هکرها 70 میلیون دلار برای پایان دادن به بزرگترین حمله باج افزار به ثبت رسیده تقاضا می کنند

بوستون – تیم های امنیت سایبری با تب و تاب در تلاشند تا تأثیر بزرگترین جهانی را مهار کنند حمله باج افزار با ضبط جزئیات ، در مورد چگونگی شکسته شدن باند وابسته به روسیه در پشت شرکتی که نرم افزار آن مجرا بود ، ظاهر شد.

وابسته به باند بدنام REVIL ، معروف ترین 11 میلیون دلار از پردازنده گوشت JBS باج گیری محققان امنیت سایبری گفتند ، پس از حمله روز یادبود ، هزاران قربانی در حداقل 17 کشور در روز جمعه آلوده شدند ، که عمدتا از طریق شرکت هایی است که از راه دور زیرساخت های فناوری اطلاعات را برای چندین مشتری مدیریت می کنند.

محققان گفتند که REvil خواستار باج تا سقف 5 میلیون دلار بود. اما اواخر روز یکشنبه ، در یک ارسال در وب سایت تاریک خود ، یک کلید نرم افزاری رمزگشایی جهانی ارائه داد که در ازای دریافت 70 میلیون دلار ارز رمزنگاری شده ، همه دستگاه های آسیب دیده را از بین می برد.

پیش از این ، FBI در بیانیه ای گفته بود كه در حالی كه این حمله را بررسی می كرد ، مقیاس آن “ممكن است باعث شود تا ما نتوانیم به طور جداگانه به هر قربانی پاسخ دهیم.” بعداً معاون مشاور امنیت ملی آن نوبرگر بیانیه ای صادر كرد و گفت كه رئیس جمهور جو بایدن “تمام منابع دولت را برای تحقیق در این حادثه راهنمایی كرده است” و از همه کسانی كه معتقد بودند با آنها مصالحه شده است خواست كه به اف بی آی هشدار دهند.

آقای بایدن روز شنبه پیشنهاد کرد اگر مشخص شود که کرملین در این ماجرا دخیل است ، ایالات متحده پاسخ خواهد داد.

کمتر از یک ماه پیش ، وی ولادیمیر پوتین ، رئیس جمهور روسیه را تحت فشار قرار داد تا از دادن پناهگاه امن به REvil و سایر باندهای باج افزار که حملات غیرقانونی زورگیرانه آنها ایالات متحده آمریکا تهدیدی برای امنیت ملی می داند ، دست بردارد.

طیف گسترده ای از قربانیان

طیف وسیعی از مشاغل و م agenciesسسات دولتی اخیراً مورد حمله قرار گرفتند ، ظاهراً در همه قاره ها از جمله در خدمات مالی ، مسافرت و اوقات فراغت و بخش دولتی – هرچند تعداد کمی از شرکت های بزرگ ، شرکت امنیتی سایفوس گزارش داد. مجرمان باج افزار به شبکه ها نفوذ می کنند و بدافزارهایی را می پرورانند که با درهم ریختن تمام داده های آنها آنها را فلج می کند. قربانیان با پرداخت هزینه ای کلید رمزگشایی دریافت می کنند.

زنجیره مواد غذایی سوئدی کوپ گفت که بسیاری از 800 فروشگاه آن برای روز دوم یکشنبه تعطیل است زیرا تامین کننده نرم افزار صندوق پول آنها فلج شده است. یک زنجیره داروخانه سوئدی ، پمپ بنزین ، راه آهن دولتی و پخش کننده عمومی SVT نیز مورد ضربه قرار گرفتند.

خبرگزاری آلمان گزارش داد ، در آلمان ، یک شرکت خدمات فناوری اطلاعات بدون نام به مقامات گفت که هزاران مشتری خود را به خطر انداخته اند. همچنین در میان قربانیان گزارش شده ، دو شرکت بزرگ خدمات فناوری اطلاعات هلندی – VelzArt و Hoppenbrouwer Techniek وجود دارد. بیشتر قربانیان باج افزار بطور علنی حملات را گزارش نمی دهند و یا در صورت پرداخت دیه اعلام نمی کنند.

فرد وکولا ، مدیر عامل شرکت نرم افزار نقض شده ، Kaseya ، تعداد قربانیان را در هزاران نفر ، عمدتا مشاغل کوچک مانند “اقدامات دندانپزشکی ، شرکت های معماری ، مراکز جراحی پلاستیک ، کتابخانه ها ، مواردی از این دست” تخمین زد.

وکوکلا در مصاحبه ای گفت که فقط بین 50 تا 60 نفر از 37000 مشتری این شرکت در معرض خطر قرار گرفته اند. اما 70٪ ارائه دهندگان خدمات مدیریت شده بودند که از نرم افزار هک شده VSA شرکت برای مدیریت چندین مشتری استفاده می کنند. نصب نرم افزار و به روزرسانی های امنیتی را به صورت خودکار انجام می دهد و پشتیبان گیری و سایر کارهای حیاتی را مدیریت می کند.

زمان بندی استراتژیک

کارشناسان می گویند تصادفی نبود که REVil در آغاز تعطیلات آخر هفته چهارم ژوئیه حمله را آغاز کرد ، زیرا می دانست دفترهای ایالات متحده به راحتی کار می کنند. ممکن است بسیاری از قربانیان تا زمانی که روز دوشنبه به محل کار خود برنگردند از آن چیزی مطلع نشوند. وككولا گفت ، بیشتر كاربران نهایی ارائه دهندگان خدمات مدیریت شده “هیچ ایده ای” ندارند كه با نرم افزار آنها شبكه ها را به صدا درآورند.

