράγα μετά από ένταλμα των ΗΠΑ στην Interpol. Αμερικάνος δικαστής καταδίκασε τον Yevgeny Nikulin και άλλους τρεις ανώνυμους συνεργούς σε κατηγορίες υποκλοπής ταυτότητας και εισχώρησης σε δίκτυο υπολογιστών, υποστηρίζοντας ότι έκλεψε το username και το password από έναν υπάλληλο της εταιρίας με τα οποία είχε πρόσβαση στο δίκτυο της εταιρίας. Ο ρώσος χάκερ βρίσκεται αντιμετώπως με την Τσεχία για να καθοριστεί εάν θα δικαστή στις ΗΠΑ με το ρωσικό υπουργείο εξωτερικών να προσπαθεί να το αποτρέψει.

Η Target Corporation είναι η δεύτερη μεγαλύτερη αλυσίδα καταστημάτων λιανικής πώλησης με έκπτωση στις Ηνωμένες Πολιτείες. Ιδρύθηκε στις 24 Ιουλίου του 1902 από τον George Dayton και σήμερα διαθέτει 1.834 καταστήματα.

Στις αρχές τις δεκαετίας του 2000, η Target Corporation έπεσε θύμα ηλεκτρονικής επίθεσης η οποία είχε διάρκεια 19 ημερών. Πιο συγκεκριμένα, την παραμονή της ημέρας των Ευχαριστιών η εταιρία υποβλήθηκε σε μια μαζική παραβίαση ασφαλείας των δεδομένων των πιστωτικών καρτών των πελατών της που επηρέασε πάνω από 110 εκατομμύρια πελάτες. Οι εκτεθειμένες πληροφορίες περιείχαν ονόματα, αριθμούς τηλεφώνου, διευθύνσεις αλληλογραφίας, διευθύνσεις ηλεκτρονικού ταχυδρομείου και δεδομένα λογαριασμών πιστωτικών και χρεωστικών καρτών. Επιπλέον, τα δεδομένα που αφορούσαν πιστωτικές κάρτες περιελάμβαναν τους αριθμούς λογαριασμών, τους κωδικούς ασφαλείας CVV και τις ημερομηνίες λήξεις.

Ενώ η βιομηχανία πληρωμών με κάρτες απαιτεί από κάθε οργανισμό που συλλέγει και χρησιμοποιεί πληροφορίες καρτών για χρέωση να κρυπτογραφεί αυτές τις πληροφορίες με ένα περίπλοκο σύνολο κανόνων ασφαλείας, οι χάκερ κατάφεραν να βρουν και να εκμεταλλευτούν ένα προηγουμένως άγνωστο ελάττωμα. Για να εισέλθουν στο σύστημα χρησιμοποίησαν κλεμμένα στοιχεία από μια εταιρεία HVAC που συνεργαζόταν με την Target Corporation με αποτέλεσμα να έχουν πρόσβαση στα δεδομένα σε ένα σημείο που δεν είχαν ακόμη πραγματοποιηθεί όλες οι διαδικασίες κρυπτογράφησης. Η εταιρεία ενημερώθηκε για την επίθεση από το σύστημα ασφαλείας του κυβερνοχώρου και είχε τον χρόνο να σταματήσει την κλοπή των δεδομένων. Ωστόσο απέτυχε να ενεργήσει έγκαιρα με αποτέλεσμα να βρεθεί αντιμέτωπη με δεκάδες αγωγές και πρόστιμα ύψους 3.6 δισεκατομμυρίων για αυτή της την καθυστέρηση. Τον Μαρτίου του 2015 η εταιρεία έφτασε σε συμβιβασμό με τους πελάτες για 10 εκατομμύρια δολάρια και τον Μάιο του 2016 με τις πληγείσες τράπεζες και πιστωτικούς οργανισμούς για 39 εκατομμύρια δολάρια.

Βιβλιογραφία:
https://en.wikipedia.org/wiki/Target_Corporation#Customer_privacy
https://www.angelkings.com/target-corporation/
https://www.reuters.com/article/us-target-breach/target-cyber-breach-hits-40-million-payment-cards-at-holiday-peak-idUSBRE9BH1GX20131219

Η επίθεση CryptoLocker ήταν μια ηλεκτρονική επίθεση (cyber attack), που χρησιμοποίησε το CryptoLocker ransomware και πραγματοποιήθηκε από τις 5 Σεπτεμβρίου 2013 έως τα τέλη Μαΐου του 2014. Για την επίθεση χρησιμοποιήθηκε ένας ιός που ονομάζεται Δούρειος Ίππος (trojan), ο οποίος στόχευε υπολογιστές με λειτουργικό σύστημα Microsoft Windows. Το κακόβουλο λογισμικό διαδόθηκε μέσω προσβεβλημένων συνημμένων ηλεκτρονικού ταχυδρομείου (emails) με ένα αρχείο zip (το οποίο περιείχε ένα εκτελέσιμο αρχείο, με το όνομα αρχείου και το εικονίδιο να συγκαλύπτεται ως αρχείο PDF (Portable Document Format), εκμεταλλευόμενοι έτσι οι διακομιστές του κακόβουλου λογισμικού την προεπιλεγμένη συμπεριφορά των Windows να κρύβουν την επέκταση από ονόματα αρχείων για να συγκαλύψουν την πραγματική επέκταση .EXE.), καθώς και μέσω ενός υπάρχοντος Gameover ZeuS botnet. Όταν το κακόβουλο πρόγραμμα ενεργοποιούνταν, κρυπτογραφούσε αρχεία δεδομένων με συγκεκριμένες επεκτάσεις , όπως το Microsoft Office , το OpenDocument και άλλα έγγραφα, εικόνες και αρχεία του AutoCAD. Τα οποία ήταν αποθηκευμένα σε τοπικές μονάδες δικτύου και σε μονάδες δικτύου και χρησιμοποιούσαν κρυπτογράφηση δημόσιου κλειδιού RSA, με αποτέλεσμα το ιδιωτικό κλειδί να αποθηκευόταν μόνο στους διακομιστές που έλεγχαν το κακόβουλο λογισμικό. Το κακόβουλο πρόγραμμα εμφάνιζε ένα μήνυμα, στον χρήστη, το οποίο πρόσφερε την αποκρυπτογράφηση των δεδομένων αν γινόταν μια πληρωμή των 400 δολαρίων (μέσω είτε bitcoin ή μια προπληρωμένη κάρτα/κουπόνι μετρητών) εντός καθορισμένης προθεσμίας (72-100 ώρες) και απειλούσε τον χρήστη πως θα διέγραφε το ιδιωτικό κλειδί αν περάσει η προθεσμία. Σε περίπτωση που δεν τηρούταν η προθεσμία, το κακόβουλο λογισμικό πρόσφερε να αποκρυπτογραφήσει τα δεδομένα μέσω μιας ηλεκτρονικής υπηρεσίας, η οποία παρεχόταν από τους φορείς εκμετάλλευσης κακόβουλου λογισμικού, για σημαντικά υψηλότερη τιμή στο bitcoin. Με αποτέλεσμα να μην υπήρχε κάποια εγγύηση ότι η πληρωμή θα απελευθέρωνε το κρυπτογραφημένο περιεχόμενο, επίσης ορισμένα μολυσμένα θύματα ισχυρίστηκαν ότι πλήρωσαν τους επιτιθέμενους, αλλά οι φάκελοί τους δεν αποκρυπτογραφήθηκαν.

Στις 2 Ιουνίου 2014, το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών εξέδωσε δημοσίως ένα κατηγορητήριο, εναντίον του ρώσικου χάκερ Evgeniy Bogachev για την υποτιθέμενη εμπλοκή του στο botnet. Επίσης,τον Αύγουστο του 2014, η Fox-IT και οι συνεργάτες της FireEye, κατάφεραν να προμηθεύσουν τη βάση δεδομένων ιδιωτικών κλειδιών που χρησιμοποίησε η CryptoLocker και έπειτα ανακοίνωσαν μια ηλεκτρονική υπηρεσία, η οποία επέτρεπε στους μολυσμένους χρήστες να ανακτήσουν το ιδιωτικό τους κλειδί κατεβάζοντας ένα δείγμα αρχείου και έπειτα λάμβαναν ένα εργαλείο αποκρυπτογράφησης.

https://en.wikipedia.org/wiki/CryptoLocker
https://en.wikipedia.org/wiki/Operation_Tovar
https://www.athensvoice.gr/greece/123188_prosohi-gia-kakovoylo-logismiko
https://www.bbc.com/news/world-us-canada-31614819

Η Solar Sunrise ήταν ένας επικίνδυνος ιός που έτρεξε στο Solaris και ένας από τους μόνο γνωστούς ιούς στο Solaris. Δημιουργήθηκε από άγνωστους χάκερς και ήταν ενεργό το 1998. Αυτός ο ιός είχε προκαλέσει ζημιές σε εκατομμύρια και είχε καταφέρει να πάρει τον έλεγχο 500 στρατιωτικών υπολογιστών. Αυτός είναι ο μόνος εγγεγραμμένος ιός για το λειτουργικό σύστημα της Oracle Solaris. Η κυβέρνηση ανησύχησε τόσο πολύ ώστε η προειδοποίηση και οι ενημερώσεις πήγαν μέχρι τον Πρόεδρο των Ηνωμένων Πολιτειών.

