Российские хакеры REvil потребовали выкуп в размере 70 миллионов долларов в биткоинах за ключ дешифровки после кибератаки, жертвами которой стали около 1000 американских компаний.
Взлом, ставший крупнейшей в истории атакой вымогателей, затронул ИТ-системы до 1 миллиона компаний по всему миру, взломав системы американской компании по разработке программного обеспечения Kaseya, информируют Экономические новости со ссылкой на The Sun.
Среди пострадавших – школа в Новой Зеландии и шведская продуктовая сеть Coop., а также две крупные голландские ИТ-компании.
Между тем, хакеры, подозреваемые в том, что они стоят за массовым вымогательством, в конце воскресенья потребовали 70 миллионов долларов за восстановление данных, которые они удерживают в качестве выкупа – согласно сообщению на анонимном веб-сайте.
Требование было опубликовано в блоге, обычно используемом киберпреступной группировкой REvil – группой, связанной с Россией, которая считается одной из самых активных вымогателей в мире киберпреступности.
Структура этой преступной группировки иногда затрудняет определение того, кто выступает от имени хакеров.
Однако Аллан Лиска из фирмы по кибербезопасности Recorded Future сказал Reuters, что сообщение “почти наверняка” исходило от основного руководства REvil.
Атака, произошедшая в пятницу, стала одним из самых драматичных взломов в истории, среди серии все более привлекающих внимание действий киберхакеров.
Президент США Джо Байден в субботу был назван “слабаком” в борьбе с Владимиром Путиным, после того как сотни американских компаний пострадали от взлома.
Лидер меньшинства Палаты представителей Кевин Маккарти написал в Твиттере в выходные: “Помните, как президент Байден дал Путину список объектов, которые должны были быть недоступны для кибератак? Он ДОЛЖЕН был сказать, что ВСЕ американские объекты находятся под защитой”.
Республиканец добавил: “Байден мягок к преступности и слаб против Путина”.
Байден ранее заявил, что разведка “не уверена, что Россия виновата” в атаке с использованием вымогательского ПО.
“Мы не уверены, что это русские. Я поручил разведывательному сообществу дать мне глубокую информацию о том, что произошло, и завтра я буду знать лучше”, — сказал президент.
Но он предупредил: “Если это происходит с ведома и/или под влиянием России, то я сказал Путину, что мы ответим”.
Джон Хаммонд из компании Huntress Labs, занимающейся вопросами безопасности, сказал, что за атакой, по-видимому, стоит группировка REvil, крупный русскоязычный синдикат разработчиков программ-выкупов.
Назвав ее “колоссальной и разрушительной атакой на цепочку поставок”, Хаммонд сказал, что преступники нацелились на поставщика программного обеспечения под названием Kaseya.
Затем они использовали его пакет для управления сетью, чтобы распространить вымогательское ПО через поставщиков облачных услуг, сказал Хаммонд.
Другие эксперты согласны с такой оценкой.
Джеймс Шэнк из компании Team Cymru, занимающейся анализом угроз, сказал, что “есть основания полагать, что время было запланировано”, чтобы приурочить его к празднованию четвертого июля.
По словам исследователя кибербезопасности, чья компания реагировала на инцидент, первоначально считалось, что в пятницу была парализована работа по меньшей мере 200 компаний.
В более поздних отчетах эта цифра приблизилась к отметке 1000, а карта, показывающая распространение вторжения, все еще находится в фокусе внимания.
Нарушения стали достоянием общественности, когда шведская сеть продуктовых магазинов Coop была вынуждена закрыть сотни магазинов в субботу – в результате атаки кассовые аппараты были выведены из строя.
Среди пострадавших были школы, небольшие государственные учреждения, туристические и развлекательные организации, а также кредитные союзы и бухгалтеры.
Однако Аллан Лиска считает, что хакеры, возможно, успели сделать больше, чем могли “проглотить”, заблокировав данные сотен компаний одновременно.
По его словам, требование огромной суммы в 70 миллионов долларов – это попытка извлечь максимальную выгоду из сложной ситуации.
Федеральное агентство по кибербезопасности и инфраструктурной безопасности в своем заявлении в конце пятницы сообщило, что внимательно следит за ситуацией и работает с ФБР над сбором дополнительной информации о ее последствиях.
CISA призвало всех, кто может пострадать, “следовать указаниям Kaseya и немедленно отключить серверы VSA”.
Компания Kaseya управляет так называемым виртуальным системным администратором, или VSA, который используется для удаленного управления и мониторинга сети клиента.
В прошлом месяце Байден заявил, что передал Путину список из 16 американских организаций, которые находятся “под запретом”.
Выступая перед журналистами, он сказал: “Я говорил о том, что определенная критически важная инфраструктура должна быть закрыта для атак – точка – кибернетических или любых других средств”.
“Я дал им список – 16 конкретных объектов, которые определены как критическая инфраструктура в соответствии с политикой США, от энергетического сектора до наших систем водоснабжения”.
Это произошло после двух кибератак на Colonial Pipeline и мясоперерабатывающую компанию JBS Holdings.
Как сообщается, обе компании заплатили миллионы долларов выкупа, чтобы восстановить доступ к своим системам, сообщает Fox News.
Активная с апреля 2019 года группа, известная как REvil, занимается распространением программ-вымогателей как услуги.
Это означает, что она разрабатывает сетевое парализующее программное обеспечение и сдает его в аренду тем, кто заражает цели и получает львиную долю выкупа.
REvil входит в число преступных группировок, которые крадут данные у целей перед активацией вымогательского ПО, что повышает эффективность их вымогательской деятельности.
Средний размер выкупа, выплачиваемого этой группировке, составил около полумиллиона долларов в прошлом году, говорится в недавнем отчете компании по кибербезопасности Palo Alto Networks.
Кто такие REvil?
- REvil – это русскоязычная хакерская группировка, появившаяся в 2019 году.
- По имеющимся данным, она зарабатывает более $100 млн в год.
- Группировка, которая также известна как Sodinokobi, нацелена на крупные мировые компании и требует оплату в биткоинах.
- REvil имеет страницу в даркнете под названием Happy Blog, где она ранее сливала конфиденциальную информацию из компаний, на которые нацелена.
- Нет фактических данных, что группировка имеет связи с российскими чиновниками.