ΑΝΑΣΚΟΠΗΣΗ ΑΠΕΙΛΩΝ · AUDAX THREAT INTELLIGENCE TEAM

Δημοσιεύθηκε αρχικά Μάιος 2017. Πλήρης επικαιροποίηση Μάιος 2026.

Γιατί επιστρέφουμε σε μια επίθεση του 2017

Στις 12 Μαΐου 2017, η κυβερνοασφάλεια έπαψε να είναι θέμα IT και έγινε θέμα διοικητικού συμβουλίου. Σε λιγότερο από 24 ώρες, το WannaCry ransomware είχε μολύνει πάνω από 230.000 υπολογιστές σε 150 χώρες, με συνολικές ζημιές που εκτιμήθηκαν στα 4 δισ. δολάρια. Εννέα χρόνια μετά, το WannaCry συνεχίζει να έχει σημασία, όχι ως ενεργή απειλή, αλλά ως μελέτη περίπτωσης για τα 2.122 ransomware θύματα που καταγράφηκαν δημόσια μόνο στο πρώτο τρίμηνο του 2026. Πολλά από τα διδάγματα του 2017 παραμένουν αναπάντητα. Άλλα έχουν εξελιχθεί σε εντελώς διαφορετικές μορφές απειλής.

Στην Audax Cybersecurity, παρακολουθούμε αυτή την εξέλιξη από την πρώτη ώρα. Το brAIn, η σημερινή Adversary Intelligence Platform μας, γεννήθηκε από τη δουλειά που ξεκίνησε με το WannaCry: τεχνική ανάλυση κακόβουλου λογισμικού, εξαγωγή IOCs, χαρτογράφηση υποδομής, απόδοση επίθεσης.

Τι έδειξε το WannaCry το 2017

Σε αντίθεση με το ransomware που είχαμε δει μέχρι τότε, το WannaCry συνδύασε:

Αυτοδιαδιδόμενη διάδοση τύπου worm. Δεν χρειαζόταν phishing email. Εκμεταλλεύτηκε το CVE-2017-0144 (EternalBlue), εργαλείο της NSA που είχε διαρρεύσει από τους Shadow Brokers τον Απρίλιο 2017, και διαδιδόταν αυτόματα σε εταιρικά δίκτυα μέσω της θύρας SMBv1 (445).

Έκθεση κρίσιμων υποδομών. Το Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου (NHS) ήταν το πιο ορατό θύμα, 80 νοσοκομεία επλήγησαν, ασθενοφόρα ανακατευθύνθηκαν, εκλεκτικές χειρουργικές ακυρώθηκαν. Οι μολυσμένοι νοσοκομειακοί οργανισμοί κατέγραψαν 6% πτώση εισαγωγών ασθενών στη διάρκεια της εβδομάδας, συνέπειες που ξεπερνούν την ψηφιακή ζημιά.

Καθυστέρηση εφαρμογής patches. Η ενημέρωση MS17-010 ήταν διαθέσιμη από τον Μάρτιο 2017, δύο μήνες πριν την επίθεση. Οι περισσότεροι οργανισμοί δεν την είχαν εφαρμόσει.

Μαζική πληρωμή σε κρυπτονόμισμα. Πρώτη φορά που είδαμε ransomware να ζητάει μαζικά πληρωμή σε κρυπτονόμισμα. Αίτημα: 0,1781 BTC (περίπου 300 δολάρια τότε).

Απόδοση σε κρατικό φορέα. Τον Δεκέμβριο 2017, ΗΠΑ και Ηνωμένο Βασίλειο επιβεβαίωσαν ότι πίσω από το WannaCry βρίσκεται η Lazarus Group, ομάδα APT συνδεδεμένη με τη Βόρεια Κορέα.

Η ψηφιακή επιφάνεια επίθεσης ήταν περίπου η ίδια πριν και μετά τις 12 Μαΐου. Αυτό που άλλαξε ήταν η παγκόσμια συνείδηση για το τι σημαίνει «ransomware σε κρίσιμες υποδομές».

Audax Research, 2017: η δουλειά πίσω από τη μελέτη περίπτωσης

Όταν ξέσπασε η επίθεση, η ομάδα μας ανέλαβε άμεσα reverse engineering στο payload και υποστήριξη ελληνικών οργανισμών που είχαν πληγεί, μεταξύ άλλων το κέντρο ηλεκτρονικής διακυβέρνησης του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης.