Ιστορία

Το 1998, δύο έφηβοι από την Καλιφόρνια έκαναν την έκπληξη στην αμερικανική κυβέρνηση και πήραν τον έλεγχο πάνω απο 500 ηλεκτρονικών συστημάτων που ανήκαν στον στρατό, τον κυβερνητικό και τον ιδιωτικό τομέα των Ηνωμένω Πολιτειών. Ασύγχρονοι υπολογιστές που δεν ταξινομούνται στο DoD επιτέθηκαν χρησιμοποιώντας ένα πολύ γνωστό θέμα ευπάθειας του λειτουργικού συστήματος. Οι επιτιθέμενοι ακολούθησαν το ίδιο προφίλ επίθεσης: Ανίχνευση για να διαπιστωθεί εάν υπάρχει ευπάθεια, (2) εκμετάλλευση της ευπάθειας, (3) εμφύτευση ενός προγράμματος (Sniffer) για τη συλλογή δεδομένων και (4) επιστροφή αργότερα για ανάκτηση των συλλεγόμενων δεδομένων. Η όλη κατάσταση ονομάστηκε “Solar Sunrise” μετά τις δημοφιλείς ευπάθειες σε υπολογιστές που λειτουργούσαν με λειτουργικά συστήματα SunSolaris. Οι επιθέσεις αυτές εμφανίστηκαν όταν οι ΗΠΑ προετοίμαζαν ενδεχόμενες στρατιωτικές ενέργειες εναντίον του Ιράκ εξαιτίας των διαφορών επιθεώρησης των όπλων του ΟΗΕ και θα μπορούσαν να έχουν ως στόχο τη διακοπή των αναπτύξεων και των επιχειρήσεων. Αργότερα αποκαλύφθηκε ότι τα περιστατικά αντιπροσώπευαν το έργο δύο Αμερικανών εφήβων από την καλιφόρνια(Mac και Stimpy).Μετα τις επιθέσεις το τμήμα άμυνας έλαβε δραστικές ενέργεις. Το δημιούργησε ένα ρολοι έκτακτης ανάγκης 24 ωρών, εγκατεστημένα συστήματα ανίχνευσης εισβολών σε βασικούς κόμβους και υποβοηθούμενη επιβολή του νόμου στον τομέα της εγκληματολογίας υπολογιστών και της έρευνας.

ΠΗΓΕΣ https://www.globalsecurity.org/military/ops/solar-sunrise.htm , https://en.wikipedia.org/wiki/Ehud_Tenenbaum

Πρόκειται για κακόβουλο λογισμικό(malware) τύπου ransomware που διεισδύει απαρατήρητο σε ένα σύστημα. Προορίζεται για υπολογιστές που διαθέτουν εκδόσεις του λειτουργικού συστήματος Microsoft Windows.Η διάδοση του γίνεται μέσω τοπικών δικτύων. Κατά την εκκίνηση του υπολογιστή μετά την εγκατάσταση του Petya προσβάλλεται το κύριο αρχείο εκκίνησης (Master Boot Record ) και αντί να κρυπτογραφήσει απευθείας τα αποθηκευμένα δεδομένα εκτελεί κρυπτογράφηση του κύριου πίνακα αρχείων του σκληρού δίσκου του συστήματος με την χρήση προηγμένων αλγόριθμων κρυπτογράφησης, εμποδίζοντας την φόρτωση του λειτουργικού συστήματος. Για να καταφέρει ο χρήστης να αποκτήσει πάλι πρόσβαση στο σύστημα και στα αρχεία του εμφανίζεται ένα μήνυμα λύσης (μπλε οθόνη) το οποίο ζήτα να γίνει πραγματοποίηση πληρωμής λύτρων μέσω Bitcoin δίνοντας ένα λογαριασμό. Η ανακάλυψη του Petya έγινε τον Μάρτιο του έτους 2016. Ενώ το ίδιο έτος δημιουργήθηκαν πολλές παραλλαγές του οι οποίες εξαπλωθήκαν σε μεγάλο βαθμό από μολυσμένα αρχεία που στέλνονταν μέσω ηλεκτρονικού ταχυδρομείου. Το καλοκαίρι του έτους 2017 πραγματοποιηθήκαν κυβερνοεπιθέσεις που έκαναν χρήση του ίου Petya και είχαν στόχο κυρίως ιστότοπους Ουκρανικών Οργανισμών προσκομίζοντας 80% των περιπτώσεων που μολύνθηκαν από το κακόβουλο λογισμικό Petya, συμπεριλαμβανόμενων ιστοσελίδων μεγάλων επιχειρήσεων, κρατικών οργανισμών, τραπεζών και εφημερίδων. Παρόμοια περιστατικά σημειώθηκαν και σε άλλες χώρες όπως η Γερμανία, Ιταλία, Ρωσία, ΗΠΑ, Πολωνία και Γαλλία. Οι πρώτες αναφορές για επιθέσεις από τον ίο Petya έγιναν από Ουκρανικές εταιρείες καθώς ήταν η χωρά στην οποία καταγράφηκαν οι μεγαλύτερες ζημιές. Εμπειρογνώμονες έκαναν λόγο για πολιτική επίθεση. Η εξάπλωση του κακόβουλου λογισμικού Petya στην Ουκρανία θεωρήθηκε πως έγινε μέσω ενημέρωσης που έκανε ένα αξιόπιστο λογισμικό φορολογικής προετοιμασίας γνωστό ως M.E.Doc το οποίο χρησιμοποιόταν από μεγάλες επιχειρήσεις και κρατικούς οργανισμούς της χωράς αυτής. Η επίθεση ήταν κάλα σχεδιασμένη και υλοποιημένη καθώς γνωστοποιήθηκε ότι το πέρασμα του ίου μέσα από το λογισμικό M.E.Doc είχε βρεθεί έξι εβδομάδες πριν την επίθεση. Οι προγραμματιστές του M.E.Doc δεν δέχτηκαν την ευθύνη για αυτή την επίθεση και δήλωσαν πως και οι ίδιοι υπήρξαν θύματα. Ωστόσο τους καταλογίστηκαν ευθύνες από τις υπεύθυνες αρχές εξαιτίας της ανευθυνότητας και της αμέλειας που έδειξαν στην συντήρηση της ασφάλειας των εξυπηρετητών τους (servers). Επίσης ενημερώσαν τους χρήστες αυτού του προγράμματος να σταματήσουν την χρήση του καθώς υπήρχε φόβος για μόλυνση του υπολογιστή τους από τον ίο Petya. Παρατηρήθηκε ότι υπήρχε δυνατότητα διακοπής της κρυπτογράφησης που πραγματοποιούσε το κακόβουλο λογισμικό Petya εάν το σύστημα που είχε προσβληθεί έκλεινε αμέσως με την εμφάνιση του μηνύματος στην οθόνη. Επίσης ο πάροχος του λογαριασμού που εμφανιζόταν στο μήνυμα διάκοψε την λειτουργιά αυτού του λογαριασμού λόγω παραβίασης ορών χρήσης.

 ΒΙΒΛΙΟΓΡΑΦΙΑ

• http://www.athensvoice.gr/life/technology/361152_lytrismiko-petya-oi-nees-kyvernoepitheseis-prokalesan-haos
• https://support.norton.com/sp/el/gr/home/current/solutions/v122924916_EndUserProfile_el_el
• http://gr.pcmag.com/petya/27289/feature/ti-xeroume-mekhri-stigmes-gia-ten-kubernoepithese-petya
• https://en.wikipedia.org/wiki/Petya_(malware)
• https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how

Operation Bayonet είναι το όνομα που έδωσαν στην πολυεθνική επιχείρηση που οργάνωσαν το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών σε συνεργασία με την Ολλανδική Εθνική Αστυνομία με την υποστήριξη της Europol, έτσι ώστε να δώσουν τέλος στην ύπαρξη των AlphaBay και Hansa,που αποτελούσαν από τα μεγαλύτερα darknet markets εν ενεργεία ύστερα από το κλείσιμο του Silk Road. Συγκεκριμένα, τα παραρτήματα του Υπουργείο Δικαιοσύνης των ΗΠΑ που πήραν μέρος σε αυτή τη συνεργασία ήταν το FBI και το DEA.

