»

REvil kmalu po vrnitvi ponovno tarča organov pregona

Slo-Tech - Hekerska skupina REvil, ki so jo letos poleti demontirali organi pregona ZDA in partnerskih držav, je zatem poniknila in se minuli mesec ponovno pojavila. A nova epizoda njihovega veka je bila kratka, saj so jo že ta teden s hekerskim napadom organi pregona ponovno onesposobili. Kot kaže, so proti njim uporabili kar lastno orožje, saj so zlikovci storili precej osnovnošolskih napak.

Ko je pred štirimi dnevi spletna stran REvila izginila, sta zaokrožili dve teoriji. Bodisi je stran po hitrem postopku pospravil kakšen nezadovoljen nekdanji vodja bodisi so vanjo vdrli organi pregona. Čeprav je to običajno manj verjetno, je to pot resničen drugi scenarij. Uradne potrditve iz FBI sicer ni, a strokovnjaki iz več podjetij ugotavljajo, da so FBI, Tajna služba, Cyber Command in partnerji ponovno onesposobili REvil. Po novem je to lažje z organizacijskega vidika, saj so ZDA napade z izsiljevalskimi virusi uvrstile na seznam nacionalnih groženj podobno kot terorizem, kar omogoča aktivacijo...

0 komentarjev

Kam so šli hekerji iz REvil?

zemljevid napadenih področij po podatkih firme Kaspersky

vir: Ars Technica
Reuters - Hekerska skupina REvil, ki je bila med drugim odgovorna tudi za največji koordiniran izsiljevalski napad, ki se je zgodil nedavno, je izginila z obličja interneta. Spletne strani, ki jih je upravljala skupina, so izginile v torek. Tudi druga infrastruktura, denimo strani za pogajanje z žrtvami o višini odkupnine, je prenehala delovati. Raziskovalci in novinarji, ki so pred tem lahko vzpostavili stik s skupino, so praznih rok.

To še ne pomeni nujno, da se jim je zgodilo kaj hudega, saj so v preteklosti podobne skupine že izginile, ko so pritegnile preveč pozornosti javnosti in zlasti organov pregona, ter se potem vrnile v drugačni embalaži. REvil je zagotovo požel ogromno pozornosti, saj so v svojem zadnjem napadu prizadeli od 800 do 1500 podjetij in organizacij po celem svetu. O njihovem početju so govorili tudi na najvišjih ravneh, ameriški predsednik pa je v petek dejal, da bi se lahko ZDA agresivneje odzivale na tovrstne grožnje, ter enako zahteval tudi od Rusije. Ameriške...

3 komentarji

Izsiljevalski napad skupine REvil ni omejen na ZDA

zemljevid napadenih področij po podatkih firme Kaspersky

vir: Ars Technica
ZDNet - Na dan prihajajo nove podrobnosti izsiljevalskega napada ruske grupe REvil, ki se je pričel v petek in je zlorabil ranljivost v programski opremi firme Kaseya. Potencialno je na udaru do 1500 podjetij, ki prihajajo tudi iz Evrope in Azije, zlikovci pa za univerzalni ključ zahtevajo petdeset milijonov dolarjev.

Letošnji ameriški praznik dneva neodvisnosti so varnostni strokovnjaki preždeli pred zasloni in s kavo v rokah, kajti na predvečer prazničnega vikenda, 2. julija, je zloglasna ruska hekerska združba REvil sprožila obsežen ransomware napad na mnoga podjetja, najprej prvenstveno v Združenih državah. Vektor napada je bila programska oprema VSA ameriškega podjetja Kaseya, ki jo njene stranke, to so upravljalci omrežij, uporabljajo za upravljanje računalniških sistemov podjetij in njihov nadzor na daljavo. Čez vikend so nepridipravi javno objavili zahtevo po odkupnini v višini 70 milijonov ameriških dolarjev v zameno za univerzalno orodje za odklep ugrabljenih podatkov, ki pa naj...

7 komentarjev

ZDA zajel val simultanih ransomware napadov

Reuters -
Najmanj 200 ameriških podjetij je bilo včeraj, na začetek prazničnega konca tedna v ZDA, žrtev obsežnega izsiljevalskega napada. Ta je potekal prek orodja VSA floridskega ponudnika Kaseya, ki ga ponudniki upravljanja sistemov uporabljajo za množično upravljanje in nadzor strežnikov, delovnih postaj, prenosnikov, tiskalnikov in omrežnih naprav pri svojih strankah.

Napadalci so tako simultano napadli približno dvesto strank osmih ponudnikov, ki so uporabljali Kaseyin VSA in jim zašifrirali podatke. V zameno pa seveda zahtevali odkupnine, ki glede na pomembnost in velikost posamezne družbe segajo od nekaj dolarskih tisočakov pa tja do petih milijonov ameriških dolarjev.

Predstavniki Kaseye, ki ima sicer okoli 40.000 strank, so sporočili, da morebitni napad preiskujejo in da so za vsak slučaj ugasnili del svoje infrastrukture, svoje stranke pa obveščajo, naj nemudoma ugasnejo svoje strežnike. Preiskavo so zagnali tudi v ameriški zvezni Agenciji za informacijsko varnost in...