Σε εκείνη τη φάση, εντοπίσαμε και δημοσιεύσαμε:

  • 3 πορτοφόλια Bitcoin στα οποία κατέληγαν τα λύτρα
  • 2 επιπλέον TOR domains πέρα από τα 5 δημόσια γνωστά (gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion κ.λπ.)
  • MD5 hashes για 28 γλωσσικές παραλλαγές του payload
  • Πλήρης λίστα των 178 καταλήξεων αρχείων που στόχευε το ransomware
  • Memory artefacts και process strings που χρησιμοποιήθηκαν για κανόνες ανίχνευσης

Το αρχικό τεχνικό artefact διατίθεται στο archive ως historical reference.

Από εκείνη τη δουλειά αναδείχθηκε η ανάγκη για μια ενιαία πλατφόρμα που να συνδέει εξαγωγή IOCs, χαρτογράφηση υποδομής και απόδοση επιθέσεων σε αυτοματοποιημένη ροή. Αυτή η ανάγκη γέννησε, χρόνια αργότερα, την πλατφόρμα brAIn.

Τι άλλαξε από το 2017 στο 2026

Συγκρίνοντας το ransomware τοπίο του 2017 με αυτό του 2026, οι διαφορές είναι δομικές, όχι ποσοτικές:

2017 (WannaCry) 2026 (A’ τρίμηνο)
Αυτοδιαδιδόμενο τύπου worm Ransomware χειριζόμενο από ανθρώπους (RaaS)
Δημόσιο kill switch domain Modular payloads, χωρίς kill switch
Ένα exploit (EternalBlue/SMBv1) Μεσίτες αρχικής πρόσβασης (RDP, VPN, phishing)
Μονοσταδιακή κρυπτογράφηση Infostealer → εξαγωγή → κρυπτογράφηση → εκβιασμός
Μόνο Bitcoin Monero, mixers, διπλός και τριπλός εκβιασμός
Κρατική ομάδα APT (Lazarus) Εγκληματικά οικοσυστήματα με εργαλεία επιπέδου APT
~$300 λύτρα ανά θύμα Εκατομμύρια ανά οργανισμό, στοχευμένα
230.000+ θύματα σε 150 χώρες 2.122 δημόσια θύματα μόνο στο A’ τρίμηνο 2026

 

Η κύρια αλλαγή: το ransomware σταμάτησε να είναι τυφλή μαζική επίθεση και έγινε στοχευμένη επιχειρηματική δραστηριότητα. Το 2025, η Akira μόνη της κατέγραψε προσόδους πάνω από 244 εκατ. δολάρια σε επιβεβαιωμένα λύτρα.

Οι σύγχρονοι παράγοντες απειλών που πρέπει να γνωρίζετε

Στο πρώτο τρίμηνο του 2026, το 71% των δημοσιοποιημένων ransomware θυμάτων ανήκει σε μόλις 10 ομάδες. Από αυτές, το brAIn παρακολουθεί ενεργά:

Qilin: Η πιο ενεργή ομάδα για 3ο διαδοχικό τρίμηνο. 338 θύματα στο A’ τρίμηνο 2026. Επαγγελματικό RaaS με νομικές απειλές κατά των θυμάτων (λειτουργία «call a lawyer» στις διαπραγματεύσεις) και διασυνδέσεις με ρωσικά κυβερνοεγκληματικά forums.

Akira: 740 θύματα το 2025, 244 εκατ. δολάρια σε αποδεδειγμένα λύτρα. Στοχεύει manufacturing, βιομηχανία και εταιρείες με υψηλό κόστος διακοπής λειτουργίας. Στρατηγική με ρίζες στην Conti.

The Gentlemen: Ιδρύθηκε τέλος του 2025 από πρώην Qilin affiliate. Έχει προετοιμασμένη πρόσβαση σε 14.700 συμβιβασμένες συσκευές FortiGate (μέσω CVE-2024-55591). 166 θύματα στο A’ τρίμηνο 2026, αύξηση 315% σε ένα τρίμηνο.

LockBit: Επανεμφάνιση μετά την Operation Cronos (2024). 163 θύματα στο A’ τρίμηνο 2026 με σαφή γεωγραφική στροφή προς Ευρώπη και Λατινική Αμερική (από 50%+ συγκέντρωση στις ΗΠΑ σε 21,5%). Δηλωμένος στόχος: κρίσιμες υποδομές, πυρηνικά εργοστάσια, υδροηλεκτρικά, θερμικά.

Cl0p: Καμπάνιες μαζικής εκμετάλλευσης. A’ τρίμηνο 2026: εκμετάλλευση CVE-2025-61882 στο Oracle EBS. Στρατηγική: ένας συμβιβασμός στην εφοδιαστική αλυσίδα οδηγεί σε χιλιάδες θύματα.

DragonForce: RaaS με επιθετική στρατολόγηση μέσω banner ads σε φόρουμ του dark web. Έχει δηλώσει συνεργασία με LockBit και Qilin σε μοντέλο «καρτέλ».

