REvil Supply Chain Ransomware-aanval treft 200 Amerikaanse bedrijven

De cybercriminele groep die bekend staat als REvil en berucht is om zijn ransomware-activiteiten voerde eind vorige week opnieuw een succesvolle aanval uit op een verontrustende schaal.

Beveiligingsonderzoekers van Huntress Labs verklaarden dat ze geloven dat de aanval die ten minste tweehonderd Amerikaanse bedrijven trof, het werk is van de REvil-cyberbende. Deze keer hebben de hackers er niet aan gewerkt om het netwerk van elk bedrijf afzonderlijk te infiltreren.

In plaats daarvan slaagden ze erin wat gewoonlijk een "supply chain-aanval" wordt genoemd. REvil heeft een legitiem softwareleveranciersbedrijf genaamd Kaseya misbruikt. Kaseya levert netwerkbeheer- en IT-infrastructuurproducten en -diensten aan een groot aantal klanten, variërend van gemiddelde bedrijven tot grote bedrijven.

Natuurlijk heeft Kaseya een officiële verklaring uitgegeven en een waarschuwing gegeven aan servereigenaren om alle servers met het softwarepakket dat REvil als tussenpersoon gebruikte om de aanval uit te voeren, af te sluiten. Het bedrijf sloot ook zijn eigen software-as-a-service-platform als reactie op de REvil-activiteit.

Hoewel Kaseya aanvankelijk van plan was om zijn SaaS op 7 juli 's ochtends vroeg weer online te brengen, meldde The Register vandaag dat het proces "ten minste tien uur" is vertraagd.

De REvil-ransomwarebende vroeg om maar liefst $ 70 miljoen aan losgeld. De vraag lijkt misschien belachelijk, aangezien JBS, de grootste vleesleverancier van Amerika, ongeveer een maand geleden werd getroffen door REvil en bij die aanval $ 11 miljoen aan losgeld werd gevraagd. Het addertje onder het gras is dat REvil tijdens dit nieuwe incident een aanval op de toeleveringsketen gebruikte, honderden bedrijven trof, niet alleen in de VS maar over de hele wereld.

Niet alleen interne bedrijfsnetwerken, maar ook scholen en supermarkten blijven hangen. Reuters meldde dat de Zweedse supermarktketen Coop als onderpand van dezelfde aanval de deuren van 800 van zijn winkels moest sluiten, omdat de met internet verbonden kassa's gewoon niet zouden werken.

Yahoo News citeerde beveiligingsexpert Brett Callow die beweerde dat hoewel er ransomware-aanvallen zijn geweest die vergelijkbare aanvalsmethoden voor de toeleveringsketen gebruikten, ze allemaal "vrij klein" waren in vergelijking met de schaal van de laatste REvil-taak.

De timing van de aanval lijkt ook met voorbedachten rade te zijn geweest, aangezien het samenviel met de weekendvakanties van 4 juli in de VS, waardoor een snelle reactie op de dreiging moeilijker dan normaal was.