wtorek, 27 lipca, 2021
BEZPIECZEŃSTWOREvil znów zaatakował. 1000 ofiarami głośnego ataku

REvil znów zaatakował. 1000 ofiarami głośnego ataku

-

REvil znów zaatakował. 1000 ofiarami głośnego ataku

W ostatni weekend dokonano głośnego ataku hakerskiego na firmę Kaseya, oferującą rozwiązania dla zarządzania infrastrukturą IT w przedsiębiorstwach. Firma wydała swoim klientom zalecenie natychmiastowego zamknięcia serwerów VSA, aby zapobiec rozprzestrzenianiu się ataku. Działania te okazały się jednak spóźnione, bowiem atak dotknął co najmniej 1000 firm w 17 krajach.

Rok 2021 jest już rekordowy pod względem ilości cyberataków. Z danych udostępnionych przez firmę Check Point Software wynika, że w regionie EMEA (Europa, Bliski Wschód, Afryka) odnotowano aż 93% wzrost ataków ransomware i 97% wzrost wszystkich ataków cybernetycznych względem ubiegłego roku. Po głośnych atakach Sunburst, Hafnium (ataki na Microsoft Exchange) i na Colonial Pipeline, hakerzy zaatakowali 4 lipca firmę Kaseya, wykorzystując jej usługi do rozprzestrzeniania jednego z największych w historii ataków ransomware.

– Cyberofensywa na firmę Kaseya zaskutkowała rekordową liczbą ofiar oprogramowania ransomware. Pokrzywdzonymi są głównie spółki amerykańskie, choć wśród ofiar znajdują się również europejskie firmy. – mówi Wojciech Głażewski, dyrektor polskiego oddziału Check Point Software Technologies.

Weekendowy atak ransomware przeprowadzony przez rosyjskojęzyczną grupę REvil, stanowi zdaniem ekspertów katastrofalne połączenie najgłośniejszych trendów cyberataków w 2021 roku, czyli ataków w łańcuchu dostaw i oprogramowania ransomware. Wśród ofiar jest ponad 1000 firm z co najmniej 17 krajów!

REvil atakuje ponownie!

Stojąca za atakiem grupa REvil jest twórcą jednej z najbardziej znanych rodzin oprogramowania ransomware na świecie, odpowiedzialnej za dziesiątki poważnych naruszeń odnotowywanych od 2019 roku. Grupa w ostatnim czasie była również niezwykle aktywna – w okresie dwóch miesięcy eksperci Check Point Research udokumentowali tygodniowo średnio 15 ataków dokonanych przez REvil!

Jednym z kluczowych czynników sukcesu REvil jest wykorzystanie techniki Double Extortion (podwójne wymuszenie), w której cyberprzestępcy oprócz szyfrowania plików kradną dane. Oznacza to, że przestępcy żądają okupu nie tylko za odszyfrowanie danych, ale również wymagają opłaty za nieujawnienie wykradzionych dokumentów. REvil jest również znany ze współpracy z hakerami stowarzyszonymi, co pozwala na połączenie sił z zaawansowanymi hakerami, którzy są odpowiedzialni za włamywanie się do nowych celów, eksfiltrację danych i szyfrowanie sieci. W tego typu kooperacjach REvil dostarcza oprogramowanie ransomware, stronę do publikacji wycieków, a nawet odpowiada za kwestie finansowe przedsięwzięcia.

W kwietniu 2021 r. REvil zademonstrowało użycie techniki, którą nazywamy potrójnym wymuszeniem. Cybergang z powodzeniem włamał się do Quanta Computer, znanego tajwańskiego producenta oryginalnych projektów notebooków (ODM) i ważnego partnera biznesowego Apple. Po ataku ransomware zażądano zapłaty około 50 milionów dolarów wraz z ostrzeżeniem, że suma zostanie podwojona, jeśli nie zostanie zapłacona na czas. Ponieważ firma odmówiła komunikowania się z cyberprzestępcami, dokonali oni bezpośredniego wymuszenia na firmie Apple, żądając, aby odkupiła plany ich produktów znalezionych w sieci Quanta Computer. Ledwie tydzień później REvil w usunął opublikowane wcześniej rysunki techniczne produktów Apple ze strony publikującej wycieki danych.

Hakerzy nie bez powodu wybrali ten weekend i tę metodę. Dzięki atakowi na jednego dostawcę usług uzyskali dostęp do ponad tysiąca firm. 4 lipca jest Dniem Niepodległości Stanów Zjednoczonych, a co za tym idzie wielu pracowników działów IT przechodzi w tryb offline. Pozwoliło to na pełne wdrożenie ransomware, zanim ktokolwiek zauważył proces włamania, a jednocześnie doprowadziło to do większej paniki w momencie wykrycia ataku. – wyjaśnia Wojciech Głażewski.

Aby włamać się do lokalnych serwerów Kaseya VSA, REvil wykorzystał lukę zero-day, która została wcześniej ujawniona firmie Kaseya przez badaczy bezpieczeństwa z Holenderskiego Instytutu Ujawniania Podatności. Firma opracowywała poprawkę, jednak nie zdążyła jej zaimplementować i udostępnić klientom. W tym wypadku rosyjskojęzyczny gang haketów był o krok przed Kaseyą, wykorzystując podatność do przeprowadzenia ataku. Ze wstępnych informacji wynika, że skierowane do ofiar żądanie okupu wahało się od 45 tys. do 5 mln dolarów!

– Atak ten powinien być alarmem dla wszystkich firm. Uważam, że w najbliższym czasie możemy się spodziewać większej liczby ataków w święta i weekendy. Hakerzy liczą, że w ten sposób uśpią czujność ekspertów IT odpowiadających za cyberbezpieczeństwo. – podsumowuje dyrektor polskiego oddziału firmy Check Point Software.

NAJNOWSZE ARTYKUŁY

- Advertisment -

POLECAMY

ministerstwo finansów

Zasady ustalania rezydencji podatkowej na podstawie objaśnień MF z 29 kwietnia 2021 r.

0
W dniu 29 kwietnia 2021 r. zostały wydane objaśnienia podatkowe dotyczące rezydencji podatkowej oraz zakresu obowiązku podatkowego osób fizycznych w Polsce. Objaśnienia nie mają charakteru aktów powszechnie obowiązującego prawa, niemniej stanowią instrukcję postępowania dla...
Remote controlled drone taking off from warehouse to deliver package

SAS wskazuje 4 obszary rozwoju biznesu w 2021 roku

0
Jednym z głównych wniosków pojawiających się w podsumowaniach minionego roku jest ogromny wpływ pandemii na przyspieszenie procesów cyfrowej transformacji. COVID-19 potwierdził, że technologia jest kluczowym narzędziem w obszarze ochrony zdrowia, ekonomii, a także ekologii....
Deloitte

Deloitte: Rok 2021 przyniesie zwiększoną aktywność na rynku private equity

0
Mimo, że rynek private equity (PE) w Europie Środkowej odczuł wpływ pandemii i wywołanego nią spowolnienia, przedstawiciele funduszy wykazują dziś znacznie większy optymizm niż w pierwszej połowie 2020 r. Jak wynika z raportu firmy...