Ransomware Groups — Επισκόπηση Ενεργών Ομάδων

🔴 Η Κυριλλική Ανοσία

Πολλά ransomware — LockBit, REvil, Maze — περιέχουν κώδικα που ελέγχει αν το σύστημα έχει ρωσική, ουκρανική ή λευκορωσική γλώσσα εγκατεστημένη. Αν ναι: ΔΕΝ εκτελείται. Αυτό είναι ουσιαστικά η «ψηφιακή άδεια λειτουργίας» που επιτρέπει στις ομάδες να δραστηριοποιούνται ανενόχλητες εντός Ρωσίας.

LockBit

22% παγκόσμιο | 2η 2024 (522 επιθ.)

🇷🇺 Ρωσία

📍 Βορόνεζ (εκτιμάται) + διεθνές δίκτυο

RaaS — Global Affiliates

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 40%, ΕΕ 32% (Γερμανία, Γαλλία, Ιταλία), ΗΒ 8%, Καναδάς 5%. ΑΠΟΦΕΥΓΕΙ ΚΑΚ χώρες.

🏥 Κλαδικοί Στόχοι: Υγεία 18%, κυβέρνηση 16%, χρηματοπιστωτικά 12%. Ανεξαρτήτως μεγέθους — SME & enterprise.

⚙️ Τεχνικά: C++/MASM, intermittent encryption (10× ταχύτερο). Διαγράφει VSS, χρησιμοποιεί ADFind για recon.

📍 Status: Op. Cronos Φεβ.2024. Επέστρεψε LockBit 4.0 Φεβ.2025 με ανανεωμένη υποδομή και νέα promo.

⚡ Notable: NHS Barts 70M εγγραφές. Boeing. CDW $80M. $91M σε λύτρα 2025 — #1 σε εισπράξεις.

🤯 Το Tattoo Stunt

Το 2022, η LockBit διοργάνωσε διαγωνισμό: οποιοσδήποτε έκανε τατουάζ το λογότυπο LockBit κέρδιζε $1.000 σε Bitcoin. Εκατοντάδες άνθρωποι — κυρίως από φτωχές χώρες — συμμετείχαν. Μερικοί είχαν ήδη κάνει το τατουάζ όταν η LockBit χρεοκόπησε χωρίς να πληρώσει. Αυτό δείχνει: (α) την εγωμανία του LockBitSupp, (β) πόσο εμπορευματοποίησε το brand, (γ) ότι πολλοί εκμεταλλεύτηκαν την «αγορά» ransomware χωρίς πλήρη κατανόηση κινδύνων.

😂 Ο Αρχηγός Αποκαλύφθηκε — και Εξαγριώθηκε

Τον Μάιο 2024, το FBI δημοσίευσε την ταυτότητα του LockBitSupp: Dmitry Khoroshev, 31 ετών, από τη Ρωσία. Bounty: $10 εκατ. Η αντίδρασή του; Έγραψε στο dark web forum: «Μπράβο FBI — αλλά λύτρωσα 40 άτομα από φυλακή αποκαλύπτοντας πληροφορίες σε αρχές». Δηλαδή υπεράσπισε τον εαυτό του ισχυριζόμενος ότι πρόδωσε τους δικούς του για να αποφύγει σύλληψη. Δεν έχει συλληφθεί ακόμα.

ALPHV / BlackCat

9% παγκόσμιο | Ουσιαστικά ανενεργή

🇷🇺 Ρωσία + Ουκρανία

📍 Διεθνές δίκτυο — τουλάχιστον 4 χώρες

RaaS — Triple Extortion

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 55%, ΕΕ 25%. Ακόμα και ΑΕ, Αυστραλία. ΑΠΟΦΕΥΓΕΙ ΚΑΚ χώρες (confirmed από κώδικα).

🏥 Κλαδικοί Στόχοι: Υγεία #1 (22%), ενέργεια, χρηματοπιστωτικά, νομικές υπηρεσίες. ESXi = favorite πλατφόρμα.

⚙️ Τεχνικά: Rust cross-platform. Πρώτο ransomware γραμμένο σε Rust — παρακάμπτει AV που δεν γνωρίζουν Rust binaries.