Το 2016 η Bitdefender, που ήταν σύμβουλος του Ευρωπαϊκού Κέντρου Κυβερνοεγκλήματος της Europol, κατάφερε να ανακαλύψει την πιθανή τοποθεσία των διακομιστών του Hansa Market.Έπειτα από επικοινωνία της Europol με τις Ολλανδικές Αρχές ξεκίνησε έρευνα για περαιτέρω συγκέντρωση στοιχείων, η οποία ήταν επιτυχής. Μέσω αυτής της έρευνας ανακαλύφθηκε αρχικά η βασική υποδομή του Hansa στην Ολλανδία και ύστερα από περαιτέρω έρευνες οι δυο ιδιοκτήτες του, παράλληλα με την κατάσχεση πολλαπλών διακομιστών που βρίσκονταν σε μέρη όπως Γερμανία, Ολλανδία και Λιθουανία. Παρόλα αυτά, η Europol και οι Ολλανδικές Αρχές επέλεξαν να μην κλείσουν το Hansa κατευθείαν, αλλά να το διατηρήσουν ανοιχτό για 1 μήνα, συλλέγοντας και εποπτεύοντας στην πορεία συναλλαγές που είχαν πληροφορίες όπως διευθύνσεις/ονόματα από αμαθείς χρήστες, οι οποίοι χρησιμοποιούσαν ακόμα το Hansa χωρίς την κρυπτογράφηση των μηνυμάτων τους. Έτσι, συλλέχθηκαν πάνω από 10000 διευθύνσεις αγοραστών οι οποίες προωθήθηκαν στην Europol. Το Hansa Market έκλεισε οριστικά στις 20 Ιουλίου 2017. Η τακτική που ακολούθησαν οι Αρχές, μπορεί να θεωρηθεί και παράνομη γιατί παρόλο που μπορούσαν να σταματήσουν τις πωλήσεις στο Hansa Market επέλεξαν να επιτρέψουν την διεξαγωγή τους για ακόμα 1 μήνα, κάτι το οποίο μπορεί να θεωρηθεί αντίθετο προς την ιδεολογία ολόκληρου του πολέμου ενάντι των ναρκωτικών που αποσκοπεί στο να αποτρέψει όσο πιο πολλούς θανάτους γίνεται.

Στην άλλη πλευρά της Γης, ενώ γίνονταν όλα αυτά στην Ευρώπη, το FBI σε συνεργασία με την DEA κατάφεραν να εντοπίσουν τον 25χρονο ιδιοκτήτη και δημιουργό του AlphaBay (Alexander Cazes) ο οποίος καταγόταν από τον Καναδά αλλά ζούσε στην Ταϊλάνδη, πιθανόν για να κάνει δύσκολο τον εντοπισμό του από τις Αρχές. Το AlphaBay σύμφωνα με το FBI/Europol , ήταν 10 φορές μεγαλύτερο από το πρώην μεγαλύτερο darknet market με το όνομα Silk Road (το οποίο επίσης έκλεισε το FBI), έχοντας πάνω από 200000 χρήστες και 40000 πωλητές που προσέφεραν παράνομες ουσίες αλλά και πράγματα όπως πλαστά διαβατήρια, λογισμικά κυβερνοεγκλήματος και όπλα. Το AlphaBay ήταν το πρώτο που έκλεισε από τα 2 markets και αυτό είχε ως αποτέλεσμα όλοι οι χρήστες του AlphaBay να μεταφερθούν στο αμέσως επόμενο γνωστό (Dream Market) αλλά και μεθεπόμενο (Hansa). Αυτό αύξησε κατά μεγάλο βαθμό τους χρήστες του Hansa κατά την περίοδο που ήταν διαχειριζόμενο από τις Ολλανδικές Αρχές/Europol και έτσι, υπήρξαν περισσότερες συλλήψεις. Ο Alexander Cazes βρέθηκε νεκρός στις 12 Ιουλίου στις φυλακές της Μπανγκόκ πιθανόν από αυτοκτονία.

1,2

Το Bad Rabbit είναι ένα ransomware το οποίο κρυπτογραφεί όλα τα αρχεία των υπολογιστών που το περιέχουν, έτσι ώστε οι χρήστες , να χρειάζεται να πληρώσουν το ανάλογο ποσό των 0.05 Bitcoin, για να επαναφέρουν τα αρχεία τους στην αρχική μορφή. Η προθεσμία πληρωμής ήταν 40 ώρες , από την στιγμή που ο υπολογιστής έπεφτε θύμα του λογισμικού, και σε περίπτωση που ο χρήστης δεν πλήρωνε το ανάλογο ποσό μετά το πέρας αυτού του χρονικού ορίου , το ποσό για την αποκρυπτογράφηση των αρχείων του, αυξανόταν. Το συγκεκριμένο κακόβουλο λογισμικό έχει προσβάλει στους υπολογιστές από τις 24 Οκτωβρίου και σύμφωνα με τους αναλυτές στο Crowdstrike , έχει πολλαπλές ομοιότητες με το αντίστοιχο Petya’s ransomware, αφού μοιραζάταν το 67% του ίδιου κώδικα. Θύματα αυτής της επίθεσης, ήταν οργανισμοί σε ολόκληρη την Ρωσία και την Ουκρανία , ενώ ένας μικρός αριθμός συστημάτων μολύνθηκε, στην Γερμανία, στην Τουρκία, στην Πολωνία αλλά και στην Νότια Κορέα. Η εξάπλωση του λογισμικού, έγινε από τους χρήστες οι οποίοι επισκέπτονταν επικίνδυνους ιστότοπους που είχαν παραβιαστεί, και τους παρότρυναν να κατεβάσουν και να εγκαταστήσουν μία έκδοση του Adobe Flash Player. Oι χρήστες δεν γνώριζαν ότι η έκδοση που εγκαθιστούσαν στον υπολογιστή τους , δεν ήταν η επίσημη που χορηγούσε η εταιρία για ενημέρωση, αλλά μια έκδοση η οποία έκρυβε πίσω της, το κακόβουλο λογισμικό.

Χάρης ενός στοιχείου που περιείχε, με την κωδική ονομασία SMB (Server Massage Block) , το λογισμικό επεκτείνονταν σε ολόκληρο το δίκτυο χωρίς ο χρήστης να χρειάζεται να αλληλεπιδράσει. Όσο αναφορά τον τρόπο λειτουργίας του , με την λήψη και εκτέλεση του αρχείου install_flash_player.exe , θα αποθηκευθεί και το αρχείο infpub.dat. Για να εκτελεστεί σωστά το αρχείο, χρειάζεται αυξημένα δικαιώματα διαχειριστή, και θα πρέπει ο χρήστης να να συμφωνήσει με το UAC (User Account Control). To infpub αρχείο είναι αυτό που δημιουργεί πρόβλημα στο σύστημα του χρήστη, αφού λειτουργεί ως τυπικό αρχείο κρυπτογράφησης, βρίσκοντας όλα τα δεδομένα που κατέχει ο χρήστης στους αποθηκευτικούς του χώρους, και χρησιμοποιώντας μια ενσωματωμένη λίστα επέκτασης, τα κρυπτογραφεί με τον τρόπο του δημόσιου κλειδιού RSA-2048.

Πηγές:

https://unboxholics.com/news/tech/26708-neo-ransomware-tromokratei-evropi-kai-rosia

https://securelist.com/bad-rabbit-ransomware/82851/

http://www.zdnet.com/article/bad-rabbit-ten-things-you-need-to-know-about-the-latest-ransomware-outbreak/

http://www.cnn.gr/tech/story/103529/bad-rabbit-to-koyneli-poy-apeilei-toys-ypologistes-mas

Ransomware attack

To ransomware είναι ένα κακόβουλο λογισμικό που εγκαθίσταται κρυφά στη συσκευή του θύματος η οποία μπορεί να είναι υπολογιστής, smartphone, wearable συσκευής και να κρατά όμηρο τα στοιχεία του θύματος, ή απειλεί να δημοσιεύσει τα δεδομένα του θύματος, έως ότου καταβληθούν λύτρα. Το ransomware είναι malware που εμποδίζει τον χρήστη να χρησιμοποιήσει τα αρχεία στον υπολογιστή του αφού τα κρυπτογραφεί και στην συνέχεια ζητάει εκ’ μέρους των κυβερνοεγκληματιών που το δημιούργησαν ή και το διανέμουν χρήματα για να τα ξεκλειδώσει. Η πιο προχωρημένη έκδοση του λογισμικού κρυπτογραφεί τα αρχεία του θύματος, τα καθιστά απρόσιτα, και απαιτεί την καταβολή λύτρων για να τα αποκρυπτογραφήσει. Επίσης μπορεί να κρυπτογραφήσει το σύνολο του σκληρού δίσκου. Πρόκειται για μια επίθεση, με την οποία εμποδίζονται οι χρήστες από την πρόσβαση στα αρχεία, δεδομένου ότι είναι δυσεπίλυτο να αποκρυπτογραφήσει τα αρχεία χωρίς το “κλειδί”.

