Izsiljevalski napad skupine REvil ni omejen na ZDA

Na dan prihajajo nove podrobnosti izsiljevalskega napada ruske grupe REvil, ki se je pričel v petek in je zlorabil ranljivost v programski opremi firme Kaseya. Potencialno je na udaru do 1500 podjetij, ki prihajajo tudi iz Evrope in Azije, zlikovci pa za univerzalni ključ zahtevajo petdeset milijonov dolarjev.

Letošnji ameriški praznik dneva neodvisnosti so varnostni strokovnjaki preždeli pred zasloni in s kavo v rokah, kajti na predvečer prazničnega vikenda, 2. julija, je zloglasna ruska hekerska združba REvil sprožila obsežen ransomware napad na mnoga podjetja, najprej prvenstveno v Združenih državah. Vektor napada je bila programska oprema VSA ameriškega podjetja Kaseya, ki jo njene stranke, to so upravljalci omrežij, uporabljajo za upravljanje računalniških sistemov podjetij in njihov nadzor na daljavo. Čez vikend so nepridipravi javno objavili zahtevo po odkupnini v višini 70 milijonov ameriških dolarjev v zameno za univerzalno orodje za odklep ugrabljenih podatkov, ki pa naj bi jo v zadnjih dneh omilili na 50 milijonov.

Sedaj je že znanih tudi nekaj več podrobnosti tako o načinu napada kot o njegovem obsegu. Najprej je iz skopih podatkov kazalo, da gre za klasičen napad na dobavno verigo, torej nekaj podobnega kot razvpiti vdor SolarWinds, toda zdaj je jasno, da je situacija malce drugačna. Pri Kaseyi trdijo, da so malopridneži 0-day ranljivost izkoristili neposredno in da torej niso modificirali izvorne kode njihovega orodja VSA. V varnostni firmi Cybereason pravijo, da so napadalci prek luknje v programu Kaseya Agent Monitor nameščali zlobno kodo v omrežja upravljalcev sistemov in preko tega napadali končne stranke. Za supply-chain attack je šlo torej na zadnji relaciji, med upravljalci in podjetji. Za ranljivost so v Kaseyi sicer vedeli, ker jih je nanjo opozoril Dutch Institute for Vulnerability Disclosure (DIVD), kjer so tudi spremljali trud po krpanju luknje, toda REvil naj bi jih le za nekaj dni prehitel. Ni še jasno, kako so kriminalci za ranljivost izvedeli.

V Kaseyi so v začetku tedna sicer pojasnili, da je bilo na udaru med 50 in 60 njihovih strank, ki so upravljale omrežja med 800 in 1500 podjetij - končnih žrtev napada. Ciljne firme niso omejene na ZDA, čeprav jih je tam največ; tako je moral švedski trgovec Coop začasno zapreti okoli 800 trgovin, probleme pa javljajo tudi javne ustanove na Novi Zelandiji in podjetja v Romuniji ter Italiji. V sredo so pri Kaseyi sicer naposled zastavili postopek varnega posodabljanja kompromitiranega programja in njegovo ponovno zaganjanje. Toda to bo pridaničem zgolj zaprlo napadalno okno, medtem ko še vedno ostane velik problem množice zašifriranih podatkov, ki še vedno hromijo žrtve. Kako se bodo pristojni odločili glede odkupnine, še vedno ni jasno. Z napadom se ukvarjajo tudi ameriški obveščevalci, toda vprašanje je, ali bo imel resnejše posledice za ameriško-ruske odnose. Predsednik Biden je v sredo zatrdil, da je škoda v ZDA "minimalna", toda serijo zelo problematičnih hekerskih ofenziv ruskih akterjev na ameriške cilje v zadnjem času bo vedno težje pometati pod preprogo.