Kaseya گفت كه شنبه شب ابزاری را برای نزدیك به 900 مشتری ارسال كرده است.

آلن لیسکا ، تحلیلگر شرکت امنیت سایبری Recorded Future ، گفت که پیشنهاد REvil برای ارائه رمزگشایی پتو برای همه قربانیان حمله Kaseya در ازای دریافت 70 میلیون دلار ، نشان دهنده عدم توانایی آن در کنار آمدن با تعداد زیادی از شبکه های آلوده است. اگرچه تحلیلگران مشاهده کردند که خواسته های 5 میلیون و 500 هزار دلاری برای اهداف بزرگتر است ، اما ظاهرا برای بیشتر 45000 دلار طلب داشته است.

لیسکا گفت: “این حمله بسیار بزرگتر از حد انتظار آنها است و بسیار مورد توجه قرار می گیرد. به نفع REVil است که سریع آن را خاتمه دهیم.” “این یک کابوس برای مدیریت است.”

تحلیلگر برت کالوو ، از Emsisoft ، اظهار داشت که وی مظنون است REVil امیدوار است که بیمه ها بتوانند این رقم ها را خرد کنند و تعیین کنند 70 میلیون دلار برای آنها ارزان تر از زمان توقف طولانی مدت باشد.

باندهای پیچیده باج افزار در سطح REvil معمولاً سوابق مالی قربانی – و در صورت یافتن بیمه نامه ها – را از پرونده هایی که سرقت می کنند قبل از فعال سازی باج افزار ، بررسی می کنند. سپس جنایتکاران تهدید می کنند که داده های سرقت شده را به صورت آنلاین می ریزند ، مگر اینکه پول آنها پرداخت شود. در این حمله ، به نظر می رسد که این اتفاق نیفتاده است.

چگونه آنها این کار را کردند

محققان هلندی گفتند كه آنها كاسایا را در میامی هشدار داده و اعلام كردند كه جنایتكاران از “روز صفر” استفاده می كنند ، اصطلاح صنعت برای حفره امنیتی ناشناخته قبلی در نرم افزار. Voccola این را تأیید نمی کند یا جزئیات نقض را ارائه نمی دهد – به جز اینکه می گوید این فیشینگ نبوده است.

وی گفت: “سطح پیچیدگی در اینجا فوق العاده بود.”

هنگامی که شرکت امنیت سایبری Mandiant تحقیقات خود را به پایان رساند ، Voccola اظهار اطمینان کرد که اطمینان دارد این نشان خواهد داد که مجرمان فقط کد Kaseya را در ورود به شبکه خود نقض نکرده اند بلکه از آسیب پذیری های نرم افزار شخص ثالث نیز استفاده کرده اند.

این اولین حمله باج افزار نبوده است که به ارائه دهندگان خدمات مدیریت شده اهرم فشار می آورد. در سال 2019 ، مجرمان از طریق یکی از شبکه های 22 شهرداری تگزاس سر و صدا کردند. در همان سال ، 400 عمل دندانپزشکی ایالات متحده در یک حمله جداگانه فلج شد.

ویکتور گورس ، یکی از محققان آسیب پذیری هلندی ، گفت که تیم او به دلیل کنترل کامل منابع گسترده محاسباتی که می توانند ارائه دهند ، نگران محصولاتی مانند VSA Kaseya هستند. وی روز یکشنبه در یک وبلاگ نوشت: “بیشتر و بیشتر محصولاتی که برای ایمن و مطمئن نگه داشتن شبکه ها استفاده می شوند ، ضعف های ساختاری را نشان می دهند.”

شرکت امنیت سایبری ESET قربانیان حداقل 17 کشور از جمله انگلستان ، آفریقای جنوبی ، کانادا ، آرژانتین ، مکزیک ، اندونزی ، نیوزیلند و کنیا را شناسایی کرد.

Kaseya می گوید ، این حمله فقط مشتریان “مبتنی بر” را تحت تأثیر قرار داده است ، سازمان هایی که مراکز داده خود را اداره می کنند ، در مقابل سرویس های مبتنی بر cloud آن است که برای مشتریان نرم افزار اجرا می کند. با این حال ، این سرورها را نیز برای احتیاط خاموش کرد.

Kaseya ، که روز جمعه از مشتریان خواست كه سرورهای VSA خود را فوراً خاموش كنند ، روز یكشنبه اظهار امیدواری كرد كه در چند روز آینده وصله ای داشته باشد.

REVil از آوریل 2019 فعال است ، باج افزار را به عنوان سرویس ارائه می دهد ، به این معنی که نرم افزار فلج شبکه را توسعه می دهد و آن را به اصطلاح وابسته هایی که اهداف را آلوده می کنند و سهم شیر باج ها را می گیرند اجاره می دهد. مقامات آمریکایی می گویند قوی ترین باندهای باج افزار در روسیه و ایالات متحد مستقر هستند و با تحمل کرملین فعالیت می کنند و گاهی با سرویس های امنیتی روسیه تبانی می کنند.

دیمیتری آلپروویچ ، متخصص امنیت سایبری ، از اندیشکده Silverado Policy Accelerator ، گفت که اگرچه او اعتقاد ندارد که حمله Kaseya هدایت شده توسط کرملین است ، اما این نشان می دهد که پوتین “هنوز در زمینه تعطیلی مجرمان سایبری حرکت نکرده است”.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *