2 липня 2021 року користувач REvil/Sodinokibi використав численні вразливості в продукті Kaseya VSA, щоб розповсюдити шифрувальник програм-вимагачів на підключені кінцеві точки. Це найвищий викуп в історії. Коментар Чарльза Кармакала, старшого віце-президента та технічного директора Mandiant.
Kaseya VSA — це рішення для віддаленого моніторингу та керування, яке використовується постачальниками керованих послуг (MSP) і компаніями для віддаленого керування комп’ютерними системами. Кількість організацій, які постраждали від збою програми-вимагача REvil, наразі невідома, але Kaseya оцінює кількість випадків менше 1.500. Багато постраждалих компаній є дуже маленькими сімейними підприємствами, які через святкові вихідні в США пізно дізналися про наслідки.
REvil Ransomware as a Service (RaaS)
REvil Ransomware-as-a-Service (RaaS) просувається на російськомовних підпільних форумах з травня 2019 року. У бізнес-моделі RaaS центральна група розробляє програми-вимагачі, спілкується з жертвами та керує серверною інфраструктурою. Партнери або афілійовані групи здійснюють атаки та поширюють програми-вимагачі. RaaS управляється хакером «UNKN» (він же «Unknown»), який не приймає англомовних партнерів і не дозволяє партнерам атакувати країни СНД, включаючи Україну. Відомі користувачі російськомовні, але ймовірно, що деякі з учасників фізично не перебувають у Росії. Після атаки Colonial Pipeline UNKN доклав зусиль, щоб звузити коло користувачів REvil і наполягав на перевірці цілей перед розповсюдженням програми-вимагача.
REvil вимагає $70 мільйонів викупу
Чарльз Кармакал, старший віце-президент і технічний директор, клієнт (Зображення: FireEye)
REvil взяв на себе відповідальність за атаку ввечері 4 липня і заявив, що вона вразила понад мільйон систем. Вони вимагають 70 мільйонів доларів за універсальний ключ дешифрування, який можна використовувати для розблокування будь-якої ураженої системи. Ця непомірна сума є найвищою в історії. У приватних розмовах REvil завчасно знизив свої вимоги. Відомо також, що вони перебільшують масштаби та вплив своїх атак. Крім того, REvil ще не оприлюднив жодних даних про проникнення. Метод, який вони часто використовують, щоб змусити своїх жертв заплатити. Поки злочинці можуть вимагати десятки мільйонів доларів викупу і не загрожують тюремному ув’язненню, ця проблема лише погіршуватиметься. Ці групи добре фінансуються та мають високу мотивацію, і лише рішучі колективні дії зможуть змінити ситуацію.
Більше на FireEye.com
Про Trellix Trellix — це глобальна компанія, яка переосмислює майбутнє кібербезпеки. Відкрита та рідна платформа компанії Extended Detection and Response (XDR) допомагає організаціям, які стикаються з найсучаснішими загрозами сучасності, отримати впевненість у тому, що їхні операції захищені та стійкі. Експерти з безпеки Trellix разом із розгалуженою партнерською екосистемою прискорюють технологічні інновації за допомогою машинного навчання та автоматизації для підтримки понад 40.000 XNUMX бізнес- та державних клієнтів.