📍 Status: Διαλύθηκε FBI/Europol Δεκ.2023. Exit scam Μαρτ.2024. Affiliates → RansomHub + Qilin.

⚡ Notable: Change Healthcare: $2,9 δισ. Η μεγαλύτερη ιατρική παραβίαση ALL TIME.

🤯 Το Μεγαλύτερο Εσωτερικό Scam στο Ransomware

Η ALPHV πήρε ΟΛΑ τα $22 εκατ. και εξαφανίστηκε — ΟΧΙ μόνο από τη Change Healthcare, αλλά και από τους δικούς της affiliates. Ο affiliate που εκτέλεσε την επίθεση (γνωστός ως 'notchy') δεν πήρε τίποτα. Εξαγριωμένος, πήγε σε forum και ανακοίνωσε: «Έχω τα 4TB δεδομένα. Ποιος τα αγοράζει;». Αυτά τα δεδομένα αγόρασε το RansomHub — και ζήτησε ΔΕΥΤΕΡΑ λύτρα από την Change HC. Ο αρχικός αγοραστής έγινε πωλητής. Αυτό είναι «double ransom» από δύο διαφορετικές ομάδες για ΤΗΝ ΙΔΙΑ επίθεση.

Play

6% | 355 θύματα 2024

🌎 Λατινική Αμερική

📍 Βραζιλία (κυρίαρχη εκτίμηση) + Αργεντινή

Double Extortion — ΟΧΙ RaaS

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 38%, ΕΕ 30% (Γερμανία, Γαλλία, Ολλανδία), Αυστραλία 8%, ΗΒ 7%. Στοχεύει και ΚΑΚ (ασυνήθιστο!).

🏥 Κλαδικοί Στόχοι: Κυβέρνηση 25%, υγεία 18%, MSPs 15%, media 10%. ΜΗ RaaS = πιο ελεγχόμενες επιθέσεις.

⚙️ Τεχνικά: Custom tools μόνο. Exploit ProxyNotShell (CVE-2022-41082) & Fortinet CVE-2018-13379. Intermittent encryption.

📍 Status: Πλήρως ενεργή — ΟΧΙ νομικά αντιμετωπισμένη. 30+ επιθέσεις/μήνα 2024. Χαμηλό profile.

⚡ Notable: Dallas 911 dispatch system offline (2023). Oakland City 2023. Lurie Children's Hospital (2024, $3,7M demand).

🕵️ Η Play Χτυπά… Ρωσικές Εταιρείες;

Αντίθετα με τις ρωσικές ομάδες που αποφεύγουν ΚΑΚ, η Play επιτίθεται σε ρωσικές εταιρείες — επιβεβαιώνοντας τη μη-ρωσική προέλευσή της. Τον Μάρτιο 2024 εμφανίστηκε θύμα με ρωσικό domain στο leak site της Play. Αυτό είναι εξαιρετικά σπάνιο — και δείχνει ότι η ομάδα δεν υπόκειται στη ρωσική «προστασία».

🚨 Το 911 Dispatch Incident

Τον Μάιο 2023, η επίθεση Play στην πόλη Dallas, Texas κατέρριψε το 911 Computer-Aided Dispatch system — το σύστημα που δρομολογεί ασθενοφόρα και πυροσβέστες. Για ώρες, operators χρησιμοποιούσαν χαρτί και τηλέφωνο. Ευτυχώς δεν καταγράφηκαν θάνατοι. Αλλά αυτό είναι το αντίστοιχο EKAB offline — ακριβώς το σενάριο που καθιστά ransomware απειλή ζωής, ΟΧΙ μόνο IT πρόβλημα.

Akira

4% παγκ. | 29% GR | #3 FBI 2024

🇷🇺 Ρωσία (πιθανή σύνδεση)

📍 Άγνωστη — εκτιμάται Μόσχα/Αγία Πετρούπολη

Double Extortion — υπό FBI παρακολούθηση

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 45%, ΕΕ 30% (Γερμανία #1, Ελλάδα TOP), ΗΒ 8%. Ελλάδα: 29% όλων GR θυμάτων (ransomwatch).