16 komentarjev

Colonial Pipeline plačal pet milijonov dolarjev odkupnine

Bloomberg - Colonial Pipeline je hekerjem, ki so z izsiljevalskim virusom izsilili ustavitev delovanja največjega ameriškega naftovoda, izplačal skoraj pet milijonov dolarjev odkupnine, sklicujoč se na vire iz podjetja piše Bloomberg. Izplačilo naj bi izvedli v kriptovaluti, ki ji je težko slediti. Po neuradnih podatkih naj bi bile ameriške oblasti seznanjene z dejstvom, da je bila odkupnina plačana. Hekerji naj bi po prejemu odkupnine podjetju predali orodje za dešifriranje podatkov, ki pa je tako počasno, da raje nadaljujejo obnavljanje iz varnostnih kopij. Uradnih vesti iz podjetja ni, je pa začelo gorivo teči danes okrog polnoči po slovenskem času.

Hekerji so včasih zgolj zašifrirali datoteke in zahtevali plačilo odkupnine za obnovo, a so sčasoma izsiljevanje podvojili. Ker so podjetja tedaj podatke pač obnovila iz varnostnih kopij, jim sedaj zagrozijo še z javnim razkritjem vseh ukradenih podatkov. Kljub temu FBI še priporoča, da se odkupnina ne plača. A v veliko primerih podjetja...

9 komentarjev

Od Acerja želijo izsiljevalci 50 milijonov dolarjev

Gizmodo - Zaradi okužbe z izsiljevalsko programsko opremo REvil, ki je že lani v Čilu onesposobila bančne poslovalnice, ima velike težave tajvanski proizvajalec računalnikov, prenosnikov in monitorjev Acer. Napadalci ob okužbi zahtevajo odkupnino v višini 50 milijonov dolarjev, kar je do sedaj znan znan rekord. Podjetje uradno napada ni potrdilo; dejali so, da imajo neobičajno situacijo in da poteka preiskava.

A vseeno so se podatki z Acerjevih strežnikov pojavili na spletni strani, kamor napadalci odlagajo ukradene dokumente žrtev REvila. V Bleeping Computer so kasneje uspeli potrditi, da je REvil napadel Acer in da terja 50 milijonov dolarjev odkupnine v kriptovaluti monero. Ob tem so napadalci posvarili Acer, naj ne stori podobne napake kot SolarWind. Za zdaj še ni jasno, kako so napadalci pridobili dostop do Acerjevih strežnikov, lahko pa bi šlo za zlorabo ranljivosti v Exchangeu.

Čeprav je številka 50 milijonov dolarjev astronomska, ima skupina REvil nekaj izkušenj z visokimi...

3 komentarji

V Čilu zaradi hekerskega napada banka zaprla vse poslovalnice

Slo-Tech - Druga največja banka v Čilu, BancoEstado, je včeraj zaradi hekerskega napada zaprla vse poslovalnice v državi, so sporočili iz te južnoameriške države. Napad se je zgodil konec tedna in je po neuradnih podatkih potekal z izsiljevalsko programsko opremo REvil (Sodinokibi). Kot kažejo prve informacije, se je začel kot večina tovrstnih vdorov. Zaposleni je prejel okužen Officeov dokument, ki ga je odprl in s tem omogočil hekerjem stranska vrata za vstop. V noči s petka na soboto so napadalci ta vrata izkoristili za dostop do omrežja in namestitev REvila. Zaposleni, ki so delali med vikendom, so v soboto zjutraj ugotovili, da do svojih datotek niso imeli dostopa, ker jih je virus zašifriral.

Cel vikend je potekala operacija reševanja, a do ponedeljka ni uspela, zato so morali napad priznati javnosti. To so storili že v nedeljo, še dan prej pa so obvestili organe pregona in finančnega regulatorja. Po neuradnih podatkih naj bi izsiljevalska koda uspešno zašifrirala večino podatkov na...

4 komentarji

Hekerji od argentinskega telekoma neuspešno zahtevali 7,5 milijona dolarjev

vir: ZDNet
ZDNet - Pretekli konec tedna so hekerji napadli sisteme drugega največjega argentinskega operaterja Telecom Argentina, ki ima tretjinski tržni delež. Napadalci so uspeli prevzeti nadzor nad Domain Adminom in nato namestiti izsiljevalsko programsko opremo na 18.000 delovnih postaj. Ob tem sicer ni prišlo do prekinitev zagotavljanja storitev (fiksna in mobilna telefonija, kabelska TV), so pa bile nedosegljive spletne strani. Hekerji so zahtevali 7,5 milijona dolarjev odkupnine v kriptovaluti monero (109345,35), kar se bo podvojili vsake tri dni, so dodali.

