Informacje

Zdjęcie ilustracyjne / autor: pixabay.com
Zdjęcie ilustracyjne / autor: pixabay.com

REvil zaatakował. Ponad tysiąc ofiar w USA i Europie

Zespół wGospodarce

Zespół wGospodarce

Portal informacji i opinii o stanie gospodarki

  • Opublikowano: 6 lipca 2021, 16:40

  • Powiększ tekst

W ostatni weekend dokonano głośnego ataku hakerskiego na firmę Kaseya, oferującą rozwiązania dla zarządzania infrastrukturą IT w przedsiębiorstwach. Firma wydała swoim klientom zalecenie natychmiastowego zamknięcia serwerów VSA, aby zapobiec rozprzestrzenianiu się ataku. Działania te okazały się jednak spóźnione, bowiem atak dotknął co najmniej 1000 firm w 17 krajach.

Rok 2021 jest już rekordowy pod względem ilości cyberataków. Z danych udostępnionych przez firmę Check Point Software wynika, że w regionie EMEA (Europa, Bliski Wschód, Afryka) odnotowano aż 93 proc. wzrost ataków ransomware i 97 proc. wzrost wszystkich ataków cybernetycznych względem ubiegłego roku. Po głośnych atakach Sunburst, Hafnium (ataki na Microsoft Exchange) i na Colonial Pipeline, hakerzy zaatakowali 4 lipca firmę Kaseya, wykorzystując jej usługi do rozprzestrzeniania jednego z największych w historii ataków ransomware.

Cyberofensywa na firmę Kaseya zaskutkowała rekordową liczbą ofiar oprogramowania ransomware. Pokrzywdzonymi są głównie spółki amerykańskie, choć wśród ofiar znajdują się również europejskie firmy – mówi Wojciech Głażewski, dyrektor polskiego oddziału Check Point Software Technologies.

Weekendowy atak ransomware przeprowadzony przez rosyjskojęzyczną grupę REvil, stanowi zdaniem ekspertów katastrofalne połączenie najgłośniejszych trendów cyberataków w 2021 roku, czyli ataków w łańcuchu dostaw i oprogramowania ransomware. Wśród ofiar jest ponad 1000 firm z co najmniej 17 krajów!

Stojąca za atakiem grupa REvil jest twórcą jednej z najbardziej znanych rodzin oprogramowania ransomware na świecie, odpowiedzialnej za dziesiątki poważnych naruszeń odnotowywanych od 2019 roku. Grupa w ostatnim czasie była również niezwykle aktywna - w okresie dwóch miesięcy eksperci Check Point Research udokumentowali tygodniowo średnio 15 ataków dokonanych przez REvil!

Jednym z kluczowych czynników sukcesu REvil jest wykorzystanie techniki Double Extortion (podwójne wymuszenie), w której cyberprzestępcy oprócz szyfrowania plików kradną dane. Oznacza to, że przestępcy żądają okupu nie tylko za odszyfrowanie danych, ale również wymagają opłaty za nieujawnienie wykradzionych dokumentów.

REvil jest również znany ze współpracy z hakerami stowarzyszonymi, co pozwala na połączenie sił z zaawansowanymi hakerami, którzy są odpowiedzialni za włamywanie się do nowych celów, eksfiltrację danych i szyfrowanie sieci. W tego typu kooperacjach REvil dostarcza oprogramowanie ransomware, stronę do publikacji wycieków, a nawet odpowiada za kwestie finansowe przedsięwzięcia.

W kwietniu 2021 r. REvil zademonstrowało użycie techniki, którą nazywamy potrójnym wymuszeniem. Cybergang z powodzeniem włamał się do Quanta Computer, znanego tajwańskiego producenta oryginalnych projektów notebooków (ODM) i ważnego partnera biznesowego Apple.

Po ataku ransomware zażądano zapłaty około 50 milionów dolarów wraz z ostrzeżeniem, że suma zostanie podwojona, jeśli nie zostanie zapłacona na czas. Ponieważ firma odmówiła komunikowania się z cyberprzestępcami, dokonali oni bezpośredniego wymuszenia na firmie Apple, żądając, aby odkupiła plany ich produktów znalezionych w sieci Quanta Computer. Ledwie tydzień później REvil w usunął opublikowane wcześniej rysunki techniczne produktów Apple ze strony publikującej wycieki danych.

Hakerzy nie bez powodu wybrali ten weekend i tę metodę. Dzięki atakowi na jednego dostawcę usług uzyskali dostęp do ponad tysiąca firm. 4 lipca jest Dniem Niepodległości Stanów Zjednoczonych, a co za tym idzie wielu pracowników działów IT przechodzi w tryb offline. Pozwoliło to na pełne wdrożenie ransomware, zanim ktokolwiek zauważył proces włamania, a jednocześnie doprowadziło to do większej paniki w momencie wykrycia ataku – wyjaśnia Wojciech Głażewski.

Aby włamać się do lokalnych serwerów Kaseya VSA, REvil wykorzystał lukę zero-day, która została wcześniej ujawniona firmie Kaseya przez badaczy bezpieczeństwa z Holenderskiego Instytutu Ujawniania Podatności. Firma opracowywała poprawkę, jednak nie zdążyła jej zaimplementować i udostępnić klientom. W tym wypadku rosyjskojęzyczny gang haketów był o krok przed Kaseyą, wykorzystując podatność do przeprowadzenia ataku. Ze wstępnych informacji wynika, że skierowane do ofiar żądanie okupu wahało się od 45 tys. do 5 mln dolarów!

Atak ten powinien być alarmem dla wszystkich firm. Uważam, że w najbliższym czasie możemy się spodziewać większej liczby ataków w święta i weekendy. Hakerzy liczą, że w ten sposób uśpią czujność ekspertów IT odpowiadających za cyberbezpieczeństwo. – podsumowuje dyrektor polskiego oddziału firmy Check Point Software.

PR/RO

CZYTAJ TEŻ: Korea Płd.: coraz więcej cyberataków z żądaniami okupu

Powiązane tematy

Zapraszamy do komentowania artykułów w mediach społecznościowych