Το brAIn διατηρεί ενεργά κανόνες ανίχνευσης, ερωτήματα threat hunting και προφίλ TTPs για κάθε μία από αυτές τις ομάδες, ενημερωμένα καθημερινά.

Πέντε διδάγματα του 2017 που εξακολουθούν να ισχύουν

Παρόλο που το τοπίο των απειλών έχει αλλάξει δομικά, τα θεμελιώδη κενά παραμένουν:

  1. Η καθυστέρηση εφαρμογής patches παραμένει εξοντωτική. Το 2017, ο μέσος χρόνος εφαρμογής του MS17-010 ήταν πάνω από 30 ημέρες. Το 2026, για κρίσιμα CVEs σχετιζόμενα με SMB, VPN ή edge devices, ο μέσος χρόνος παραμένει πάνω από 30 ημέρες σε ελληνικές επιχειρήσεις. Το The Gentlemen χτίστηκε ακριβώς πάνω σε αυτή την καθυστέρηση, εκμεταλλεύτηκε το CVE-2024-55591 αρκετούς μήνες μετά τη δημοσίευση της ενημέρωσης.

  2. Ο διαχωρισμός δικτύου δεν εφαρμόζεται. Επίπεδα εταιρικά δίκτυα επιτρέπουν ακόμα ραγδαία lateral movement μετά την αρχική πρόσβαση. Το WannaCry εκμεταλλεύτηκε αυτή τη συνθήκη μέσω SMBv1· τα σύγχρονα ransomware την εκμεταλλεύονται μέσω διαρρευμένων διαπιστευτηρίων διαχειριστή και τεχνικών living-off-the-land.

  3. Backups που δεν έχουν δοκιμαστεί δεν είναι backups. Σε όλο και περισσότερες περιπτώσεις απόκρισης σε συμβάντα το 2025-2026, βλέπουμε immutable backups να μην έχουν επαληθευτεί ποτέ και να αποτυγχάνουν στην ώρα της κρίσης.

  4. Η στρατηγική μόνο ανίχνευσης αποτυγχάνει. Η ικανότητα ανίχνευσης χωρίς πλαίσιο ετοιμότητας απόκρισης ισούται με ειδοποίηση που κανείς δεν διαχειρίζεται. Αυτό ήταν το μοτίβο σε πολλούς από τους οργανισμούς που πλήρωσαν το 2017· είναι ακόμα το μοτίβο σήμερα.

  5. Η ασφάλεια κρίσιμων υποδομών δεν είναι πρόβλημα IT, είναι πρόβλημα πολιτικής. Από τον Οκτώβριο 2024, το NIS2, μέσω του ελληνικού Νόμου 5160/2024, επιβάλλει υποχρεωτικές διαδικασίες αναφοράς συμβάντων σε 24 ώρες, υποχρεωτικούς Information & Communication Systems Security Officers (ICSSO) και υποχρεωτικά penetration tests σε ετήσια βάση. Το 2026 είναι η χρονιά που ξεκινούν οι πρώτες πράξεις επιβολής σε επίπεδο ΕΕ με ποινές έως 10 εκατ. ευρώ ή 2% του παγκόσμιου κύκλου εργασιών.

Πώς το brAIn βλέπει WannaCry-style απειλές σήμερα

Η ίδια ομάδα που ανέλυσε το WannaCry το 2017 παρακολουθεί σήμερα 187+ ομάδες APT μέσω της πλατφόρμας brAIn. Κανόνες ανίχνευσης για διάδοση τύπου worm, lateral movement μέσω SMB και VPN, και υποδομή command-and-control του ransomware ενημερώνονται καθημερινά και τροφοδοτούν τα συστήματα SIEM/EDR των πελατών μας σε 13 διαφορετικές μορφές Sigma, Suricata, YARA, Splunk, Sentinel, Elastic, QRadar, Wazuh, Chronicle και άλλες.

Όταν την επόμενη φορά εμφανιστεί ένα «WannaCry-style» συμβάν, και θα εμφανιστεί, δεν θα είναι έκπληξη. Θα είναι το επόμενο βήμα ενός μοτίβου που παρακολουθούμε επί εννέα χρόνια.

 

Δείτε τα APT Detection Packs → 

Επικοινωνία για ενημέρωση απειλών →

 

Πηγές

  • Check Point Research, State of Ransomware Q1 2026
  • Europol / NHS Lessons Learned Review, WannaCry Cyber Attack (Φεβ 2018)
  • Armis, WannaCry Persistent Infections Report (2019)
  • SOCRadar, Top 10 Ransomware Groups of 2025 (Ιαν 2026)
  • ENISA / EU Commission, Cybersecurity Package (Ιαν 2026)
  • Νόμος 5160/2024 (ενσωμάτωση NIS2 στην Ελλάδα)