🏥 Κλαδικοί Στόχοι: Υγεία #1 (FBI 2024), εκπαίδευση, κυβέρνηση. Mid-market hunting: 100-1.000 εργαζόμενοι.

⚙️ Τεχνικά: C++ Windows + Rust Linux/ESXi. Cisco CVE-2023-20269 VPN exploit. Δεν διαγράφει VSS (stealth). Mimikatz post-exploitation.

📍 Status: FBI/CISA AA24-109A Απρ.2024. #3 FBI complaints 2024. Πλήρως ενεργή — ΔΕΝ διαλύθηκε.

⚡ Notable: 500+ θύματα 16 μήνες. $42M+ λύτρα. ΑΧΕΠΑ Θεσσαλονίκης (πιθ. Akira, 2024).

🎮 Γιατί Retro Interface;

Η Akira επέλεξε αυτό σκόπιμα για δύο λόγους: (α) Branding — ξεχωρίζει από τα άλλα boring dark web portals. Τα θύματα «θυμούνται» την Akira. (β) Psychological warfare — όταν βλέπεις μια φαινομενικά «παιχνιδιάρικη» αισθητική, χαλαρώνεις. Η Akira στοχεύει να δείχνει λιγότερο τρομακτική — αλλά είναι εξίσου επικίνδυνη. Ο συνδυασμός retro aesthetic + σύγχρονης Rust κρυπτογράφησης είναι ουσιαστικά μάρκετινγκ εγκλήματος.

🇬🇷 Η Ελληνική Εξαίρεση

Η Ελλάδα είναι δυσανάλογα υπερεκπροσωπημένη στα θύματα της Akira: 29% των ελληνικών ransomware θυμάτων. Δεν είναι τυχαίο. Τα ελληνικά νοσοκομεία και δημόσιοι φορείς: (α) χρησιμοποιούν Cisco ASA VPN χωρίς MFA — ΑΚΡΙΒΩΣ αυτό που εκμεταλλεύεται η Akira (CVE-2023-20269). (β) Δεν έχουν EDR. (γ) Legacy systems. Η Akira χρησιμοποιεί automated scanning — βρίσκει ελληνικές IP διευθύνσεις με ανοιχτό port 443/SSL-VPN και επιτίθεται αυτόματα.

⚠️ AKIRA + ΑΧΕΠΑ — Η Πιθανή Ελληνική Σύνδεση

Τον Νοέμβριο 2024, το ΑΧΕΠΑ Θεσσαλονίκης δέχτηκε ransomware επίθεση. Η ομάδα δεν επιβεβαιώθηκε επίσημα. Αλλά: (α) χρόνος επίθεσης (Νοέμβριος 2024), (β) μέθοδος (VPN exploitation), (γ) το τυπικό profile των ελληνικών θυμάτων της Akira — όλα δείχνουν Akira. Η ελληνική κυβέρνηση ΔΕΝ επιβεβαίωσε ομάδα. Αυτό από μόνο του είναι πρόβλημα: χωρίς attribution, δεν μαθαίνουμε.

Qilin

#1 παγκόσμιο 2025 | 1.044 θύματα | +578%

🌍 Ανατολική Ευρώπη

📍 Ουκρανία/Ρωσία (rebrand Agenda)

RaaS — Double Extortion | Monero only

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 38%, ΕΕ 35% (ΗΒ #1, Γερμανία, Γαλλία, Ιταλία), Αυστραλία 7%. ΕΕ υπερεκπροσωπημένη vs 2024.

🏥 Κλαδικοί Στόχοι: Υγεία #1 (30+ claims Q1-Q3 2025, Comparitech). Περισσότερα healthcare θύματα από ΟΠΟΙΑΔΗΠΟΤΕ άλλη ομάδα 2025.

⚙️ Τεχνικά: Golang cross-platform (Win/Linux/ESXi). Monero (ΟΧΙ Bitcoin) — ανίχνευση δυσκολότερη. Fortinet CVE-2023-27997.

📍 Status: Πλήρως ενεργή — ΔΕΝ έχει αντιμετωπιστεί. Στρατολόγησε affiliates από RansomHub (Απρ.2025). #1 2025.

