»

REvil se je vrnil

Slo-Tech - Julija je hekerska skupina REvil izginila z obličja interneta, potem ko so pred tem zagrešili najobsežnejši izsiljevalski napad v zgodovini. Tedaj se je špekuliralo, da jim je postalo prevroče, saj so ZDA ponudile 10 milijonov dolarjev nagrade za namige, ki bi privedli do aretacij odgovornih. REvil je sedaj nazaj.

REvil je (bila) ena najaktivnejših skupin, ki je z izsiljevalskimi virusi služila milijone. Izvira iz Rusije, trdijo ameriški obveščevalci in strokovnjaki, in deluje z vednostjo tamkajšnjih oblasti. Njihova spletna stran se imenuje Happy Blog, tam pa tik pred začetkom napada objavijo vzorec ukradenih podatkov, s čimer pokažejo resničnost in resnost napada. Tarčo nato zaklenjeno iz lastnih sistemov, za obnovitev podatkov pa zahtevajo odkupnino. Da tarči ne bi padlo na misel enostavno poradirati vsega in obnoviti iz varnostnih kopij, zagrozijo še z javno objavo ukradenih podatkov.

Portal Happy Blog, prek katerega potekajo tudi pogajanja s tarčami, je ponovno oživel v...

7 komentarjev

Konec največjega vdora v zgodovini, dešifrirni ključ od REvila znan

Slo-Tech - V začetku meseca se je odvil največji usklajeni hekerski napad doslej, ki ga je ruska skupina REvil izvedla nad več kot 1500 podjetji v več deset državah. Zahtevali so 50 milijonov dolarjev odkupnine za univerzalni ključ, ki bi odšifriral vse datoteke, zaklenjene z izsiljevalskim virusom, sicer pa so od posameznih podjetij zahtevali manj, odvisno od velikosti. Dobra dva tedna pozneje je skupina izginila z interneta. Sedaj je napada uradno konec, saj je javno dostopen univerzalni ključ za dešifriranje.

Napad je potekal prek vektorja, ki ga je predstavljajo orodje za oddaljeni nadzor strežnikov, ki ga nudi podjetje Kaseya. To je hitro zakrpalo luknje in pripravilo popravke, a na okuženih sistemih je bila škoda že storjena. Sedaj pa jo bo možno odpraviti, saj je Kasea pridobila univerzalni ključ za dekripcijo. Podpredsednica podjetja Dana Liedholm je dejala, da so ga dobili od zaupanja vrednega partnerja in da so ga že preizkusili. Vse stranke, ki še imajo težave, se lahko obrnejo na...

8 komentarjev

Kam so šli hekerji iz REvil?

zemljevid napadenih področij po podatkih firme Kaspersky

vir: Ars Technica
Reuters - Hekerska skupina REvil, ki je bila med drugim odgovorna tudi za največji koordiniran izsiljevalski napad, ki se je zgodil nedavno, je izginila z obličja interneta. Spletne strani, ki jih je upravljala skupina, so izginile v torek. Tudi druga infrastruktura, denimo strani za pogajanje z žrtvami o višini odkupnine, je prenehala delovati. Raziskovalci in novinarji, ki so pred tem lahko vzpostavili stik s skupino, so praznih rok.

To še ne pomeni nujno, da se jim je zgodilo kaj hudega, saj so v preteklosti podobne skupine že izginile, ko so pritegnile preveč pozornosti javnosti in zlasti organov pregona, ter se potem vrnile v drugačni embalaži. REvil je zagotovo požel ogromno pozornosti, saj so v svojem zadnjem napadu prizadeli od 800 do 1500 podjetij in organizacij po celem svetu. O njihovem početju so govorili tudi na najvišjih ravneh, ameriški predsednik pa je v petek dejal, da bi se lahko ZDA agresivneje odzivale na tovrstne grožnje, ter enako zahteval tudi od Rusije. Ameriške...

3 komentarji

Izsiljevalski napad skupine REvil ni omejen na ZDA

zemljevid napadenih področij po podatkih firme Kaspersky

vir: Ars Technica
ZDNet - Na dan prihajajo nove podrobnosti izsiljevalskega napada ruske grupe REvil, ki se je pričel v petek in je zlorabil ranljivost v programski opremi firme Kaseya. Potencialno je na udaru do 1500 podjetij, ki prihajajo tudi iz Evrope in Azije, zlikovci pa za univerzalni ključ zahtevajo petdeset milijonov dolarjev.

Letošnji ameriški praznik dneva neodvisnosti so varnostni strokovnjaki preždeli pred zasloni in s kavo v rokah, kajti na predvečer prazničnega vikenda, 2. julija, je zloglasna ruska hekerska združba REvil sprožila obsežen ransomware napad na mnoga podjetja, najprej prvenstveno v Združenih državah. Vektor napada je bila programska oprema VSA ameriškega podjetja Kaseya, ki jo njene stranke, to so upravljalci omrežij, uporabljajo za upravljanje računalniških sistemov podjetij in njihov nadzor na daljavo. Čez vikend so nepridipravi javno objavili zahtevo po odkupnini v višini 70 milijonov ameriških dolarjev v zameno za univerzalno orodje za odklep ugrabljenih podatkov, ki pa naj...

