هکرها 70 میلیون دلار برای پایان دادن به بزرگترین حمله باج افزار به ثبت رسیده تقاضا می کنند

تیم های امنیت سایبری با تب و تاب تلاش می کنند تا تأثیر بزرگترین جهانی را مهار کنند حمله باج افزار با ضبط جزئیات ، در مورد چگونگی شکسته شدن باند وابسته به روسیه در پشت شرکتی که نرم افزار آن مجرا بود ، ظاهر شد.

وابسته به باند بدنام REVIL ، که بیشتر به خاطر آن شناخته می شود 11 میلیون دلار از پردازنده گوشت JBS باج گیری محققان امنیت سایبری گفتند ، پس از حمله روز یادبود ، هزاران قربانی در حداقل 17 کشور در روز جمعه آلوده شدند ، که عمدتا از طریق شرکت هایی است که از راه دور زیرساخت های فناوری اطلاعات را برای چندین مشتری مدیریت می کنند.

محققان گفتند که REvil خواستار باج تا سقف 5 میلیون دلار بود. اما اواخر روز یکشنبه ، در یک ارسال در وب سایت تاریک خود ، یک کلید نرم افزاری رمزگشایی جهانی ارائه داد که در ازای دریافت 70 میلیون دلار ارز رمزنگاری شده ، همه دستگاه های آسیب دیده را از بین می برد.

پیش از این ، FBI در بیانیه ای گفته بود كه در حالی كه این حمله را بررسی می كرد ، مقیاس آن “ممكن است باعث شود تا ما نتوانیم به طور جداگانه به هر قربانی پاسخ دهیم.” بعداً معاون مشاور امنیت ملی آن نوبرگر بیانیه ای صادر كرد و گفت كه رئیس جمهور جو بایدن “منابع كامل دولت را برای تحقیق در این حادثه راهنمایی كرده است” و از همه کسانی كه معتقد بودند با آنها مصالحه شده است خواست كه به FBI هشدار دهند.

آقای بایدن روز شنبه پیشنهاد کرد اگر مشخص شود که کرملین در این ماجرا دخیل است ، ایالات متحده پاسخ خواهد داد. کمتر از یک ماه پیش ، وی ولادیمیر پوتین ، رئیس جمهور روسیه را تحت فشار قرار داد تا از دادن پناهگاه امن به REvil و سایر باندهای باج افزار که حملات غیرقانونی اخاذی آنها به عنوان تهدیدی برای امنیت ملی در آمریکا می داند ، جلوگیری کند.

روز دوشنبه ، از دیمیتری پسکوف ، سخنگوی پوتین ، س ifال شد که آیا روسیه از حمله آگاه است یا آن را بررسی کرده است؟ وی گفت نه ، اما اظهار داشت كه این موضوع می تواند توسط آمریكا و روسیه در مشاوره در مورد مسائل امنیت سایبری مورد بحث قرار گیرد كه هیچ جدول زمانی مشخص نشده است.

طیف گسترده ای از قربانیان

شرکت امنیت سایبری Sophos گزارش داد ، طیف گسترده ای از مشاغل و م agenciesسسات دولتی مورد حمله اخیر قرار گرفتند ، ظاهراً در همه قاره ها ، از جمله در خدمات مالی ، مسافرت و اوقات فراغت و بخش دولتی ، هرچند تعداد کمی از شرکت های بزرگ است. مجرمان باج افزار به شبکه ها نفوذ می کنند و بدافزارهایی را می پرورانند که با درهم ریختن تمام داده های آنها آنها را فلج می کند. قربانیان با پرداخت هزینه ای کلید رمزگشایی دریافت می کنند.

زنجیره مواد غذایی سوئدی کوپ گفت که بسیاری از 800 فروشگاه آن برای روز دوم یکشنبه تعطیل است زیرا تامین کننده نرم افزار صندوق پول آنها فلج شده است. یک زنجیره داروخانه سوئدی ، پمپ بنزین ، راه آهن دولتی و پخش کننده عمومی SVT نیز مورد ضربه قرار گرفتند.

خبرگزاری آلمان گزارش داد ، در آلمان ، یک شرکت خدمات فناوری اطلاعات بدون نام به مقامات گفت که هزاران مشتری خود را به خطر انداخته اند. همچنین در میان قربانیان گزارش شده ، دو شرکت بزرگ خدمات فناوری اطلاعات هلندی ، VelzArt و Hoppenbrouwer Techniek وجود دارد. بیشتر قربانیان باج افزار بطور علنی حملات را گزارش نمی دهند و یا در صورت پرداخت دیه اعلام نمی کنند.