Kot poročajo viri iz podjetja in kažejo zaslonski posnetki, ki so jih na družbenih omrežjih delili nekateri zaposleni, je Telecom Argentina zaznal vdor takoj, ko se je zgodil. Zaposlene so pozvali, naj se ne povezujejo s službenim omrežjem prek VPN, naj omejijo uporabo omrežnih virov in naj ne odpirajo elektronske pošte s priponkami. Telecom Argentina incidenta sprva ni komentiral, prav tako ni razkril, ali nameravajo plačati odkupnino,...

18 komentarjev

Avstrijski A1 pol leta v primežu hekerjev

Heise - Heise razkriva, da je bil vsaj od lanskega novembra avstrijski mobilni operater A1 Telekom Austria žrtev hekerskega napada. Preiskovalci so bili napadu nekaj mesecev na sledi, a so sistemsko čiščenje zaradi epidemije koronavirusa prestavili z marca na maj. To namreč ni enostaven postopek, saj so morali sočasno zamenjati gesla vseh zaposlenih, odstraniti stranska vrata v webshellu, izdati nove golden tickets za Kerberos strežnike Active Directoryja itd. Le tako so lahko zagotovili, da se napadalci ne morejo vrniti.

V zadnjih mesecih so poskrbeli, da prek okuženih sistemov niso pretakali pomembnih podatkov, hkrati pa niso smeli vzbuditi pozornosti napadalcev, je dejal vodja računalniške varnosti pri A1 Wolfgang Schwabl. Napad se je zgodil že novembra lani, in sicer je - za zdaj prek neznanega vektorja, bržkone ukradenih prijavnih podatkov - najprej doletel eno običajno delovno postajo. Od tam so se potem počasi prebijali po omrežju, najprej do prvega neustrezno zaščitenega strežnika...

36 komentarjev

Največja bolnišnica v New Jerseyju plačala odkupnino zaradi hekerskega napada

Slo-Tech - Največji sistem bolnišnic v New Jerseyju je zaradi napada z izsiljevalsko programsko opremo plačal odkupnino hekerjem, so potrdili v Hackensack Meridian Health (HMH). HMH je neprofitni zdravstveni sistem s šestimi milijardami dolarjev letnega prometa, ki vključuje 17 bolnišnic, negovalnih bolnišnic in zdravstvenih domov. Hekerski napad jih je prizadel 2. decembra letos in za pet dni popolnoma ohromil delovanje bolnišnic. Odpovedovali so posege in operacije, tudi že sprejeti bolniki so imeli težave.

Sedaj se delovanje vrača v ustaljene tirnice, k čemur je pomagalo tudi plačilo odkupnine. Po zagotovilih pristojnih ni nobenih indicev, da bi hekerji prišli do podatkov o bolnikih ali zaposlenih. So pa hekerji onesposobili sisteme za naročanje in zaračunavanje storitev, zaradi česar so odpovedali približno 100 nenujnih posegov. V bolnišnici so potrdili plačilo odkupnine, niso pa razkrili podrobnosti, torej zneska in koliko podatkov ter kako so jih obnovili. Pojasnili so, da zaradi...

30 komentarjev

Univerza v Calgaryju izsiljevalcem plačala 14.000 evrov

Slo-Tech - Da izsiljevalski virusi postajajo čedalje resnejši problem priča tudi naraščajoče število organizacij, ki po okužbi raje plačajo odkupnino, kot da bi tvegale izgubo primarnih podatkov in obnavljanje iz - očitno nezanesljivih - varnostnih kopij. Univerza v Calgaryju je naslednja na seznamu žrtev.

Kot je sporočila njihov prodekanja za finančno poslovanje, so se v zadnjih 10 dneh ukvarjali z vdorom v informacijski sistem, ki so ga končali s plačilom 20.000 kanadskih dolarjev (14.000 evrov) odkupnine. Del napada je bila tudi izsiljevalska programska oprema, ki jim je zašifrirala pomembne podatke. S plačilom odkupnine so prejeli dešifrirne ključe, sedaj pa se njihov informacijski oddelek ukvarja z obnavljanjem podatkov in čiščenjem sistemov. Primer so prijavili...

21 komentarjev

Po Sloveniji se širi Cryptolocker

Slo-Tech - Tudi po Sloveniji je začel krožiti virus z imenom Cryptolocker, sicer v protivirusnih definicijah označen kakor Trojan:Win32/Crilock, ki od uporabnikov terja plačilo 100 dolarjev. Cryptolocker sodi v družino ransomware, kakor s tujko označujemo izsiljevalsko programsko opremo. Po namestitvi namreč zašifrira ključne podatkovne datoteke na disku, potem pa od uporabnika terja plačilo odkupnine v zameno za ključ, ki naj bi omogočil odklep.

Po Sloveniji se je intenzivneje razširil danes, tako da je nanj opozoril tudi SI-CERT. Znano je, da virus poišče in zašifrira datoteke s končnicami, ki so značilne za podatkovne datoteke (odt, doc, docx, xls, xlsx, ppt, pptx, mdb, jpg in številne druge). To kaže, da je namenjen povzročanju škode. Varnostni...

61 komentarjev