Λειτουργία Cerber

Το Cerber είναι ένα κακόβουλο λογισμικό , το οποίο κρυπτογραφεί αρχεία στον υπολογιστή ενός χρήστη. Ο αλγόριθμος που χρησιμοποιείται από το Cerber Ransomware για κρυπτογράφηση είναι το κλειδί RSA-2048 .Πρώτα από όλα, μόλις το κακόβουλο λογισμικό εγκατασταθεί στον υπολογιστή θα δημιουργήσει ένα τυχαίο εκτελέσιμο αρχείο στο φάκελο. Από την στιγμή που θα ξεκινήσει το κακόβουλο λογισμικό, θα σαρώσει όλες τις μονάδες δίσκου για να κρυπτογραφήσει τα αρχεία όπως .doc, .pdf, .jpg κ.λπ. και θα προσθέτει .cerber σε κάθε κρυπτογραφημένο αρχείο. Επιπλέον, μόλις τα αρχεία κρυπτογραφηθούν από το Cerber Ransomware, εμφανίζεται ένα μήνυμα που δηλώνει ότι τα σημαντικά αρχεία, οι φωτογραφίες και η βάση δεδομένων έχουν κρυπτογραφηθεί. Για να γίνει η αποκρυπτογράφηση θα πρέπει να γίνει η αγορά του λογισμικού. Ο χρήστης εάν επιθυμεί να απαλλαγεί από το λογισμικό θα πρέπει να καταβάλει ένα συγκεκριμένο ποσό το οποίο πρέπει να καταβληθεί εντός 7 ήμερών από τη διαδικασία κρυπτογράφησης, διότι το ποσό θα διπλασιαστεί. Τα κρυπτογραφημένα αρχεία δεν μπορούν να ανοιχτούν από κανονικά προγράμματα. Τέλος, το Cerber θεωρείται εξαιρετικά επιβλαβές καθώς διαγράφει τα αντίγραφα όγκου σκιών από τον υπολογιστή προορισμού, έτσι ώστε τα κρυπτογραφημένα αρχεία να μην μπορούν να ανακτηθούν υπό οποιεσδήποτε συνθήκες.

Γενικά

Συμπερασματικά, υπάρχουν διάφοροι τρόποι με τους επιτιθέμενους να επιλέγουν τους οργανισμούς στους οποίους απευθύνονται με το ransomware. Οι επιτιθέμενοι ενδέχεται να απευθύνονται σε πανεπιστήμια επειδή διαθέτουν μικρότερη ασφάλεια και μια διαφορετική βάση χρηστών που κάνει μεγάλη ανταλλαγή αρχείων, καθιστώντας ευκολότερο να διεισδύσουν στην άμυνα τους. Ορισμένοι οργανισμοί είναι δελεαστικοί στόχοι επειδή φαίνεται πιο πιθανό να πληρώσουν λύτρα γρήγορα όπως οι κυβερνητικές υπηρεσίες ή οι ιατρικές εγκαταστάσεις οι οποίες χρειάζονται άμεση πρόσβαση στους φακέλους τους. Είναι υποχρέωση όλων μας να προστατεύσουμε τα προσωπικά μας δεδομένα με κάθε τρόπο και κόστος.

Πηγές:

 https://www.avast.com/c-ransomware

 https://www.avast.com/c-cerber

 https://www.csoonline.com/article/3236183/ransomware/what-is-ransomware-how-it-works-and-how-to-remove-it.html

Η επίθεση DDoS στην τράπεζα HSBC

Η HSBC τράπεζα η οποία εδρεύει στο Λονδίνο ,είναι μια από τις μεγαλύτερες τράπεζες και τραπεζοοικονομίες στο ηνωμένο Βασιλείο αλλά και τέταρτη πιο μεγάλη σε παγκόσμια κατάταξη βάση του 2.6 δις δολαρίων (US dollar) ενεργητικού της .Ιδρύθηκε το 1991 από τον Τόμας Σάδερλαντ με όνομα HSBC ,η οποία τράπεζα προέρχεται από πολλές άλλες μικρότερες στο Χονγκ Χονγκ και στη Σαγκάη που πλέον στο ενεργητικό της απασχολεί περισσότερους από 266 χιλιάδες υπαλλήλους.

Το χρονικό της κυβερνοεκλήματος (cyber attack )

Ήταν 29 Ιανουαρίου του 2016 όταν αρκετοί πελάτες της τράπεζας δεν είχαν πρόσβαση στους τραπεζικούς λογαριασμούς μέσω e-banking,έτσι μια έρευνα ξεκίνησε για την εύρεση του προβλήματος, έρευνες έδειξαν ότι ευθύνεται κάποια επίθεση ηλεκτρονικού τύπου η οποία επίθεση έτυχε να είναι κοντά στις μέρες όπου οι πολίτες έπρεπε αν πληρώσουν φόρους και δάνεια και έπαιρναν τον μισθό ή σύνταξη τους μέσω τραπεζικού λογαριασμού (τέλος του Ιανουαρίου ) και έτσι προκλήθηκε τεράστια αναταραχή στους πελάτες της τράπεζας

Αξίζει να σημειωθεί ότι οι χάκερς δεν κατάφεραν να υποκλέψουν δεδομένα από τη βάση δεδομένων της τράπεζας σχετικά με έγγραφα των πελατών της και ούτε να κλέψουν χρήματα ,αλλά μόνο να προκαλέσουν χάος και εκνευρισμό στους πελάτες της HSBC, αυτό φυσικά ήταν εν μέρη επιτυχία τους συστήματος διασφάλισης της τράπεζας καθώς θεωρήθηκε ως επιτυχία στην αξιοπιστία της αλλά φάνηκε ότι το σύστημα είναι ευάλωτο σε μια DDos επίθεση

Ανάλυση της DDos επίθεσης

Μια Distributed (μοιρασμένη) Denial of Service (DDoS) ,είναι μια επίθεση όπου ο επιτιθέμενος χάκερ,χρησιμοποιεί πολλούς υπολογιστές να ώστε στείλουν αίτημα σύνδεσης μόνο σε ένα server (πχ server της τράπεζας HSBC) ,όπως γνωρίζουμε ένας server δέχεται καθιερωμένο αριθμό αιτημάτων εξυπηρέτησης,(αυτό υπολογίζεται ανάλογα με τον μέσο όρο των εκάστοτε αναγκών καθ οργανισμού ),και σαν αποτέλεσμα έχει να ρίξει - μπλοκάρει αυτό το server για να προκαλέσει χάος στην κάθε εταιρία για μείωση των μετοχών της με σκοπό το συμφέρον τρίτων.Επίσης επιθέσεις DDos γίνονται για ακτιβισμό , εκβιασμό και μερικά “τεσταρίσματα” των ικανοτήτων κάποιων χάκερ για να ανέβουν στην level κοινότητα τους

Γενικά για cyber terrorism ( κυρβενοεπιθέσεις και τρομοκρατία )

Όπως γνωρίζουμε όσο πιο πολλά δεδομένα,ανεβάζει κάποιος χρήστης ή εταιρεία στο ίντερνετ ή λειτουργεί όλο και πιο πολύ με βάση το διαδικτυακό ιστό ,τόσο πιο εύκολα πέφτει θύμα κάποιας κυβερνοεπίθεσης,όπως και οποιοδήποτε οργανισμός - εταιρία ( πχ HSBC). Αξίζει να σημειωθεί ότι οι ειδικοί προειδοποιούν για περισσότερη ασφάλεια γιατί όλο και κάποιος θα βρεθεί να αξιοποιήσει τα κενά ασφάλειας που υπάρχουν είτε αυτός είναι ο οικονομικός σκοπός είτε κάποιας τρομοκρατικής επίθεσης κατά τραπεζών ή δημόσιων υπηρεσιών

https://el.wikipedia.org/wiki/HSBC

http://www.bbc.com/news/business-35438159

http://www.wired.co.uk/article/ddos-attacks-uk-report https://study.com/academy/lesson/what-is-cyber-terrorism-definition-cases-examples.html

http://www.mononews.gr/business/bsnm-salos-sti-vretania-giati-hsbc-vazi-louketo-se-117-katastimata-tis

https://www.checkmarx.com/2016/05/04/cyber-terrorism-real-threat-2/

https://www.pcmag.com/article2/0,2817,2330369,00.asp https://translate.google.gr/translate?hl=el&sl=en&u=https://en.wikipedia.org/wiki/Denial-of-service_attack&prev=search

Το ILOVEYOU γνωστό και ως Love Letter ή Love Bug είναι ένα computer worm το οποίο εμφανίστηκε στις 5 Μαίου του 2000 και ήταν η αιτία να μολυνθούν δεκάδες εκατομμύρια υπολογιστών που χρησιμοποιούσαν λογισμικό Windows. Ο ιός αποδειχθήκε καταστρεπτικός καθώς αντικαθιστούσε αρχεία τα οποία θα μπορούσαν να είναι αρχεία συστήματος με αποτέλεσμα να αχρηστεύει τον υπολογιστή.

