(Beta-AP) – Najveći pojedinačni hakerski „ransomver“ napad (blokada kompjuterskih sistema dok se ne plati otkupnina) i dalje traje, a pojavili su se detalji o tome kako je za to odgovorna banda, povezana s Rusijom, probila zaštitu kompanije čiji je softver koristi mnogo drugih kompanija, i tako postigla cilj. U suštini, kriminalci su koristili alat koji pomaže u zaštiti od „malvera“ (zlonamernog softvera) da bi ga masovno proširili.
Jedna podružnica zloglasne bande „REvil“, najpoznatija po iznuđivanju 11 miliona dolara od međunarodnog prerađivača mesa JBS ovog proleća, zarazila je u petak kompjutere hiljade žrtava u bar 17 zemalja, uglavnom putem firmi koje daljinski upravljaju IT infrastrukturom za više klijenata, rekli su istraživači sajber bezbednosti.
„REvil“ je od svakog prvobitno zahtevao otkupnine do pet miliona dolara, ali prošle noći je objavio da će univerzalni softverski ključ za dešifrovanje koji će osloboditi sve pogođene mašine, dati u zamenu za ukupno 70 miliona dolara u kripto valuti. Nije jasno od koga se očekuje da to plati.
Švedska je možda najviše pogođena napadom ili je barem to najtransparentnije objavila. Njen ministar odbrane Peter Hultkvist proglasio je danas to „ozbiljnim napadom na osnovne funkcije švedskog društva“.
„To pokazuje koliko je sistem krhak što se tiče IT sigurnosti i da morate neprestano raditi na razvijanju sposobnosti odbrane“, rekao je on. Većina švedskog lanca prehrambenih proizvoda „Coop’s“ sa 800 prodavnica bila je zatvorena čitav vikend jer je njihov dobavljač softvera za kase bio pogođen napadom. Radnje su zatvorene i danas. Pogođeni su i švedski lanac apoteka, lanac benzinskih pumpi, državna železnica i javni emiter SVT.
Pogođen je širok spektar preduzeća i javnih službi, uključujući finansijske usluge, putovanja i razonodu i javni sektor, mada svega nekoliko velikih kompanija, izvestila je kompanija za kibernetičku sigurnost „Sophos“. Firma za kibernetičku zaštitu ESET identifikovala je žrtve uključujući Veliku britaniju, Južnu Afriku, Kanadu, Argentinu, Meksiko, Indoneziju, Novi Zeland i Keniju.
Kriminalci-otmičari infiltriraju se u mreže i seju „malver“ koji ih osakaćuje kodirajući sve njihove podatke čime postaju neupitrebljivi. Žrtve dobijaju ključ dekodera tek kada plate.
U Nemačkoj je jedna kompanija za IT usluge rekla vlastima da je nekoliko hiljada njenih kupaca ugroženo, izvestila je novinska agencija DPA. Među prijavljenim žrtvama bile su i dve velike holandske kompanije za IT usluge – VelzArt i Hoppenbrouver Techniek. Većina žrtava ne prijavljuju javno napade i ne otkrivaju da li su platili otkupnine.
U nedelju je FBI rekao da će, dok istražuje napad, njegove razmere „možda biti takve da nećemo moći da odgovorimo svakoj žrtvi ponaosob“. Zamenica savetnice za državnu bezbednost SAD, En Nojberger je izjavila da je predsednik Džozef Bajden „usmerio sve državne resurse da istraže ovaj slučaj“ i pozvao sve koji smatraju da su ugroženi, da o tome obaveste FBI.
Bajden je u subotu nagovestio da će SAD odgovoriti ako se utvrdi da je Kremlj umešan. Pre manje od mesec dana, Bajden je pritisnuo ruskog predsednika Vladimira Putina da prestane da pruža utočište REvilu i drugim „rensomver“ bandama čije nemilosrdne iznuđivačke napade SAD smatraju pretnjom državnoj bezbednosti.