⚡ Notable: Synnovis/NHS London Ιούν.2024: £32,7 εκατ., 10.000+ ops ακυρωμένα. $50M demand.

🐉 Qilin = Κινεζικό Μυθολογικό Πλάσμα

Το όνομα «Qilin» (Κίλιν) είναι ένα χιμαιρικό πλάσμα της κινεζικής μυθολογίας — δράκος με σώμα ελαφιού. Εμφανίζεται μόνο σε καλοτυχία ή τέλος εποχής. Η επιλογή του ονόματος είναι ειρωνική: η εμφάνιση Qilin στο δίκτυό σας σίγουρα δεν φέρνει καλοτυχία. Η ομάδα θεωρείται rebrand του «Agenda» ransomware (2022), που ήταν γνωστό για επιθέσεις σε νοσοκομεία της Νότιας Αφρικής και Αίγυπτου.

💉 Synnovis: Αίμα, Χημειοθεραπεία, 10.000 Χειρουργεία

Ιούνιος 2024: η Qilin κρυπτογράφησε τα συστήματα της Synnovis — provider αιματολογικών εξετάσεων για τα μεγαλύτερα νοσοκομεία του Λονδίνου. Αποτέλεσμα: εξετάσεις αίματος OFFLINE. Μεταγγίσεις αίματος αναβλήθηκαν — το NHS ζήτησε επειγόντως αιμοδότες. Χημειοθεραπείες ακυρώθηκαν. 10.000+ χειρουργεία. Η Qilin ζήτησε $50 εκατ. Το Synnovis αρνήθηκε. Η Qilin δημοσίευσε κλεμμένα δεδομένα ασθενών στο dark web. Η βρετανική κυβέρνηση εξέδωσε injunction — αλλά τα δεδομένα είχαν ήδη κυκλοφορήσει.

RansomHub

#1 παγκόσμιο 2024 | 531 θύματα

🌍 Ανατολική Ευρώπη

📍 Άγνωστη — εκτιμάται Ρωσία/Καζακστάν

RaaS — 90/10 split (affiliate-friendly)

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 55%, ΕΕ 25%, Καναδάς 6%, Αυστραλία 4%. Αποφεύγει Κούβα, Βόρεια Κορέα, Κίνα, ΚΑΚ.

🏥 Κλαδικοί Στόχοι: Υγεία #3 2024 (89 confirmed attacks). Κυβέρνηση #1, χρηματοπιστωτικά #2. Αναλόγως affiliate εξειδίκευσης.

⚙️ Τεχνικά: Go + C++. Safe Mode encryption (bypasses EDR). ZeroLogon CVE-2020-1472. FortiOS CVE-2023-27997. Πολύ γρήγορη κρυπτογράφηση.

📍 Status: Εμφανίστηκε Φεβ.2024 — έκλεισε Απρ.2025. DragonForce Cartel. Affiliates → κυρίως Qilin.

⚡ Notable: 531 θύματα 2024. Christie's ($250M data). Florida DOH. Change HC data buyout. CISA AA24-242A.

💼 Η Startup Mentality του Εγκλήματος

Το RansomHub λειτουργούσε σαν startup: pitched στους affiliates με deck που υπεράσπιζε τους «καλούς όρους», «επαγγελματισμό» και «αξιοπιστία». Στο dark web forum: «Σε αντίθεση με LockBit που exit-scammed, εμείς πάντα πληρώνουμε». Ειρωνικά, το exit scam του LockBit ήταν ο καλύτερος marketer του RansomHub. Για 14 μήνες κράτησε την υπόσχεση — μέχρι που εσωτερικές διαφορές το κατέρριψαν.

🎨 Το Christie's Incident — Τέχνη και Ransomware

Μάιος 2024: το RansomHub επιτέθηκε στον Christie's — τον παλαιότερο οίκο δημοπρασιών τέχνης στον κόσμο (1766). Έκλεψε πληροφορίες πελατών — συλλέκτες τέχνης με εκτιμώμενη συλλογή $250 εκατ.+. Απαίτησε λύτρα. Ο Christie's αρνήθηκε. Το RansomHub δημοσίευσε sample δεδομένα. Ιστορικό: το αρχαιότερο auction house στον κόσμο έπεσε θύμα ομάδας που υπήρχε μόνο 3 μήνες. Αυτό δείχνει ότι κανείς — ακόμα και 258 χρόνια ιστορίας — δεν είναι απρόσβλητος.