Το ILOVEYOU μεταδόθηκε μέσω Email με θέμα “ILOVEYOU” και ενα αρχείο με όνομα “LOVE-LETTER-FOR-YOU.TXT.vbs” αλλά λόγο των ρυθμίσεων των Windows εκείνης της εποχής που από default έκρυβαν extensions, το “.vbs” δεν ηταν ορατό με αποτέλεσμα πολλοί άπειροι χρήστες να ανοίγουν το αρχείο και να μολύνουν τον υπολογιστή τους. To worm ήταν γραμμένο σε Microsoft Visual Basic Scripting(VBS) το οποίο έτρεχε σε Microsoft Outlook. Μόλις κάποιος άνοιγε το αρχείο το script ξεκινούσε να τρέχει και το worm αντέγραφε τον εαυτό μέσα στον υπολογιστή του χρήστη αντικαθιστώντας αρχεία πολλών τύπων (JPG, PNG, MP3, CSS κ.α) καθώς επίσης έστελνε μια αντιγραφή του αρχικού worm σε όλες τις επαφές του χρήστη στο Microsoft Outlook δίνοντας έτσι τη δυνατότητα στον ιό να μολύνει και άλλους χρήστες και να πολλαπλασιαστεί με τεράστιους ρυθμούς.Το γεγονός ότι το worm ηταν γραμμένο σε VBS έδωσε τη δύναμη σε πολλούς χρήστες να τροποποιήσουν τον ιό με αποτέλεσμα κάποιοι να μπορέσουν εύκολα να το κάνουν να στοχοποιεί σημαντικά αρχεία στο σύστημα, να τα αντικαθιστά και ως αποτέλεσμα να το καταστρέφει.

Λόγο του τεράστιου ρυθμού μετάδοσης του ιού υπολογίζετε πως μόλις μέσα σε δέκα μέρες είχε καταφέρει να μολύνει το 10% των υπολογιστών σε όλο το κόσμο. Η απειλή ήταν τόσο μεγάλη που το Πεντάγωνο, η CIA και πολυ μεγάλες εταιρίες αναγκάστηκαν να αποσυνδέσουν τα mailing systems τους για να αποτρέψουν τυχόν μόλυνση. Το κόστος των ζημειών που προκλήθηκαν από το worm έφτασαν τα 8 δισεκατομμύρια δολάρια σε όλο το κόσμο και το κόστος για την αφαίρεση του τα 15 δισεκατομμύρια δολάρια.

Το worm δημιουργήθηκε από δύο φιλιππινέζους προγραμματιστές τους Reonel Ramones και Onel de Guzman οι οποίοι τελικά δε κατηγορηθήκαν για τίποτα, καθώς τότε στις Φιλιππίνες δεν υπήρχε κάποιος νόμος που να απογόρευε να γράφεις κακόβουλο λογισμικό. Το 2002, το ILOVEYOU έλαβε ένα παγκόσμιο ρεκόρ ως ο πιο μολυσματικός ιός εκείνης της εποχής.

Πηγες:

https://www.hongkiat.com/blog/famous-malicious-computer-viruses/

http://malware.wikia.com/wiki/ILoveYou#Transmission

https://en.wikipedia.org/wiki/ILOVEYOU

https://www.computerhope.com/vinfo/iloveyou.htm

Το 1988, φοιτητής ακόμα στο Πανεπιστήμιο Cornell, ο Robert Tappan Morris δημιούργησε το Morris Worm. Το Μοrris Worm είναι ο πρώτος αυτοαναπαραγόμενος ιός και εκτέθηκε στο ίντερνετ για να τσεκάρει, όπως δήλωσε, πόσο βαθιά πηγαίνει η “τρύπα” του internet. Μια υποτιθέμενη ανεπιθύμητη συνέπεια του κώδικα, ωστόσο, την προκάλεσε να είναι πιο επιζήμια: ένας υπολογιστής θα μπορούσε να μολυνθεί πολλές φορές και κάθε πρόσθετη διαδικασία θα επιβραδύνει τη μηχανή προς τα κάτω, τελικά σε σημείο να είναι άχρηστη.

Ο ιός τύπου worm θα μπορούσε να καθορίσει εάν θα εισβάλει σε νέο υπολογιστή ερωτώντας αν υπήρχε ήδη ένα αντίγραφο. Αλλά απλά αυτό θα το έκανε εύκολο να σταματήσει, καθώς οι διαχειριστές θα μπορούσαν απλώς να τρέξουν μια διαδικασία που θα απαντούσε "ναι" όταν ρωτήθηκε αν υπήρχε ήδη ένα αντίγραφο και το worm θα έμενε μακριά. Για να αντισταθμίσει αυτή τη δυνατότητα, ο Morris στρέφει τον ιό να αντιγράψει τον εαυτό του, ακόμα κι αν η απάντηση είναι "ναι", 1 στις 7 φορές. Αυτό το επίπεδο αντιγραφής αποδείχθηκε υπερβολικό και το worm εξαπλώθηκε γρήγορα, μολύνοντας μερικούς υπολογιστές πολλές φορές. Αναφέρεται ότι περίπου 6.000 μεγάλες μηχανές UNIX μολύνθηκαν από τον ιό τύπου Morris.  Το κόστος των ζημιών ήταν 100.000-10.000.000 δολάρια.

Το Διαδίκτυο χωρίστηκε για αρκετές ημέρες, καθώς τα περιφερειακά δίκτυα αποσυνδέθηκαν από τη ραχοκοκαλιά του NSFNet και μεταξύ τους για να αποφευχθεί η εκ νέου μόλυνση καθώς καθαρίζονται τα δικά τους δίκτυα. Ο ιός τύπου Morris ώθησε το DARPA να χρηματοδοτήσει την ίδρυση της CERT στο πανεπιστήμιο Carnegie Mellon για να δώσει στους ειδικούς ένα κεντρικό σημείο για τον συντονισμό των απαντήσεων σε καταστάσεις έκτακτης ανάγκης του δικτύου.

Ο Morris καταδικάστηκε για το εξ αμελείας έγκλημά του, σε 400 ώρες κοινωνικής εργασίας και πρόστιμο ύψους 10.000 δολαρίων.Επίσης, κατέληξε στην πρώτη καταδίκη κακουργήματος στις ΗΠΑ στο πλαίσιο του νόμου περί απάτης και κατάχρησης των υπολογιστών του 1986. Σήμερα είναι καθηγητής στο MIT (από το 2006), ενώ ο κώδικας του ιού του εκτίθεται αποθηκευμένος σε μία ολόμαυρη δισκέτα των 3,5 ιντσών στο Μουσείο Επιστημών της Βοστώνης.

ΒΙΒΛΙΟΓΡΑΦΙΑ

https://limn.it/the-morris-worme

https://en.wikipedia.org/wiki/Morris_worm

http://www.in2life.gr/features/notes/article/212308/hackers-oi-theamatikoteres-epitheseis-olon-ton-epohon.html

https://el.wikipedia.org/wiki/Unix

https://www.cert.org/

https://www.darpa.mil/

Στις 24 Νοεμβρίου του 2014,μία ομάδα απο χάκερς με την ονομασία "Guardians of Peace" (GOP),απέκτησαν πρόσβαση και διέρευσαν πολλά εμπιστευτικά αρχεία από την εταιρεία παραγωγής ταινιών "Sony Pictures".Τα αρχεία αυτά περιελάμβαναν πολλές προσωπικές πληροφορίες των υπαλλήλων και των οικογενειών τους,της Sony Pictures,πολλά e-mails μεταξύ των υπαλλήλων της εταιρείας,πληροφορίες σχετικά με τους μισθούς των εκτελεστικών στελεχών της εταιρείας και αντίγραφα απο τις τότε ακυκλοφόρητες παραγωγές της εταιρείας.Οι δράστες της συγκεκριμένης επίθεσης χρησιμοποίησαν στην συνέχεια μια παραλλαγή του κακόβουλου λογισμικού Shamoon για την διαγραφή των υποδομών και των πόρων των υπολογιστών της Sony.Toν Νοέμβριο του 2014 η ομάδα GOP απαίτησε απο την Sony να μην κυκλοφορήσει στους κινηματογράφους την ταινία "The Interview" η υπόθεση της οποίας πραγματεύονταν την δολοφονία του προέδρου της βόρειας κορέας Kim Jong-un,απειλώντας παράλληλα για πιθανές τρομοκρατικές επιθέσεις σε κινηματογράφους που θα γινόταν η προβολή.Αξιψματούχοι των Ηνωμένων Πολιτειών της Αμερικής μετά απο έρευνα που πραγματοποίησαν στο λογισμικό,στο δίκτυο και στις τεχνικές που χρησιμοποιήθηκαν γι'αυτήν την επίθεση,υποστήριξαν πως η επίθεση χρηματοδοτήθηκε απο την Βόρεια Κορέα.Βεβαίως το κράτος αρνήθηκε κάθε κατηγορία και ευθύνη.

