REvil Supply Chain Ransomware Attack treffer 200 amerikanske selskaper
Den nettkriminelle gruppen kjent som REvil og beryktet for sine ransomware-aktiviteter utførte nok et vellykket angrep i en urovekkende skala sent i forrige uke.
Sikkerhetsforskere med Huntress Labs uttalte at de mener angrepet som rammet minst to hundre amerikanske virksomheter er arbeidet til REvil cyber-gjengen. Denne gangen jobbet hackerne ikke med å infiltrere hvert selskaps nettverk individuelt.
I stedet dro de av det som ofte kalles et "supply chain attack". REvil misbrukte et legitimt programvareleverandørselskap kalt Kaseya. Kaseya leverer nettverksadministrasjon og IT-infrastrukturprodukter og -tjenester til et stort antall kunder, alt fra gjennomsnittsbedrifter til store selskaper.
Selvfølgelig utstedte Kaseya en offisiell uttalelse og en advarsel til servereiere om å stenge alle servere som kjører programvarepakken som REvil brukte som mellommann for å utføre angrepet. Selskapet stengte også sin egen programvare-som-tjenesteplattform som svar på REvil-aktiviteten.
Mens Kaseya i utgangspunktet hadde til hensikt å bringe SaaS tilbake på nettet tidlig om morgenen 7. juli, men The Register rapporterte i dag at prosessen er forsinket med "minst ti timer".
REvil-løsepengegjengen ba om fantastiske $ 70 millioner i løsepenger. Kravet kan virke latterlig, med tanke på at JBS, Amerikas største kjøttleverandør, ble rammet av REvil for omtrent en måned siden, og i det angrepet var løsepengekravet $ 11 millioner. Fangsten her er at ved å bruke et forsyningskjedeangrep i denne nye hendelsen, påvirket REvil hundrevis av virksomheter, ikke bare i USA, men over hele verden.
Ikke bare interne forretningsnettverk, men også skoler og supermarkeder har blitt hengende. Reuters rapporterte at den svenske supermarkedskjeden Coop som sikkerhet fra det samme angrepet ble tvunget til å lukke dørene til 800 av butikkene, ettersom internettkoblede kassaapparater rett og slett ikke ville fungere.
Yahoo News siterte sikkerhetsekspert Brett Callow som hevdet at mens det har vært ransomware-angrep som benyttet lignende angrepsmetoder i forsyningskjeden, har de alle vært "ganske små" sammenlignet med omfanget av den siste REvil-jobben.
Tidspunktet for angrepet ser ut til å ha blitt forhåndsmeditert også, ettersom det falt sammen med 4. juli helgferie i USA, noe som gjorde rask respons på trusselen vanskeligere enn vanlig.