⚔️ Η Εσωτερική Σύγκρουση — Επαγγελματίες vs «Κουρσάροι»

Απρίλιος 2025: οι chat portals του RansomHub offline. Αφορμή: διαφωνία για μεθόδους επίθεσης. Κάποιοι affiliates στόχευαν κρίσιμες υποδομές (νοσοκομεία παίδων, υδρεύσεις) — αυτό τραβά FBI attention και law enforcement pressure. Η core group ήθελε «professional» εικόνα — παρά το ότι ήδη χτυπούσαν νοσοκομεία. Ο ανταγωνισμός DragonForce εκμεταλλεύτηκε τις διαφορές και ανακοίνωσε ενσωμάτωση: «Don't worry RansomHub, we are reliable partners». Η επιχείρηση μεταφέρθηκε σε DragonForce Cartel.

Stop/Djvu

7% παγκόσμιο — home users

🌍 Ανατολική Ευρώπη

📍 Εκτιμάται Ουκρανία/Ρωσία/Βουλγαρία

Crimeware — ΟΧΙ RaaS

🌍 Γεωγραφικοί Στόχοι: Παγκόσμιος — ΔΕΝ διακρίνει χώρες. Ινδία, Ινδονησία, Βραζιλία, ΗΠΑ (χρήστες cracked software).

🏥 Κλαδικοί Στόχοι: Home users, ΜΜΕ. ΑΜΕΣΗ επίθεση σε νοσοκομεία: σπάνια. ΕΜΜΕΣΗ: μέσω εργαζόμενων.

⚙️ Τεχνικά: Delphi/C++. Εκατοντάδες παραλλαγές. Κρυπτογραφεί αρχεία, αλλάζει wallpaper, αφήνει ransom note.

📍 Status: Ενεργό — παγκόσμια διανομή μέσω Pirate Bay, fake Adobe updates, malvertising.

⚡ Notable: ID Ransomware: #1 πιο αναγνωρίσιμη strain. 5 νέες παραλλαγές/εβδομάδα (ID Ransomware 2025).

🏴‍☠️ Cracked Minecraft = Ransomware

Το Stop/Djvu διανέμεται κυρίως μέσω: (α) Pirate Bay/torrent sites με cracked games, (β) fake «Adobe Photoshop 2025 free download», (γ) fake codec packs, (δ) YouTube tutorials για «δωρεάν» λογισμικό. Ο εργαζόμενος που κατεβάζει cracked Photoshop στον οικιακό υπολογιστή και έχει εκεί αποθηκευμένο VPN password του νοσοκομείου — αυτό το password κλέβεται μαζί. Η άμεση σύνδεση: cracked software → corporate credentials theft → νοσοκομείο σε κίνδυνο.

Phobos

7% — στοχεύει mid/small

🌍 Ανατολική Ευρώπη

📍 Εκτιμάται Ρωσία — ίσως και Ιρανικές συνδέσεις

RaaS — Πολλαπλά affiliate groups

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 50%, ΕΕ 30%. Ειδική εστίαση σε μικρές πόλεις, κοινότητες, μικρά νοσοκομεία.

🏥 Κλαδικοί Στόχοι: Μικρά νοσοκομεία, κλινικές, οδοντιατρεία, δημόσιες υπηρεσίες. ΔΕΝ στοχεύει μεγάλα συστήματα.

⚙️ Τεχνικά: C++. Exposed RDP (port 3389) as ΜΟΝΗ μέθοδος εισόδου. Brute force ή credential stuffing. Μικρό footprint.

📍 Status: Πολλά διαφορετικά affiliate groups λειτουργούν ανεξάρτητα. FBI Advisory Σεπτ.2023.

⚡ Notable: Ελληνικές κλινικές 2024 (μη δημόσια). Εκατοντάδες μικρά νοσοκομεία ΗΠΑ/ΕΕ 2022-2025.

