Ransomware-gjengen hevder at mer enn en million systemer ble berørt av angrepet.
Foto: Nicolas Asfouri/AFP ( Getty Images) REvil-løsepengegjengen har tatt æren for Kaseya-angrepet som har rammet mer enn 1000 selskaper over hele verden og førte til etterforskning fra amerikanske etterretningsbyråer. Kriminelle ber om en løsepenger på 70 millioner dollar i bitcoin for å publisere en offentlig universell dekrypteringsenhet som vil låse opp alle berørte datamaskiner.
Som rapportert av posten la REvil ut en melding om å akseptere ansvaret for angrepet på sin mørke nettblogg. Ransomware-gjengen, som var mistenkt for å være den skyldige før den ble offentliggjort, kastet også ytterligere lys over den påståtte omfanget av angrepet og hevdet at mer enn en million systemer var infisert. Kaseya rapporterte om angrepet sist fredag.
REvil, også kjent som Sodinokibi, er en beryktet nettkriminell gjeng som har brukt løsepenger for å gå etter store navneselskaper, inkludert Apple og Acer. Sist siktet den seg mot JBS, verdens største kjøttforedlingsselskap, som betalte det 11 millioner dollar i bitcoin for å redusere nedfall fra angrepet og beskytte dataene.
”Fredag (02.07.2021) lanserte vi et angrep på MSP-leverandører. Mer enn en million systemer ble infisert, ”sa REvil-gjengen, ifølge Record. “Hvis noen ønsker å forhandle om universell dekryptering – vår pris er 70 000 000 $ i BTC, og vi vil offentliggjøre dekrypteringskoder som dekrypterer filer til alle ofre, slik at alle vil kunne komme seg fra angrep på mindre enn en time. Hvis du er interessert i en slik avtale, kan du kontakte oss ved hjelp av filinstruksjoner for ofrene ‘readme’. ”
Dana Liedholm, en talsmann for Kaseya, fortalte Gizmodo mandag at FBI og andre uavhengige grupper har sagt med tillit at REvil hadde utført angrepet og at selskapet stoler på disse ekspertene.
G/O Media kan få en kommisjon gawker-media/image/upload/c_fill, f_auto, fl_progressive, g_center, h_80, pg_1, q_80, w_80/d49aa2a0029988bb15fb60edb9306b05.jpg 80w, https://i.kinja-img.com/gawker-media/image/upload/, f_auto, g_center, h_78, pg_1, q_60, w_140/d49aa2a0029988bb15fb60edb9306b05.jpg 140w, https://i.kinja-img.com/gawker-media/image/upload/c_fill,f_auto,g_center,h_149,pg w_265/d49aa2a0029988bb15fb60edb9306b05.jpg 265w, https://i.kinja-img.com/gawker-media/image/upload/c_fill,f_auto,g_center,h_191,pg_1,q_60,w_340/d49aa2a00299 i.kinja-img.com/gawker-media/image/upload/c_fill,f_auto,g_center,h_275,pg_1,q_60,w_490/d49aa2a0029988bb15fb60edb9306b05.jpg 490w, https://i.kinja-img.com/gawker-media /image/upload/c_fill,f_auto,g_center,h_362,pg_1,q_60,w_645/d49aa2a0029988bb15fb60edb9306b05.jpg 645w, https: //i.kin ja-img.com/gawker-media/image/upload/c_fill,f_auto,g_center,h_416,pg_1,q_60,w_740/d49aa2a0029988bb15fb60edb9306b05.jpg 740w, https://i.kinja-img.com/gawker-media/image /upload/c_fill,f_auto,g_center,h_542,pg_1,q_60,w_965/d49aa2a0029988bb15fb60edb9306b05.jpg 965w, https://i.kinja-img.com/gawker-media/image/upload/c_fill,f_auto, pg_1, q_60, w_1165/d49aa2a0029988bb15fb60edb9306b05.jpg 1165w, https://i.kinja-img.com/gawker-media/image/upload/c_fill,f_auto,g_center,h_739,pg_1,q_60,w_bb155/https://i.kinja-img.com/gawker-media/image/upload/c_fill,f_auto,g_center,h_824,pg_1,q_60,w_1465/d49aa2a0029988bb15fb60edb9306b05.jpg 1465w, https://i.kinja-img.com /gawker-media/image/upload/c_fill,f_auto,g_center,h_900,pg_1,q_60,w_1600/d49aa2a0029988bb15fb60edb9306b05.jpg 1600w “sizes =” 148px “draggable =” auto “data-chomp-idb2 = “jpg” data-alt = “World of Warcraft 60-Day Time Card” data-anim-src = “” lat = “1” alt = “Wo rld of Warcraft 60-Day Time Card “REvil tar kreditt for Kaseya Attack og ber om $ 70 millioner /> World of Warcraft 60-Day Time Card $ 24 hos EnebaBruk kampanjekoden 20210704
“Når det gjelder løsepenger, kommenterer vi ikke dette fordi det er en kriminell etterforskning, og vi kan ikke på dette tidspunktet,” sa Liedholm.
Kaseya-angrepet er det som er kjent som et ransomware-angrep for programvareforsyningskjeden, der en cybertrusselaktør infiltrerer en programvareleverandørs nettverk og sender ondsinnet kode for å kompromittere programvaren før leverandøren sender den ut til sine kunder. Den infiserte programvaren påvirker deretter kundenes data eller systemer. Hackerne som målrettet mot SolarWinds 'programvare, brukte denne typen angrep for å infiltrere store amerikanske føderale byråer og selskaper.
Kaseya selger i mellomtiden sine produkter til administrerte tjenesteleverandører, eller MSP, som er selskaper som tilbyr eksterne IT-tjenester til hundrevis av mindre virksomheter som ikke har ressursene til å påta seg disse funksjonene selv. MSP-er bruker Kaseyas VSA-skyplattform for å administrere og sende programvareoppdateringer til disse virksomhetene, samt løse andre problemer.
I Kaseyas tilfelle sier de første rapportene at REvil fikk tilgang til selskapets backendinfrastruktur og brukte den til å sende en oppdatering med skadelig programvare til VSA-servere som kjører i klientlokaler. Den ondsinnede oppdateringen installerte deretter løsepenger fra VSA-serveren på alle tilkoblede datamaskiner, opplyser Record. Dette spredte igjen løsepenger til andre selskaper som var koblet til VSA-systemene. Likevel er detaljene om angrepet fortsatt usikre, og informasjonen utvikler seg kontinuerlig.
I sin mandagsoppdatering kl. ET om situasjonen sa Kaseya at alle lokale VSA-servere bør fortsette å være offline til kundene får instruksjoner fra Kaseya om når det er trygt å gjenopprette driften. Søndag sa Kaseya-sjef Fred Voccola at selskapet visste hvordan angrepet hadde skjedd, og at det utbedret det.
Hvis Kaseya, eller noen av de andre berørte selskapene, betaler REvil's løsepenger på 70 millioner dollar, ville det være den høyeste løsningen på løsepenger som noensinne er utført.