Πληροφορίες

H ακριβής χρονική διάρκεια της επίθεσης θεωρείται ακόμα άγνωστη,παρόλλα αυτά οι ερευνητές των Ηνωμένων Πολιτειών της Αμερικής ισχυρίστηκαν πως οι δράστες πέρασαν τουλάχιστον δυο μήνες αντιγράφοντας αρχεία και πληροφορίες.Ένα υποτιθέμενο μέλος της Guardians of Peace υποστήριξε πως η ομάδα είχε πρόσβαση στίς ηλεκτρονικές βάσεις της εταιρείας τουλάχιστον για έναν χρόνο πριν τους ανακαλύψουν.Οι εμπλεκόμενοι χάκερς ισχυρίζονται πως έχουν υποκλέψει απο την Sony περισσότερα απο 100 terabytes δεδομένων απο την εταιρεία,όμως αυτός ο ισχυρισμός δεν επιβεβαιώθηκε ποτέ μέχρι και σήμερα.Η επίθεση πραγματοποιήθηκε χρησιμοποιώντας ένα malware(κακόβουλο λογισμικό).Επίσης ένα εργαλείο σκουλήκι(Worm Tool) με το όνομα Server Message Block (SMB).Επιπρόσθετα εργαλεία που χρησιμοποίησαν στην επίθεση ηταν,ένα εμφύτευμα ηχογράφησης,backdoor,proxy tool και ένα εργαλείο καταστροφής σκληρού δίσκου.Οι προθέσεις της ομάδας χάκερ ήταν να αποκτήσουν επανηλημμένες εισόδους,εξάγωντας πληροφορίες δίχως να αφήσουν οποιοδήποτε ηλεκτρονικό αποτύπωμα.

Γεγονότα

• Οι χάκερ χρησιμοποίησαν διακομιστές υπολογιστών στη Βολιβία, την Κύπρο, την Ιταλία, την Πολωνία, τη Σιγκαπούρη, την Ταϊλάνδη και τις Ηνωμένες Πολιτείες

• Οι διευθύνσεις IP που σχετίζονται με αυτούς τους διακομιστές έχουν συνδεθεί [προηγουμένως] με τη Βόρεια Κορέα από το FBI.

• Το κακόβουλο λογισμικό που χρησιμοποιήθηκε εναντίον της Sony είχε αυτό που ο FBI ονομάζει "γραμμές κώδικα" και "διαγραφή δεδομένων", παρόμοιες με τις κακόβουλες εφαρμογές βορειοκορεατών.

• Το λογισμικό σκουπίσματος υπολογιστών που χρησιμοποιήθηκε εναντίον της Sony χρησιμοποιήθηκε επίσης σε μια επίθεση του 2013 εναντίον των τραπεζών της Νότιας Κορέας και των ειδησεογραφικών εταιρειών, τα οποία το FBI κατηγόρησε την Βόρεια Κορέα.

• Το κακόβουλο λογισμικό κατασκευάστηκε σε υπολογιστές που έχουν κορεατική γλώσσα - ασυνήθιστο στον κόσμο του hacking.

Παραπομπές

https://en.wikipedia.org/wiki/Sony_Pictures_hack

http://money.cnn.com/2014/12/24/technology/security/sony-hack-facts/

Το Stuxnet είναι ένας υιός προγραμματισμένος για κυβερνοεπίθεση εθνικού επίπεδου. Πρώτη καταγραφή εμφάνισης του υιού έγινε το 2010 από την Kaspersky στα Kaspersky Lab και το Vba32 Antivirus. Ο Βrian Krebs ήταν από τους πρώτους που έγραψαν για αυτό (αναφορά στο Blog) και γνωστοποιήθηκε στο κοινό. Ονομάστηκε ‘W32.Temphid’ από την Symantec αλλά τελικά κατέληξαν στο Stuxnet ως συνδυασμός από keywords του κώδικα (.STub&mrXNET.sys). Στόχος του Stuxnet είναι συστήματα SCADA και η πρόκληση ζημιάς στο πυρηνικό πρόγραμμα του Ιράν. Παρόλο που καμία χωρά δεν πηρέ την ευθύνη, πιστεύεται πως το Stuxnet αποτελεί συν δημιούργημα της Αμερικής και του Ισραήλ.
Το Stuxnet προσβάλει τους υπολογιστές ελέγχου του πυρηνικού προγράμματος του Ιράν, ελέγχοντας τα PLC( Programmable Logic Controllers) και άρα έχει τον έλεγχο των αυτοματοποιημένων συστημάτων παραγωγής. Ο υιός λειτουργεί και προσβάλει συστήματα με λειτουργικό των Windows αναζητώντας συγκεκριμένο λογισμικό της Siemens, που ελέγχει αντίστοιχα μηχανήματα. Το Stuxnet έχει κατασκευαστεί ώστε να είναι επιλεκτικό στην δράση του και ταυτόχρονα την αδράνειά του σε συστήματα που δεν είναι στόχος του, χρησιμοποιεί zero-days που του επιτρέπει ταχύτατη μετάδοση. Ο τρόπος με τον οποίο γίνεται η διάδοση του υιού αρχικά μέσω μολυσμένου USB και υστέρα μέσω 4 Zero-Days attacks είναι αρκετά ασυνήθιστος συνδυασμός. Μέσω vulnerabilities όπως RemoteProcedureCall και CPLINK διαδίδεται και σε άλλα συστήματα PeerToPeer που δεν είναι συνδεδεμένα στο διαδίκτυο.
Αποτελείται από 3 μέρη, ένα worm υπεύθυνο για την κύρια ζημιά της επιθετικής δράσης, ένα αρχείο Link για την αναπαραγωγή και μετάδοση του υιού και ένα rootkit το οποίο προστατεύει και συγκαλύπτει τον υιό και την ενέργειά του στο σύστημα.
Ειδικότερα το Stuxnet είναι πολύ ακριβές στον χειρισμό και την επιλογή των PLC που ελέγχει, έτσι ώστε με τις κατάλληλες ρυθμίσεις να κάνει τα συστήματα να αυτοκαταστρέφονται, κάτι που αρχικά δεν είναι εμφανής ένδειξη της προσβολής από υιό. Κατάφερε να προσβάλει τουλάχιστον 200.000 συστήματα και να βλάψει 1000 από αυτά με φυσικό τρόπο. Κριτήριο των PLC ήταν να έχουν λογισμικό Step7 (Λογισμικό ελέγχου της Siemens), οπού μέσω μιας κύριας βιβλιοθήκης επικοινωνίας (s7otbxdx.dll) ο υιός προσβάλει τα αρχεία προβολής / αποτελέσματα με αποτέλεσμα να παραμένει κρυφός σε πιθανό έλεγχο. Όταν ήταν κατάλληλες οι συνθήκες το πρόγραμμα ρύθμιζε την συχνότητα και την ταχύτητα των συνδεδεμένων συστημάτων. Ενώ ταυτόχρονα διαβάζει και επαναλαμβάνει ‘σωστές’ μετρήσεις των οργάνων ώστε η δράση του να παραμένει κρυφή. Ως αποτέλεσμα η συστηματική καταστροφή τους φαινομενικά από αστοχία του υλικού.
Τέλος η Siemens έχει εκδώσει ένα πρόγραμμα για την αφαίρεση του Stuxnet όμως σύμφωνα με ειδικούς η διαδικασία αφαίρεσης μπορεί να είναι περίπλοκη καθώς το Stuxnet επαναπρογραμματίζει τα PLC άρα μπορεί να προκληθεί ζημιά αν αφαιρεθεί λανθασμένα.
Πηγες

https://arstechnica.com/tech-policy/2016/02/massive-us-planned-cyberattack-against-iran-went-well-beyond-stuxnet/

https://www.forbes.com/2010/10/06/iran-nuclear-computer-technology-security-stuxnet-worm.html#48b3f15251e8