مدیر عامل شرکت Fred Voccola از شرکت نرم افزاری نقض شده ، Kaseya ، تعداد قربانیان را در هزاران کم ، بیشتر مشاغل کوچک مانند “اقدامات دندانپزشکی ، شرکت های معماری ، مراکز جراحی پلاستیک ، کتابخانه ها ، مواردی از این قبیل” تخمین زد.

این شرکت روز دوشنبه در اطلاعیه ای که در وب سایت خود منتشر کرد ، گفت که “متأسفانه قربانی یک حمله سایبری پیچیده شده است.”

وکوکلا در مصاحبه ای گفت که فقط 50 تا 60 نفر از 37000 مشتری این شرکت در معرض خطر قرار گرفته اند. اما 70٪ ارائه دهندگان خدمات مدیریت شده بودند که از نرم افزار هک شده VSA شرکت برای مدیریت چندین مشتری استفاده می کنند. نصب نرم افزار و به روزرسانی های امنیتی را به صورت خودکار انجام می دهد و پشتیبان گیری و سایر کارهای حیاتی را مدیریت می کند.

زمان بندی استراتژیک

کارشناسان می گویند که تصادفی نبود که REvil حمله را در آغاز تعطیلات آخر هفته چهارم ژوئیه آغاز کرد ، زیرا می دانست دفترهای ایالات متحده به راحتی کار می کنند. ممکن است بسیاری از قربانیان تا زمانی که روز دوشنبه به محل کار خود برنگردند از آن چیزی مطلع نشوند وككولا گفت ، بیشتر كاربران نهایی ارائه دهندگان خدمات مدیریت شده “هیچ ایده ای” ندارند كه با نرم افزار آنها شبكه ها را وادار می كنند.

Kaseya گفت كه شنبه شب ابزاری را برای نزدیك به 900 مشتری ارسال كرده است.

این شرکت هشدار داد: “ما توسط متخصصان خارجی خود به ما توصیه کرده ایم که مشتریانی که باج افزار را تجربه می کنند و از طرف مهاجمان ارتباط برقرار می کنند ، نباید روی هر پیوندی کلیک کنند – ممکن است آنها اسلحه باشند.”

آلن لیسکا ، تحلیلگر شرکت امنیت سایبری Recorded Future ، گفت که پیشنهاد REvil برای ارائه رمزگشایی پتو برای همه قربانیان حمله Kaseya در ازای دریافت 70 میلیون دلار ، نشان دهنده عدم توانایی آن در کنار آمدن با تعداد زیادی از شبکه های آلوده است. اگرچه تحلیلگران مشاهده کردند که خواسته های 5 میلیون و 500 هزار دلاری برای اهداف بزرگتر است ، اما ظاهرا برای بیشتر آنها 45000 دلار طلب داشته است.


هزینه حملات باج افزار به مشاغل

04:39

لیسکا گفت: “این حمله بسیار بزرگتر از حد انتظار آنها است و مورد توجه بسیاری قرار می گیرد. به نفع REVil است که سریع آن را خاتمه دهیم.” “این یک کابوس برای مدیریت است.”

تحلیلگر برت کالوو ، از Emsisoft ، اظهار داشت که وی مظنون است REVil امیدوار است که بیمه ها بتوانند این رقم ها را خرد کنند و تعیین کنند 70 میلیون دلار برای آنها ارزان تر از زمان توقف طولانی مدت باشد.

کوین رید از شرکت آکرونیس گفت که ارائه یک رمزگشای جهانی می تواند یک مانع روابط عمومی باشد زیرا هیچ گونه دخالت انسانی برای پرداخت مطالبه بازپرداخت پایه 45000 دلاری که ظاهراً به اکثریت قریب به اتفاق اهداف ارسال شده است ، مورد نیاز نخواهد بود. تحلیلگران گزارش کردند که خواسته های 5 میلیون و 500 هزار دلاری برای اهداف بزرگتر را که نیاز به مذاکره دارد ، می بینند.