7 komentarjev

ZDA zajel val simultanih ransomware napadov

Reuters -
Najmanj 200 ameriških podjetij je bilo včeraj, na začetek prazničnega konca tedna v ZDA, žrtev obsežnega izsiljevalskega napada. Ta je potekal prek orodja VSA floridskega ponudnika Kaseya, ki ga ponudniki upravljanja sistemov uporabljajo za množično upravljanje in nadzor strežnikov, delovnih postaj, prenosnikov, tiskalnikov in omrežnih naprav pri svojih strankah.

Napadalci so tako simultano napadli približno dvesto strank osmih ponudnikov, ki so uporabljali Kaseyin VSA in jim zašifrirali podatke. V zameno pa seveda zahtevali odkupnine, ki glede na pomembnost in velikost posamezne družbe segajo od nekaj dolarskih tisočakov pa tja do petih milijonov ameriških dolarjev.

Predstavniki Kaseye, ki ima sicer okoli 40.000 strank, so sporočili, da morebitni napad preiskujejo in da so za vsak slučaj ugasnili del svoje infrastrukture, svoje stranke pa obveščajo, naj nemudoma ugasnejo svoje strežnike. Preiskavo so zagnali tudi v ameriški zvezni Agenciji za informacijsko varnost in...

16 komentarjev

Biden bo Putina v Ženevi izzval tudi glede ransomwara

Slo-Tech -
16. junija se bosta v Ženevi prvič v živo srečala predsednika Rusije in ZDA, Vladimir Putin in Joe Biden. Zadnji je že napovedal, da namerava sogovornika soočiti s problemom ransomwara, torej napadov s pomočjo izsiljevalske kode, za katere Bela hiša precej neposredno obtožuje Rusijo. ZDA so bile letos žrtve nekaj odmevnih tovrstnih napadov, v začetku maja je bil napaden naftovod Colonial Pipeline, minuli teden se je to primerilo največjemu svetovnemu dobavitelju mesa, brazilski družbi JBS, ki ima v ZDA velike predelovalne obrate.

Prvi napad ZDA pripisujejo ruski hekerski skupini DarkSide, ki naj ne bi bila povezana z ruskimi državnimi strukturami, vodstvo naftovoda pa je problem rešilo s plačilom 4,4 milijona ameriških dolarjev odkupnine. JBS je bil minuli teden prisiljen zaustaviti proizvodnjo v nekaterih svojih obratih v ZDA, Kanadi in Avstraliji, potem ko so si vdiralci pridobili dostop do sistema in so zagrozili z izbrisom podatkov. Za tem napadom naj bi stala skupina REvil,...

15 komentarjev

Od Acerja želijo izsiljevalci 50 milijonov dolarjev

Gizmodo - Zaradi okužbe z izsiljevalsko programsko opremo REvil, ki je že lani v Čilu onesposobila bančne poslovalnice, ima velike težave tajvanski proizvajalec računalnikov, prenosnikov in monitorjev Acer. Napadalci ob okužbi zahtevajo odkupnino v višini 50 milijonov dolarjev, kar je do sedaj znan znan rekord. Podjetje uradno napada ni potrdilo; dejali so, da imajo neobičajno situacijo in da poteka preiskava.

A vseeno so se podatki z Acerjevih strežnikov pojavili na spletni strani, kamor napadalci odlagajo ukradene dokumente žrtev REvila. V Bleeping Computer so kasneje uspeli potrditi, da je REvil napadel Acer in da terja 50 milijonov dolarjev odkupnine v kriptovaluti monero. Ob tem so napadalci posvarili Acer, naj ne stori podobne napake kot SolarWind. Za zdaj še ni jasno, kako so napadalci pridobili dostop do Acerjevih strežnikov, lahko pa bi šlo za zlorabo ranljivosti v Exchangeu.

Čeprav je številka 50 milijonov dolarjev astronomska, ima skupina REvil nekaj izkušenj z visokimi...

3 komentarji

Hekerji od argentinskega telekoma neuspešno zahtevali 7,5 milijona dolarjev

vir: ZDNet
ZDNet - Pretekli konec tedna so hekerji napadli sisteme drugega največjega argentinskega operaterja Telecom Argentina, ki ima tretjinski tržni delež. Napadalci so uspeli prevzeti nadzor nad Domain Adminom in nato namestiti izsiljevalsko programsko opremo na 18.000 delovnih postaj. Ob tem sicer ni prišlo do prekinitev zagotavljanja storitev (fiksna in mobilna telefonija, kabelska TV), so pa bile nedosegljive spletne strani. Hekerji so zahtevali 7,5 milijona dolarjev odkupnine v kriptovaluti monero (109345,35), kar se bo podvojili vsake tri dni, so dodali.

Kot poročajo viri iz podjetja in kažejo zaslonski posnetki, ki so jih na družbenih omrežjih delili nekateri zaposleni, je Telecom Argentina zaznal vdor takoj, ko se je zgodil. Zaposlene so pozvali, naj se ne povezujejo s službenim omrežjem prek VPN, naj omejijo uporabo omrežnih virov in naj ne odpirajo elektronske pošte s priponkami. Telecom Argentina incidenta sprva ni komentiral, prav tako ni razkril, ali nameravajo plačati odkupnino,...

18 komentarjev