https://en.wikipedia.org/wiki/Stuxnet

Η διακοπή του PlayStation Network (PSN) το 2011 ήταν αποτέλεσμα μίας κυβερνοεπίθεσης σε αυτό και στις υπηρεσίες Qriocity (προφέρεται όπως το curiocity και είναι η εταιρική επωνμία για τις υπηρεσίες της Sony για την ζωντανή μετάδοση μουσικής, παιχνιδιίων και βίντεο κατ' όπιν παραγγελίας), μέσω της οποίας προσωπικά στοιχεία απο περίπου 77 εκατομμύρια λογαριασμούς εκτέθηκαν σε κίνδυνο και απέτρεπε στους χρήστες του Playstation 3 και του Playstation Portable να συνδεθούν στις υπηρεσίες της Sony.
Η επίθεση αυτή συνέβει απο τις 17 Απριλίου μέχρι τις 19 Απριλίου του 2011, αναγκάζοντας την Sony να κλείσει το Playstation Network στις 20 Απριλίου.Στις 4 Μαϊου η Sony επιβεβαίωσε οτι τα προσωπίκα στοιχεία για το κάθε ένα απο τα 77 εκατομμύρια λογαριασμούς είχαν εκτεθεί και η διακοπή παροχής υπηρεσιών της Sony διήρκησε 23 μέρες. Κατα την διάρκεια της διακοπής, με την καταμέτρηση 77 εκατομμυρίων εγγεγραμμένων λογαριασμών στο Playstation Network, ανακυρήχθηκε μια απο τις μεγαλύτερες παραβίασεις δεδομένων στην ιστορία. Οι αξιωματούχοι των κυβερνήσεων απο δίαφορες χώρες εξέφρασαν τις ανηχύχιες τους για την κλοπή όπως επισής και για την καθυστέριση μίας εβδομάδας προτού η Sony ενημερώσει τους χρήστες της για την επίθεση.
Η Sony δήλωσε στις 26 Απριλίου οτι προσπάθησε να επαναφέρει τις διαδικτυακές υπηρεσίες της σε λειτουργία μέσα σε μία εβδομάδα.Στις 14 Μαϊου, η Sony κυκλοφόρησε την ενημερωμένη έκδοση κώδικα ασφαλείας 3.61 για το Playstation 3.Το λογισμικό αυτό απαιτούσε από τους χρήστες να αλλάξουν τον κωδικό τους, όμως το δίκτυο της Sony ήταν ακόμα εκτός λειτουργίας.Η αποκατάσταση του δικτύου ανακοινώθηκε αργότερα από τον Kazuo Hirai μέσω βίντεο.
Η Sony δέχθηκε άσχημη κριτική καθώς επίσης και πρόστιμα όπως αυτό του Βρετανικού Γραφείου Επιτρόπων Πληροφοριών ([1]) ύψους 250.000 λίρων.

• https://en.wikipedia.org/wiki/2011_PlayStation_Network_outage

Η Tesco Bank είναι μία βρετανική τράπεζα που δημιουργήθηκε το 1997 και από το 2008 ανήκει εξ ολοκλήρου στην Tesco plc. Η ίδρυση της έγινε από την Royal Bank of Scotland και από την Tesco, η οποία είναι η μεγαλύτερη αλυσίδα σουπερμάρκετ στο Ηνωμένο Βασίλειο. Αργότερα, η Tesco απέκτησε μετοχικό κεφάλαιο της Royal Bank of Scotland, με αποτέλεσμα η τράπεζα να γίνει θυγατρική που της ανήκει εξ ολοκλήρου. Η τράπεζα διαθέτει περίπου 7 εκατομμύρια λογαριασμούς ενώ κατέκτησε την τρίτη θέση στα βραβεία της British Bank με θέμα την ικανοποίηση των πελατών. Το 2016 η Tesco Bank αποκάλυψε ότι δέχθηκε διαδικτυακή επίθεση με αποτέλεσμα να χάσει 2.5 εκατομμύρια λίρες. Αυτά τα λεφτά κλάπηκαν από 40000 λογαριασμούς ενώ στόχος της επίθεσης ήταν τα λεφτά και όχι κλοπή προσωπικών δεδομένων όπως σε παρόμοια περιστατικά. Παρόλα αυτά τις επιβλήθηκε μεγάλο πρόστιμο γιατί δεν κατάφερε να σταματήσει τα προσωπικά δεδομένα των πελατών της τα οποία είχαν πειραχτεί. Ο Benny Higgins, διευθύνων σύμβουλος της Tesco Bank, ζήτησε συγνώμη στους πελάτες. ‘Η πρώτη μας προτεραιότητα σε όλο αυτό το περιστατικό προστατεύει και φροντίζει τους πελάτες μας και θα θέλαμε να ζητήσουμε συγγνώμη για την ανησυχία και την ταλαιπωρία που προκάλεσε αυτό το θέμα. Έχουμε πλέον επιστρέψει όλους τους λογαριασμούς πελατών που επηρεάστηκαν από την απάτη και αναιρέσαμε την αναστολή των online χρεωστικών συναλλαγών, έτσι ώστε οι πελάτες να μπορούν να χρησιμοποιούν τους λογαριασμούς τους κανονικά’.

• https://www.welivesecurity.com/2016/12/30/biggest-security-incidents-2016/
• https://www.theguardian.com/business/2016/nov/08/tesco-bank-cyber-thieves-25m
• http://www.bbc.com/news/technology-37896273
• http://www.independent.co.uk/news/business/news/tesco-bank-accounts-suspended-transactions-access-frozen-hack-money-la-a7402006.html

Υπεύθυνοι για το εξής περιστατικό φαίνεται να ήταν μια ομάδα Ρώσσων hacker που, όπως αποκαλύφθηκε το 2015, κατάφεραν μέσω της χρήσης malware να κλέψουν τεράστια χρηματικά ποσά από διάφορες τράπεζες παγκοσμίως. Συγκεκριμένα η αποκάληψη έγινε από την Kaspersky Lab, μια εταιρεία κυβερνοασφάλειας με έδρα τη Μόσχα, και αναφέρθηκε πως μια διεθνή ομάδα από hacker υπέκλεψε συνολικά ένα δισεκατομμύριο από εκατό τράπεζες μεταξύ τριάντα χωρών εγκαθιστώντας στο σύστημα τους ένα malware που τους επέτρεπε να ελέγχουν τις εσωτερικές λειτουργίες των τραπεζών. Η όλη διαδίκασία φαίνεται να ξεκίνησε το 2013 όταν οι hackers εγκαθιστώντας το malware σε ένα σύστημα παρακολουθούσαν τους υπαλλήλους της τράπεζας για μήνες προκειμένου να παρατηρήσουν τις κινήσεις που έκαναν και να μάθουν κατά αυτό τον τρόπο πως να χρησιμοποιήσουν οι ίδιοι το σύστημα για να απομακρύνουν χρηματικά ποσά σε κάποιο λογαριασμό. Έμαθαν να ελέγχουν τόσο καλά τα συστήματα της τράπεζας που κατάφεραν να ζημιώσουν μια τράπεζα με το ποσό των 7,3 εκατομμυρίων μόνο από τα μηχανήματα ΑΤΜ ελέγχοντάς τα από απόσταση. Γενικά τα ποσά που απομάκρυναν από κάθε τράπεζα είναι από 2,5 μέχρι δέκα ακατομμύρια. Για να αποφύγουν τον κίνδυνο να γίνουν αντιλυπτοί δεν ξεπερνούσαν το παραπάνω ποσό. (to be continued)