باندهای پیچیده باج افزار در سطح REvil معمولاً سوابق مالی قربانی – و در صورت یافتن بیمه نامه ها – را از پرونده هایی که سرقت می کنند قبل از فعال سازی باج افزار ، بررسی می کنند. جنایتکاران سپس تهدید می کنند که داده های سرقت شده را به صورت آنلاین می ریزند ، مگر اینکه پول آنها پرداخت شود. در این حمله ، به نظر می رسد که این اتفاق نیفتاده است.

چگونه آنها این کار را کردند

محققان هلندی گفتند كه آنها Kaseya مستقر در میامی را نسبت به این نقض هشدار داده و گفته اند كه مجرمان از “روز صفر” استفاده می كنند ، اصطلاح صنعت برای حفره امنیتی ناشناخته قبلی در نرم افزار. Voccola این را تأیید نمی کند یا جزئیات نقض را ارائه نمی دهد – به جز اینکه می گوید این فیشینگ نبوده است.

وی گفت: “سطح پیچیدگی در اینجا فوق العاده بود.”

هنگامی که شرکت امنیت سایبری Mandiant تحقیقات خود را به پایان رساند ، Voccola اظهار اطمینان کرد که اطمینان دارد این نشان خواهد داد که مجرمان فقط کد Kaseya را در ورود به شبکه خود نقض نکرده اند بلکه از آسیب پذیری های نرم افزار شخص ثالث نیز استفاده کرده اند.

این اولین حمله باج افزار به اهرم ارائه دهندگان خدمات مدیریت شده نبود. در سال 2019 ، مجرمان از طریق یکی از شبکه های 22 شهرداری تگزاس سر و صدا کردند. در همان سال ، 400 عمل دندانپزشکی ایالات متحده در یک حمله جداگانه فلج شد.

ویکتور گرورز ، یکی از محققان آسیب پذیری هلندی ، گفت که تیم او به دلیل کنترل کامل منابع گسترده محاسباتی که می توانند ارائه دهند ، نگران محصولاتی مانند VSA Kaseya هستند. وی روز یکشنبه در یک وبلاگ نوشت: “هر چه بیشتر محصولاتی که برای ایمن و ایمن نگه داشتن شبکه ها استفاده می شوند ضعف های ساختاری را نشان می دهند.”

شرکت امنیت سایبری ESET قربانیان حداقل 17 کشور از جمله انگلستان ، آفریقای جنوبی ، کانادا ، آرژانتین ، مکزیک ، اندونزی ، نیوزلند و کنیا را شناسایی کرد.


مذاکره با هکرهای باج افزار

10:36

Kaseya می گوید این حمله فقط مشتریان “مبتنی بر” را تحت تأثیر قرار داده است ، سازمان هایی که مراکز داده خود را اداره می کنند ، در مقابل سرویس های مبتنی بر ابر آن برای نرم افزار برای مشتریان اجرا می شود. با این حال ، این سرورها را نیز برای احتیاط خاموش کرد.

Kaseya ، که روز جمعه از مشتریان خواسته بود سرورهای VSA خود را فوراً خاموش كنند ، روز یكشنبه اظهار امیدواری كرد كه در چند روز آینده وصله ای داشته باشد.

REVil از آوریل 2019 فعال است ، باج افزار را به عنوان سرویس ارائه می دهد ، به این معنی که نرم افزار فلج شبکه را توسعه می دهد و آن را به اصطلاح وابسته هایی که اهداف را آلوده می کنند و سهم شیر باج ها را می گیرند اجاره می دهد. مقامات آمریکایی می گویند قوی ترین باندهای باج افزار در روسیه و ایالات متحد مستقر هستند و با تحمل کرملین فعالیت می کنند و گاهی با سرویس های امنیتی روسیه تبانی می کنند.

طبق Cybereason ، تجارت های سراسر دنیا با استفاده از باج افزار تقریباً هر 11 ثانیه مورد حمله قرار می گیرند. این شرکت امنیتی پیش بینی کرده است که زیان باج افزارهای جهانی در سال جاری به 20 میلیارد دلار می رسد.

دیمیتری آلپروویچ ، متخصص امنیت سایبری ، از اندیشکده Silverado Policy Accelerator ، گفت که اگرچه او اعتقاد ندارد که حمله Kaseya هدایت شده توسط کرملین است ، اما این نشان می دهد که پوتین “هنوز در زمینه تعطیلی مجرمان سایبری حرکت نکرده است”

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *