Najveći pojedinačni hakerski "ransomver" napad (blokada kompjuterskih sistema dok se ne plati otkupnina) i dalje traje, a pojavili su se detalji o tome kako je za to odgovorna banda, povezana s Rusijom, probila zaštitu kompanije čiji je softver koristi mnogo drugih kompanija, i tako postigla cilj. U suštini, kriminalci su koristili alat koji pomaže u zaštiti od "malvera" (zlonamjernog softvera) da bi ga masovno proširili.
Jedna podružnica zloglasne bande "REvil", najpoznatija po iznuđivanju 11 miliona dolara od međunarodnog prerađivača mesa JBS ovog proljeća, zarazila je u petak kompjutere hiljade žrtava u bar 17 zemalja, uglavnom putem firmi koje daljinski upravljaju IT infrastrukturom za više klijenata, rekli su istraživači sajber bezbjednosti.
"REvil" je od svakog prvobitno zahtijevao otkupnine do pet miliona dolara, ali prošle noći je objavio da će univerzalni softverski ključ za dešifrovanje koji će osloboditi sve pogođene mašine, dati u zamjenu za ukupno 70 miliona dolara u kripto valuti. Nije jasno od koga se očekuje da to plati.
Švedska je možda najviše pogođena napadom ili je barem to najtransparentnije objavila. Njen ministar odbrane Peter Hultkvist proglasio je danas to "ozbiljnim napadom na osnovne funkcije švedskog društva".
"To pokazuje koliko je sistem krhak što se tiče IT sigurnosti i da morate neprestano raditi na razvijanju sposobnosti odbrane", rekao je on.
Većina švedskog lanca prehrambenih proizvoda "Coop's" sa 800 prodavnica bila je zatvorena čitav vikend jer je njihov dobavljač softvera za kase bio pogođen napadom. Radnje su zatvorene i danas. Pogođeni su i švedski lanac apoteka, lanac benzinskih pumpi, državna željeznica i javni emiter SVT.
Pogođen je širok spektar preduzeća i javnih službi, uključujući finansijske usluge, putovanja i razonodu i javni sektor, mada svega nekoliko velikih kompanija, izvjestila je kompanija za kibernetičku sigurnost "Sophos". Firma za kibernetičku zaštitu ESET identifikovala je žrtve uključujući Veliku Britaniju, Južnu Afriku, Kanadu, Argentinu, Meksiko, Indoneziju, Novi Zeland i Keniju.
Kriminalci-otmičari infiltriraju se u mreže i siju "malver" koji ih osakaćuje kodirajući sve njihove podatke čime postaju neupitrebljivi. Žrtve dobijaju ključ dekodera tek kada plate.
U Njemačkoj je jedna kompanija za IT usluge rekla vlastima da je nekoliko hiljada njenih kupaca ugroženo, izvjestila je novinska agencija DPA. Među prijavljenim žrtvama bile su i dvije velike holandske kompanije za IT usluge - VelzArt i Hoppenbrouver Techniek. Većina žrtava ne prijavljuju javno napade i ne otkrivaju da li su platili otkupnine.
U nedjelju je FBI rekao da će, dok istražuje napad, njegove razmjere "možda biti takve da nećemo moći da odgovorimo svakoj žrtvi ponaosob". Zamjenica savjetnice za državnu bezbjednost SAD, En Nojberger je izjavila da je predsjednik Džozef Bajden "usmjerio sve državne resurse da istraže ovaj slučaj" i pozvao sve koji smatraju da su ugroženi, da o tome obavijeste FBI.
Bajden je u subotu nagovijestio da će SAD odgovoriti ako se utvrdi da je Kremlj umiješan. Prije manje od mjesec dana, Bajden je pritisnuo ruskog predsjednika Vladimira Putina da prestane da pruža utočište REvilu i drugim "rensomver" bandama čije nemilosrdne iznuđivačke napade SAD smatraju prijetnjom državnoj bezbjednosti.