Το Shamoon , είναι ένας σπονδυλωτός ιός υπολογιστών που ανακαλύφθηκε από τη Seculert το 2012, με στόχο τον πυρήνα NT 32 bit που βασίζεται σε εκδόσεις των Microsoft Windows . Ο ιός έχει παρατηρηθεί ότι έχει συμπεριφορά που διαφέρει από άλλες επιθέσεις malware, λόγω της καταστρεπτικής φύσης και του κόστους της επίθεσης και της ανάκαμψης. Ο αμερικανός υπουργός Άμυνας Leon Panetta χαρακτήρισε την επίθεση ως "Cyber ​​Pearl Harbour" χρόνια αργότερα ως το «μεγαλύτερο χακάρισμα στην ιστορία» στον κυβερνοχώρο. Το Shamoon μπορεί να εξαπλωθεί από μολυσμένο μηχάνημα σε άλλους υπολογιστές του δικτύου. Μόλις μολυνθεί ένα σύστημα, ο ιός συνεχίζει να καταρτίζει μια λίστα αρχείων από συγκεκριμένες τοποθεσίες του συστήματος, να τα ανεβάζει στον εισβολέα και να τα διαγράψει. Τέλος, ο ιός αντικαθιστά την κύρια εγγραφή εκκίνησης του μολυσμένου υπολογιστή, καθιστώντας τον ακατάλληλο. H ΕΠΙΘΕΣΗ Tο κακόβουλο λογισμικό ήταν μοναδικό και χρησιμοποιήθηκε για να στοχεύσει τη Σαουδική κυβέρνηση, προκαλώντας καταστροφή στην κρατική πετρελαϊκή εταιρεία Saudi Aramco. Η επίθεση ήταν καλά οργανωμένη, σύμφωνα με τον Chris Kubecka , πρώην σύμβουλο ασφάλειας στη Saudi Aramco μετά την επίθεση και τον αρχηγό της ομάδας ασφαλείας για την Aramco Overseas. Ήταν ένας ανώνυμος υπάλληλος της Saudi Aramco στην ομάδα τεχνολογίας πληροφοριών που άνοιξε ένα κακόβουλο email phishing, επιτρέποντας την αρχική είσοδο στο δίκτυο υπολογιστών γύρω στα μέσα του 2012. Στις 15 Αυγούστου 2012 στις 11:08 π.μ. τοπική ώρα, ξεκίνησαν πάνω από 30.000 συστήματα με Windows. Η Symantec διαπίστωσε ότι ορισμένα από τα επηρεαζόμενα συστήματα είχαν την εικόνα αμερικανικής σημαίας ενώ τα δεδομένα διαγράφηκαν και αντικαταστάθηκαν. Η Saudi Aramco ανακοίνωσε την επίθεση στη σελίδα τους στο Facebook και έμεινε εκτός σύνδεσης μέχρι να εκδοθεί μια δήλωση επιχείρησης στις 25 Αυγούστου 2012. Ωστόσο, ένας δημοσιογράφος της Μέσης Ανατολής διέρρευσε φωτογραφίες που ελήφθησαν την 1η Σεπτεμβρίου 2012 παρουσιάζοντας χιλιόμετρα βενζινοκίνητων φορτηγών που δεν μπορούν να φορτωθούν λόγω υποστηριζόμενων επιχειρησιακών συστημάτων που εξακολουθούν να είναι Το κακόβουλο λογισμικό είχε μια λογική βόμβα που πυροδότησε το κύριο αρχείο εκκίνησης και τα δεδομένα σκουπίζοντας το ωφέλιμο φορτίο στις 11:08 τοπική ώρα την Τετάρτη, 15 Αυγούστου. Η επίθεση συνέβη κατά τη διάρκεια του μήνα του Ραμαζανιού το 2012. Φαίνεται ότι η επίθεση έγινε αφού το μεγαλύτερο μέρος του προσωπικού είχε πάει για διακοπές μειώνοντας έτσι την πιθανότητα ανακάλυψης πριν προκληθούν οι μέγιστες ζημιές, παρεμποδίζοντας την ανάκαμψη. Το Shamoon χρησιμοποιεί διάφορα στοιχεία για να μολύνει τους υπολογιστές. Το πρώτο στοιχείο είναι ένα σταγονόμετρο, το οποίο δημιουργεί μια υπηρεσία με το όνομα 'NtsSrv' για να παραμείνει επίμονη στον μολυσμένο υπολογιστή. Διαδίδεται σε ένα τοπικό δίκτυο αντιγράφοντας τον σε άλλους υπολογιστές και θα αποθέσει επιπλέον στοιχεία σε μολυσμένους υπολογιστές. Το σταγονόμετρο έρχεται σε εκδόσεις 32-bit και 64-bit. Εάν το dropper 32-bit ανιχνεύσει μια αρχιτεκτονική 64-bit , θα πέσει η έκδοση 64 bit. Το κακόβουλο λογισμικό περιέχει επίσης ένα στοιχείο σκουπίσματος δίσκου , το οποίο χρησιμοποιεί ένα πρόγραμμα οδήγησης Eldos που είναι γνωστό ως RawDisk για να επιτύχει άμεση πρόσβαση σε κατάσταση λειτουργίας χρήστη σε σκληρό δίσκο χωρίς να χρησιμοποιεί API των Windows. Το στοιχείο αντικαθιστά αρχεία με τμήματα μιας εικόνας. η επίθεση του 2012 χρησιμοποίησε μια εικόνα μιας καυτής σημαίας των ΗΠΑ, ενώ η επίθεση του 2016 χρησιμοποίησε μια φωτογραφία του σώματος του Alan Kurdi. Το Shamoon έκανε την εκπληξή του και ξαναεμφανίστηκε το Νοέμβριο του 2016 σύμφωνα με τη Symantec συμμετέχοντας σε νέα κυβερνοεπίθεση στις 23 Ιανουαρίου 2017.

https://en.wikipedia.org/wiki/Shamoon

Γενική Αναφορά

Ο ιός Melissa αποτελεί έναν τύπο ιού, ο οποίος βασίζεται στις μακρο-εντολές που εμπεριέχονται και χρησιμοποιούν άλλα προγράμματα, κατά την εκτέλεση τους. Οι ιοί αυτού του τύπου, αναπτύσσονται σε γλώσσα μακρο-εντολών και με αυτόν τον τρόπο εκτελούνται χωρίς την συγκατάθεση του ατόμου που χειρίζεται τον ηλεκτρονικό υπολογιστή, απλά με το άνοιγμα ενός αρχείου (για παράδειγμα Microsoft Word). Ο ιός Melissa, αναπτύχθηκε το 1999, από τον David L. Smith στο New Jersey και παρόλο την εκτενή εξάπλωση του, ήταν μικρή η επιρροή του στην ορθή λειτουργία των υπολογιστικών συστημάτων, που όμως εν συνεχεία ζημίωσαν την παγκόσμια βιομηχανία εκατοντάδες εκατομμύρια δολάρια.

Τρόπος Λειτουργίας

Ο ιός Melissa εξαπλώνεται με την αποστολή αρχείων του Microsoft Word, μέσω του ηλεκτρονικού ταχυδρομείου. Αρχικά, το θύμα, λαμβάνει ένα αρχείο τύπου ".doc", όπου περιέχει ιστοσελίδες πορνογραφικού περιεχομένου και το οποίο βρίσκεται συνημμένο στο μολυσμένο email από το θύτη. Το email αυτό, επιδεικνύει πως είναι απόρρητο και να μην αναγνωστεί από οποιονδήποτε άλλο χρήστη. Όταν ο χρήστης κάνει λήψη του αρχείου και το εκτελεί, ο ιός ελέγχει τις εγγραφές στο Windows Registry, το οποίο αποτελεί μία βάση δεδομένων με πληροφορίες και δεδομένα για όλα τα λογισμικά που εκτελούνται στο σύστημα, για την ύπαρξη εγγραφής σχετικά με τον ιό Melissa. Στην περίπτωση που υπάρχει σχετική εγγραφή, ο ιός δεν εκτελείται, ενώ σε αντίθετη περίπτωση, ο ιός στέλνει το ίδιο μολυσμένο email, σε άλλους 50 χρήστες από τον κατάλογο επαφών του θύματος του Microsoft Outlook. Ο ιός αυτός, κατά την εκτέλεση του, επηρεάζει και το αρχικό πρότυπο των εγγράφων του Microsoft Word, με αποτέλεσμα, ο χρήστης άθελα του, να δημιουργεί και να διαμοιράζει και ο ίδιος μολυσμένα αρχεία σε τρίτα πρόσωπα, μέσω την αποστολή email και τα οποία email, πιθανώς, να εμπεριέχουν ευαίσθητα δεδομένα. Ο ιός αυτός στάθηκε εμπόδιο στην λειτουργία των προγραμμάτων της Microsoft, με αποτέλεσμα η ίδια η εταιρία, να αναγκαστεί να αναστείλει την λειτουργία των εισερχόμενων email, έως ότου αποκατασταθεί το κενό ασφαλείας.

Αποτέλεσμα Της Μόλυνσης

Ο ιός Melissa, δεν είχε σκοπό να υποκλέψει οποιαδήποτε ευαίσθητη πληροφορία των μολυσμένων χρηστών, ούτε να δημιουργήσει πάσης φύσεως προβλήματα στους υπολογιστές τους. Αυτό που επιδίωκε, ήταν να δημιουργήσει επίθεση άρνησης υπηρεσιών (DDos Attack), κατά την οποία ένα υπολογιστικό σύστημα που λειτουργεί ως εξυπηρετητής δεν έχει τη δυνατότητα να εξυπηρετήσει άλλες συνδέσεις, δηλαδή άλλους πιθανούς πελάτες. Ο σκοπός, ο οποίος φάνηκε εκ του αποτελέσματος, ήταν να επηρεάσει τη λειτουργία των εταιριών και το οποίο κατάφερε, αφού ως αποτέλεσμα της συγκεκριμένης μόλυνσης, ήταν πολλές εταιρίες στο χώρο της πληροφορικής, να σταματήσουν την λειτουργία των εξυπηρετητών τους, μέχρι την εξάλειψη της μόλυνσης.

Βιβλιογραφία

http://searchsecurity.techtarget.com/definition/Melissa-virus

https://en.wikipedia.org/wiki/Macro_virus

http://malware.wikia.com/wiki/Melissa

https://el.wikipedia.org/wiki/%CE%95%CF%80%CE%B9%CE%B8%CE%AD%CF%83%CE%B5%CE%B9%CF%82_%CE%AC%CF%81%CE%BD%CE%B7%CF%83%CE%B7%CF%82_%CF%85%CF%80%CE%B7%CF%81%CE%B5%CF%83%CE%B9%CF%8E%CE%BD