7 июля 2021 г.
Хакерская группа, стоящая за шифровальщиком REvil, затребовала самый большой выкуп в истории — 70 млн долл. — за дешифрование файлов более 1000 жертв, пострадавших от атаки через сервис Kaseya.
Предложение публично предоставить дешифратор всем пострадавшим являет собой смену тактики REvil, которая до сего времени требовала отдельные, меньшие суммы выкупа от каждой из жертв. До сих пор REvil требовала 5 млн долл. от крупных компаний, 500 тыс. долл. от небольших бизнесов, где блокированы файлы с несколькими расширениями, и 45 тыс. долл. от мелких фирм, где блокированы файлы с одним расширением.
«В пятницу 2 июля мы запустили атаку на поставщиков управляемых услуг, — сообщила REvil на своем сайте сливов в даркнете вечером в воскресенье. — Было инфицировано более миллиона систем. Если кто-то хочет договориться об универсальном дешифраторе, то наша цена — 70 млн долл. в биткоинах, и мы публично выложим дешифратор, который дешифрует файлы всех жертв, так что каждый сможет восстановить свои файлы после атаки менее чем за час».
Универсальный дешифратор даст более простой и быстрый способ восстановления, и REvil, вероятно, надеется, что страховщики посчитают 70 млн долл. малой платой за устранение простоев, поделился с CRN Бретт Каллоу (Brett Callow), аналитик по киберугрозам фирмы Emsisoft. Но Аллан Лиска (Allan Liska) из Recorded Future считает, что это предложение REvil означает, что группа просто не в состоянии сама справиться с таким количеством зараженных систем.
«Эта атака намного масштабнее, чем они ожидали, и привлекает много внимания, — сказал Лиска агентству Associated Press в воскресенье. — REvil заинтересована покончить с этим быстрее. Разгребать всё это — сущий кошмар».
REvil зашифровала системы более 1000 мелких компаний как минимум в 17 странах, взломав сети их поставщиков управляемых услуг (MSP) через уязвимость сервиса удаленного мониторинга и администрирования VSA от Kaseya. Главный управляющий Kaseya Фред Воккола (Fred Voccola) сообщил агентству Associated Press в воскресенье, что взломаны сети от 50 до
70 млн долл., затребованных REvil, — самый большой выкуп, о котором известно на сегодня. До этого рекордной была сумма в 50 млн долл., потребованная в марте той же REvil после атаки на тайваньского компьютерного гиганта Acer. В прошлом году REvil хотела получить 42 млн долл. от адвокатской фирмы Grubman Shire Meiselas & Сакс, клиентами которой числятся такие знаменитости, как Ники Минаж, Мэрайя Кэри и Леброн Джеймс.
В последние месяцы пострадавшие всё чаще готовы раскошелиться на многомиллионные выкупы. В мае Colonial Pipeline выплатила хакерской группе Darkside 4,3 млн долл., желая быстрее восстановить работу своего трубопровода протяженностью 5500 миль. Федеральные власти арестовали 2,3 млн долл. платежа Colonial, изучив общий реестр Bitcoin и выявив сумму, которая была переведена на определенный адрес.
В июне производитель фасованного мяса JBS выплатил REvil 11 млн долл., чтобы защитить свои предприятия от дальнейших потерь и ограничить потенциальные последствия для ресторанов, продуктовых магазинов и фермеров, сообщил тогда главный управляющий Андре Ногейра (Andre Nogueira).
Представитель Kaseya отказался комментировать, планирует ли компания выплатить 70 млн долл. выкупа, затребованные REvil, сославшись на идущее уголовное расследование.
«Это безусловно крупнейшая кибератака на цепочку поставок из не финансируемых иностранным государством, какую мы когда-либо встречали, — заявил Лиска газете The Washington Post в пятницу. — И, вероятно, крупнейшая атака с требованием выкупа, какую мы видели, по крайней мере, со времен WannaCry».
© 2021. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США