Danas je Putinov portparol Dmitrij Peskov odrečno odgovorio na pitanje o tome da li je Rusija svesna napada ili je to istražila. Nagovestio je da bi o tome mogle da razgovaraju SAD i Rusija na konsultacijama o pitanjima kibernetičke sigurnosti za šta nije navedeno kada.
Stručnjaci kažu da nije slučajno REvil pokrenuo napad na početku prazničnog vikenda u SAD, 4. jula, znajući da će američke kancelarije imati malo osoblja i da će mnoge žrtve o tome saznati tek u ponedeljak ili utorak.
Većina krajnjih korisnika „nema pojma“ čiji softver održava njihove mreže, rekao je izvršni direktor Fred Vokola iz napdnute softverske kompanije „Kaseya“.
Procenio je broj žrtava na nekoliko hiljada, uglavnom malih preduzeća poput „stomatoloških ordinacija, arhitektonskih firmi, centara za plastičnu hirurgiju, biblioteka i sličnog“.
Vokola je rekao da je ugroženo samo između 50-60 od 37.000 klijenata njegove kompanije. Ali 70 odsto su pružaoci usluga koji koriste hakovani VSA softver te kompanije za upravljanje mnogobrojnim drugim klijentima. Taj softver automatizuje instalaciju ažuriranja softvera i otkrivanja malvera i upravlja sigurnosnim kopijama i drugim vitalnim zadacima.
„Kaseya“ je rekla da je u subotu uveče poslala alat za otkrivanje napada na gotovo 900 adresa.
Ponuda REvila da ponudi dešifrovanje za sve žrtve napada na „Kaseya“ u zamenu za 70 miliona dolara ukazuje na nesposobnost te baande da se izbori sa ogromnom količinom zaraženih klijenataa, rekao je Alan Liska, analitičar sajber bezbednost iz firme „Recorded Future“.
Ali Kevin Rid iz „Acronisa“ rekao je da bi ponuda univerzalnog dekriptora mogla biti „PR štos“, jer neće biti potrebno ljudsko učešće da bi se platio osnovni zahtev za otkupninu od bar 45.000 dolara koji je očigledno poslat velikoj većini ciljeva. Analitičari su izvestili da ima zahteva za pet miliona i 500.000 dolara za veće ciljeve, za koje bi bili potrebni pregovori.
Analitičar Bret Kelou iz „Emsisofta“ rekao je da sumnja da se „REvil“ nada da bi osiguravači mogli utvrditi da im se više isplati da plate ukupno 70 miliona dolara nego da napadnute firme ne rade duže vreme.
Sofisticirane bande za „rensomver“ kakva je „REvil“, obično ispituju finansijsku evidenciju žrtve i polise osiguranja ako ih mogu naći u datotekama koje ukradu pre no što aktiviraju „rensomver“. Tada kriminalci prete da će ukradene podatke objaviti ukoliko im se ne plati, mada se u ovom slučaju to izgleda nije dogodilo. Ali ovaj napad je očigledno napao srž sistema. Izgleda da „REvil“ ima samo kodirane podatke o žrtvama.
Holandski istraživači rekli su da su na upad upozorili kompaniju „Kaseya“ koja je u Majamiju i rekli da su kriminalci koristili „nulti dan“ – tehnički naziv prethodno nepoznate „sigurnosne rupe“ u softveru.
U 2019. kriminalci su preko jedne mreže upali u mreže 22 opštine u Teksasu. Iste godine je 400 američkih stomatoloških ordinacija osakaćeno u drugom napadu.
Aktivan od aprila 2019, „REvil“ nudi otkupninu kao uslugu, što znači da razvija softver koji patališe mrežu i daje ga u zakup takozvanim podružnicama koje zaraze ciljeve i zarade lavovski deo otkupnina. Američki zvaničnici kažu da su najmoćnije bande otkupljivača sa sedištem u Rusiji i njoj savezničkim državama i da deluju sa tolerancijom Kremlja i ponekad u dosluhu sa ruskim službama bezbednosti.
Tagovi
