The team behind the REVIL ransomware έχει ορίσει μια τιμή για την αποκρυπτογράφηση όλων των συστημάτων που είναι κλειδωμένα λόγω της supply chain επίθεσης της Kaseya, που έλαβε χώρα μερικές ημέρες πριν. Η συμμορία ζητά 70 εκατομμύρια δολάρια σε Bitcoin, για να δώσει στα θύματα το εργαλείο που θα τους επιτρέψει να ανακτήσουν τα αρχεία τους.
Learn more: REvil ransomware Kaseya: Ρώσοι επιτέθηκαν σε 200 Αμερικάνικες εταιρείες
Η επίθεση έλαβε χώρα την Παρασκευή και στόχευσε την εταιρεία πληροφορικής (Kaseya). Ωστόσο, το hack εξαπλώθηκε μέσω εταιρικών δικτύων που χρησιμοποιούν το Kaseya VSA λογισμικό. Το λογισμικό της εταιρείας χρησιμοποιείται από MSPs για την παρακολούθηση και τη διόρθωση των συστημάτων των πελατών.
Οι πελάτες πολλών MSPs επηρεάστηκαν από την επίθεση, αφού λέγεται ότι το REvil ransomware κρυπτογράφησε τα δίκτυα τουλάχιστον 1.000 επιχειρήσεων σε όλο τον κόσμο.
Σε μια ανάρτηση στο site διαρροής τους, οι hackers πίσω από το REvil ransomware ανέφεραν ότι έχουν κλειδώσει περισσότερα από ένα εκατομμύριο συστήματα και ότι είναι πρόθυμοι να διαπραγματευτούν για ένα παγκόσμιο εργαλείο αποκρυπτογράφησης, με αντάλλαγμα 70 εκατομμύρια δολάρια.
See also: Grupo Fleury was attacked by the REVIL ransomware
Είναι το μεγαλύτερο χρηματικό ποσό που έχει ζητηθεί από hackers μετά από ransomware επίθεση. Το προηγούμενο μεγαλύτερο ποσό, 50 εκατομμύρια δολάρια, ανήκε στην ίδια ομάδα, μετά την επίθεση στην ταϊβανέζικη εταιρεία κατασκευής ηλεκτρονικών και υπολογιστών, Acer.
Προηγουμένως, το REVIL ransomware είχε ζητήσει 5 εκατομμύρια δολάρια από τους MSPs και 44,999 $ λύτρα από τους πελάτες τους.
Ωστόσο, η συμμορία χρησιμοποίησε πολλές επεκτάσεις κατά την κρυπτογράφηση των αρχείων και η απαίτηση των 44,999 δολαρίων ήταν για το ξεκλείδωμα αρχείων με την ίδια επέκταση, όπως δείχνουν οι διαπραγματεύσεις με τα θύματα.
Σύμφωνα με το BleepingComputer, τα θύματα που έχουν κλειδωμένα αρχεία με πολλές επεκτάσεις, μπορεί να χρειαζόταν να πληρώσουν έως και 500.000 δολάρια.
Η Revil ransomware συμμορία μπόρεσε να πραγματοποιήσει αυτή τη μαζική επίθεση, χρησιμοποιώντας μια zero-day ευπάθεια στον Kaseya VSA server, τον οποίο η εταιρεία είχε ήδη αρχίσει να διορθώνει όταν έλαβε χώρα η επίθεση.
See also: REVIL ransomware: new Linux cipher targets ESXi VMs
Λέγεται ότι ερευνητές από το Ολλανδικό Ινστιτούτο για την Αποκάλυψη Ευπαθειών (DIVD) ανέφεραν το σφάλμα και η Kaseya είχε δημιουργήσει μια ενημέρωση κώδικα, η οποία όμως βρισκόταν στο στάδιο πριν την παράδοση στους πελάτες.
Σύμφωνα με τον επικεφαλής του DIVD, η Kaseya κατέβαλε τη μέγιστη προσπάθεια σε αυτήν την υπόθεση τόσο για να επιδιορθώσει αυτό το ζήτημα όσο και για να προστατεύσει τους πελάτες της.
Ωστόσο, φαίνεται ότι η Revil ransomware συμμορία γνώριζε την ευπάθεια και την εκμεταλλεύτηκε προτού η Kaseya μπορέσει να προωθήσει το patch στους πελάτες.
Η πλήρης έκταση αυτής της επίθεσης του REVIL ransomware παραμένει ασαφής αυτή τη στιγμή, αλλά τόσο το FBI as well as the CISA ερευνούν το περιστατικό.
Ο Πρόεδρος των ΗΠΑ, Joe Biden, μίλησε επίσης για την supply-chain επίθεση της Kaseya, δίνοντας εντολή στις υπηρεσίες πληροφοριών να ερευνήσουν την παραβίαση που επηρέασε εκατοντάδες επιχειρήσεις των ΗΠΑ.
Source: Bleeping Computer