💻 Port 3389 — Η Ανοιχτή Πόρτα

Η Phobos χρησιμοποιεί ΑΠΟΚΛΕΙΣΤΙΚΑ εκτεθειμένο RDP (Remote Desktop Protocol, port 3389). Σάρωση με Shodan/Masscan → βρίσκει ανοιχτά ports → automated brute force ή credential stuffing. Τα λύτρα είναι σκόπιμα μικρά ($2.000-$10.000): αρκετά ώστε να είναι κερδοφόρα, αρκετά μικρά ώστε το θύμα να προτιμά να πληρώσει παρά να καλέσει IT. Για μικρή ελληνική κλινική χωρίς IT department: $5.000 μοιάζει «λογικό» vs εβδομάδες downtime.

Medusa

3% 2024 — αυξάνεται ραγδαία

🌍 Ανατολική Ευρώπη

📍 Άγνωστη — πιθανόν Ρωσία

RaaS — blog-based public shaming

🌍 Γεωγραφικοί Στόχοι: ΗΠΑ 45%, ΕΕ 30%, Αυστραλία, ΝΖ. Στοχεύει και εκτός δυτικού κόσμου.

🏥 Κλαδικοί Στόχοι: Υγεία, εκπαίδευση, κυβέρνηση. #4 healthcare Q1-Q3 2025 (13 επιθέσεις, Comparitech).

⚙️ Τεχνικά: Legitimate tools ΑΠΟΚΛΕΙΣΤΙΚΑ: TeamViewer, AnyDesk, PDQ Deploy, PsExec. Bypass traditional AV — χρειάζεται EDR.

📍 Status: Ενεργή — CISA Advisory Μαρτ.2023. Αυξανόμενη activity 2024-2025. #4 healthcare 2025.

⚡ Notable: Minneapolis Public Schools (2023): 100GB+ δεδομένα μαθητών. Multiple US hospitals 2024. Blog για public shaming.

📰 Το Medusa Blog — Η Αδίστακτη Δημοσιότητα

Η Medusa δημιούργησε δημόσιο blog — «Medusa Blog» — όπου αναρτά δεδομένα θυμάτων που δεν πλήρωσαν. Πλήρη ονόματα ασθενών, διαγνώσεις, test results — όλα online. Countdown timer: «Έχεις 72 ώρες να πληρώσεις πριν αναρτηθούν ΟΛΑ». Αυτή η ψυχολογική πίεση λειτουργεί: η δημόσια ντροπή και το GDPR liability αναγκάζουν οργανισμούς να πληρώσουν γρηγορότερα. Αυτό είναι reputational extortion — ΟΧΙ μόνο operational.

Ε: Γιατί δεν χτυπάνε Ρωσία; Είναι κυβερνητικά χρηματοδοτούμενες;

Η σύνδεση με ρωσική κυβέρνηση είναι γκρίζα ζώνη. Δεν υπάρχουν αποδείξεις άμεσης χρηματοδότησης — αλλά υπάρχουν αποδείξεις ανοχής. Η ρωσική κυβέρνηση αρνείται να εκδίδει κατηγορούμενους. Το 2021, η REvil «εξαφανίστηκε» αφού ο Biden πίεσε τον Putin — αλλά επέστρεψε. Το FBI εκτιμά ότι ορισμένες ομάδες (ιδίως Evil Corp, Sandworm) λειτουργούν ως «εργαλεία» κρατικής πολιτικής. Η πλειονότητα όμως — LockBit, RansomHub, Akira — εκτιμάται ότι είναι αμιγώς εγκληματικές, με ρωσική ανοχή αλλά ΟΧΙ άμεση διεύθυνση.

Ε: Η Qilin ζήτησε $50M από NHS και δεν πλήρωσαν. Τι έγινε μετά;

Η Qilin δημοσίευσε μέρος των κλεμμένων δεδομένων στο dark web — ονόματα ασθενών, αποτελέσματα αιματολογικών εξετάσεων. Το Synnovis εξασφάλισε High Court injunction που απαγόρευε τη διανομή. Αλλά σε dark web, injunctions δεν ισχύουν πρακτικά. Τα δεδομένα κυκλοφόρησαν. Τουλάχιστον 100.000 ασθενείς ειδοποιήθηκαν. Η Synnovis ανεχτί τις νομικές και φημολογικές συνέπειες — αλλά ΔΕΝ πλήρωσε. FBI/CISA: η σύσταση πλέον είναι ρητή: ΜΗΝ ΠΛΗΡΩΝΕΤΕ, γιατί (α) δεν εγγυάται διαγραφή, (β) χρηματοδοτεί επόμενες επιθέσεις, (γ) μπορεί να είναι παράνομο (OFAC sanctions).

Ε: Η Akira έχει retro interface — είναι αστείο; Πόσο σοβαρή είναι;

Πολύ σοβαρή. Το retro interface είναι deliberate misdirection — σε κάνει να υποτιμάς την ομάδα. Στην πράξη: 500+ θύματα σε 16 μήνες, $42M+ λύτρα, #3 FBI 2024, 29% ελληνικών ransomware θυμάτων. Το C++/Rust codebase είναι τεχνικά εξελιγμένο. Η αποφυγή shadow copy deletion είναι σκόπιμη — κάνει την ανίχνευση πιο δύσκολη. Αυτό που φαίνεται «παιδικό» εξωτερικά κρύβει επαγγελματική εγκληματική επιχείρηση.

Ε: Το Play χτυπά ρωσικές εταιρείες — σημαίνει ότι είναι «καλοί»;

Όχι — απλώς δεν συμμορφώνεται με τη ρωσική «κόκκινη γραμμή». Η Play είναι αδιάκριτα επιθετική και στοχεύει όποιον μπορεί. Αυτό τη δυσκολεύει διπλωματικά — δεν έχει τη ρωσική «προστασία». Αλλά δεν την κάνει ηθικότερη: η Dallas 911 επίθεση έθεσε σε κίνδυνο ζωές ακριβώς όπως μια «ρωσική» ομάδα.

Ε: Υπάρχουν ransomware ομάδες που αποφεύγουν νοσοκομεία;

Ναι — και αυτό είναι ένα ελάχιστα γνωστό γεγονός. Ορισμένες ομάδες έχουν δηλώσει ρητά «no hospitals, no schools, no critical infrastructure» — DarkSide το είχε γραπτό στους κανόνες affiliates. Επίσης η GandCrab έστελνε δωρεάν decryption keys σε νοσοκομεία. Αυτό δεν το κάνουν από ηθική — το κάνουν γιατί οι επιθέσεις σε νοσοκομεία φέρνουν ΕΝΤΑΣΗ law enforcement. Αλλά η πλειονότητα των σύγχρονων ομάδων (LockBit, Akira, Qilin) ΔΕΝ σέβεται αυτόν τον κανόνα. Η Qilin, αντίθετα, θεωρεί τα νοσοκομεία ΠΡΟΝΟΜΙΑΚΟ στόχο.

Ε (εχθρική): ⚠️ Ακούγεται σαν movie plot. Στην πραγματικότητα πόσο πιθανό είναι να χτυπηθούμε;

Εξαιρετικά πιθανό — και αυτό ΔΕΝ είναι υπερβολή. Στατιστικά: 92% αμερικανικών νοσοκομείων ανέφεραν τουλάχιστον 1 κυβερνοεπίθεση το τελευταίο χρόνο (Ponemon 2024). Στην Ελλάδα: 1.600-1.700 επιθέσεις ανά εβδομάδα σε ελληνικούς οργανισμούς (ΕΚΕΤΑ). Τον Ιανουάριο 2022, τρία ελληνικά νοσοκομεία χτυπήθηκαν ταυτόχρονα. Τον Νοέμβριο 2024, ΑΧΕΠΑ. Το ερώτημα δεν είναι ΑΝ — είναι ΠΟΤΕ και ΠΟΣΟ ΕΤΟΙΜΟΙ θα είμαστε. Αυτή η παρουσίαση υπάρχει ακριβώς για να μετατρέψει την απειλή από αφηρημένη σε κατανοητή — και δράσιμη.