Danas je Putinov portparol Dmitrij Peskov odrečno odgovorio na pitanje o tome da li je Rusija svjesna napada ili je to istražila. Nagovijestio je da bi o tome mogle da razgovaraju SAD i Rusija na konsultacijama o pitanjima kibernetičke sigurnosti za šta nije navedeno kada.
Stručnjaci kažu da nije slučajno REvil pokrenuo napad na početku prazničnog vikenda u SAD, 4. jula, znajući da će američke kancelarije imati malo osoblja i da će mnoge žrtve o tome saznati tek u ponedjeljak ili utorak.
Većina krajnjih korisnika "nema pojma" čiji softver održava njihove mreže, rekao je izvršni direktor Fred Vokola iz napadnute softverske kompanije "Kaseya".
Procijenio je broj žrtava na nekoliko hiljada, uglavnom malih preduzeća poput "stomatoloških ordinacija, arhitektonskih firmi, centara za plastičnu hirurgiju, biblioteka i sličnog".
Vokola je rekao da je ugroženo samo između 50-60 od 37.000 klijenata njegove kompanije. Ali 70 odsto su pružaoci usluga koji koriste hakovani VSA softver te kompanije za upravljanje mnogobrojnim drugim klijentima. Taj softver automatizuje instalaciju ažuriranja softvera i otkrivanja malvera i upravlja sigurnosnim kopijama i drugim vitalnim zadacima.
"Kaseya" je rekla da je u subotu uveče poslala alat za otkrivanje napada na gotovo 900 adresa.
Ponuda REvila da ponudi dešifrovanje za sve žrtve napada na "Kaseya" u zamjenu za 70 miliona dolara ukazuje na nesposobnost te bande da se izbori sa ogromnom količinom zaraženih klijenata, rekao je Alan Liska, analitičar sajber bezbjednost iz firme "Recorded Future".
Ali Kevin Rid iz "Acronisa" rekao je da bi ponuda univerzalnog dekriptora mogla biti "PR štos", jer neće biti potrebno ljudsko učešće da bi se platio osnovni zahtjev za otkupninu od bar 45.000 dolara koji je očigledno poslat velikoj većini ciljeva. Analitičari su izvijestili da ima zahtjeva za pet miliona i 500.000 dolara za veće ciljeve, za koje bi bili potrebni pregovori.
Analitičar Bret Kelou iz "Emsisofta" rekao je da sumnja da se "REvil" nada da bi osiguravači mogli utvrditi da im se više isplati da plate ukupno 70 miliona dolara nego da napadnute firme ne rade duže vreme.
Sofisticirane bande za "rensomver" kakva je "REvil", obično ispituju finansijsku evidenciju žrtve i polise osiguranja ako ih mogu naći u datotekama koje ukradu prije no što aktiviraju "rensomver". Tada kriminalci prijete da će ukradene podatke objaviti ukoliko im se ne plati, mada se u ovom slučaju to izgleda nije dogodilo. Ali ovaj napad je očigledno napao srž sistema. Izgleda da "REvil" ima samo kodirane podatke o žrtvama.
Holandski istraživači rekli su da su na upad upozorili kompaniju "Kaseya" koja je u Majamiju i rekli da su kriminalci koristili "nulti dan" - tehnički naziv prethodno nepoznate "sigurnosne rupe" u softveru.
U 2019. kriminalci su preko jedne mreže upali u mreže 22 opštine u Teksasu. Iste godine je 400 američkih stomatoloških ordinacija osakaćeno u drugom napadu.
Aktivan od aprila 2019, "REvil" nudi otkupninu kao uslugu, što znači da razvija softver koji patališe mrežu i daje ga u zakup takozvanim podružnicama koje zaraze ciljeve i zarade lavovski dio otkupnina. Američki zvaničnici kažu da su najmoćnije bande otkupljivača sa sjedištem u Rusiji i njoj savezničkim državama i da djeluju sa tolerancijom Kremlja i ponekad u dosluhu sa ruskim službama bezbjednosti.
Bonus video: