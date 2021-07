REvil-verkkorikollisryhmä iski amerikkalaisen pilvipalveluntarjoajan järjestelmiin.

Pilvipalveluntarjoaja Kaseyaan kohdistui massiivinen kyberisku, jonka takana on tunnettu verkkorikollisryhmä REvil.

Venäläiseksi uskottu REvil-verkkorikollisryhmä teki viime viikon perjantaina kyberhyökkäyksen, joka on mittakaavassaan ainutlaatuinen. Rikollisjengi iski Kaseya-nimiseen pilvipalveluntarjoajaan, ja väitteidensä mukaan onnistui tartuttamaan ainakin 1000 Kaseyan asiakkaan järjestelmät, kertoo The Hacker News (THN). Tartuntoja on ainakin 17 maassa.

Yksi maista on Ruotsi, jossa Coop-ketju joutui sulkemaan kauppansa.

Isku tehtiin käyttämällä nollapäivähaavoittuvuutta eli tietoturva-aukkoa, joka ei ole yleisessä tiedossa ja johon ei ole korjausta. Hyökkäys on tyypiltään niin sanottu huoltoketjuhyökkäys, jossa isku kohdistui it-infrastruktuuriin, tässä tapauksessa pilvipohjaisia it-hallinta- ja etäkäyttöratkaisuja tarjoavaan amerikkalaiseen Kaseyaan.

REvil eli Sodinokibi on kiristysohjelma, joka kopioi kohteeksi joutuneilta järjestelmiltä tiedot hyökkääjille ja salakirjoittaa sekä lukitsee järjestelmät. Ohjelmaa käyttää REvil-rikollisjengi itse, mutta myös sen asiakkaat, joille ryhmä lisensoi nimeään kantavaa hyökkäysohjelmaa.

Nyt REvil on esittänyt darknet-blogissaan lunnasvaatimuksen, jossa se vaatii 70 miljoonaa dollaria bitcoineina. Tätä summaa varten se antaa työkalun, joka palauttaa kaikki hyökkäyksen kohteena olleet järjestelmät toimimaan, THN kertoo.

REvil-ryhmä vaatii 70 miljoonaa dollaria bitcoineina. Se lupaa rahaa vasten työkalun, jolla lukitut järjestelmät saa palautettua toimimaan. Kuvakaappaus REvilin darknet-blogista.

Näkemykset saastutettujen tietokoneiden määrästä vaihtelevat. REvil sanoo laitteita olevan miljoona. Kaseya puhuu blogissaan ”hyvin pienestä määrästä” asiakasyrityksiä.

Osa Kaseyan asiakasyrityksistä on saanut kiristäjiltä suoria yhteydenottoja, ja yhtiö varoittaa klikkaamasta viestissä olevia linkkejä. Kaseya sanoo palauttavansa parhaillaan palvelujaan toimintaan. Sen datakeskukset ovat kuitenkin yhä alhaalla.

Vaikka uhrit maksaisivat, kiristäjillä lienee yhä uhrien tiedot hallussa. Näillä on mahdollista tehdä jatkokiristyksiä. On kuitenkin epävarmaa, tekeekö rikollisliiga näin. Kiristyksen jatkaminen lunnaiden maksun jälkeen voi olla huonoa bisnestä ja laskea seuraavien uhrien maksuhalukkuutta.

REvil onnistui kiristämään kesäkuussa 11 miljoonaa elintarvikeyritys JBS:ltä, jonka järjestelmiin ryhmä iski. Tämä aiheutti häiriöitä yrityksen toimipisteissä USA:ssa.

REvilin tiedetään olevan tietotaidoltaan maailman parhaimpiin kuuluva ellei paras kyberrikollisorganisaatio. Sen sääntöihin kuuluu se, ettei se hyökkää entisen Neuvostoliiton maihin, Ukraina mukaan luettuna. Joidenkin tietoturva-asiantuntijoiden mukaan tämä antaa ryhmälle rauhan paikallisilta viranomaisilta.

Lunnaiden maksaminen kiristäjille on kuuma peruna tietoturva-ammattilaisten keskuudessa. Kukaan ei suosittele virallisesti lunnaiden maksamista, mutta joissakin tapauksissa se saattaa olla nopein tapa saada järjestelmät takaisin toimimaan. Tämä kuitenkin ruokkii rikollisuutta ja takaa sen jatkumisen.

Tietoturvayhtiö Check Pointin mukaan hyökkäyksen ajankohta ei ole sattumaa. Kiristäjät valitsivat hetken, jolloin it-henkilökunta on jäämässä lomille. Tämä heikentää yritysten mahdollisuuksia reagoida iskuun nopeasti ja poikii mahdollisesti paniikkireaktioita, kuten päätöksen maksaa lunnaat.

Check Pointin mukaan kiristysohjelmahyökkäysten määrä on noussut 93 prosentilla 12 kuukauden aikana. Kokonaisuudessaan kyberhyökkäysten määrä on noussut 97 prosenttia, eli melkein kaksinkertaistunut.