Rekordot döntött a netes zsarolás: 70 millió a váltságdíj

​70 millió dollárt követel az a kiberbanda, amely a múlt héten világszintű károkozásokba kezdett, és rengeteg vállalat működését bénította meg.
 

Múlt pénteken egy kiterjedt támadássorozat vette kezdetét, amelyben a REvil (Sodinokibi) zsarolóvírus kapta a főszerepet. A támadás komolyságát mi sem szemlélteti jobban, mint hogy az események bekövetkeztét követően néhány órán belül Joe Biden amerikai elnök személyesen utasította az Egyesült Államok hírszerző szerveit, hogy tegyenek meg mindent a támadás körülményeinek felderítése érdekében. Az áldozatok között van egyebek mellett a svédországi Coop, amelynek több száz üzletét kellett átmenetileg bezárnia, mivel a pénztárak kezelését végző egyik partnerének rendszerébe bejutott a REvil zsarolóprogram. Eközben pedig egyebek mellett az SJ állami vasúttársaságnál is fennakadások voltak a vírus miatt.
 
A mostani támadás úgynevezett ellátási lánc alapú károkozásnak minősül, amelynek során a Kaseya VSA végpontmenedzsment és hálózatmonitorozó szolgáltatás infrastruktúrája került középpontba. Amint az incidensre fény derült a vállalat azonnal leállította a szervereit, és értesítette az érintett ügyfeleit, MSP-partnereit. Sajnos ez már későn történt meg, hiszen ekkora már a REvil csoport széles körben terjesztette a zsarolóvírust. Az áldozatok számáról egyelőre meglehetősen eltérő számok jelentek meg, de legalább 1000 cég, szervezet informatikai hálózatába juthatott be a kártékony program.
 
A REvil fertőzése után az érintett számítógépek zsaroló üzeneteket jelenítettek meg, amelyek egyes helyeken 50 ezer dolláros, máshol akár 5 millió dolláros követelésekről szóltak. A hétvégén aztán a REvil csoport gondolt egyet, és jelezte, hogy ha valaki fizet neki 70 millió dollárt (Bitcoinban), akkor elérhetővé teszi a kompromittált számítógépek helyreállításához szükséges kulcsokat és a dekódoló programokat. (A csoport azt állította, hogy több mint egymillió számítógépet sikerült térdre kényszerítenie.)
 
A 70 millió dolláros követelés minden idők legnagyobb összegű, ransomware programhoz kötődő váltságdíja. Az eddigi rekordot 50 millió dollár jelentette, amelyet szintén a REvil akart bezsebelni az Acer incidense után.
 
Így működik a REvil zsarolóprogram
 
A Kaseya-féle támadássorozatban szerephez jutó REvil vagy más néven Sodinokibi kártékony program legújabb variánsa minden korábbinál összetettebé vált, ami miatt az ellene folytatott védekezés is nehezebb lett.  Először egy agent.crt fájlt hoz létre, amelyből a Windows-os certutil.exe segítségével egy agent.exe nevű fájlt bont ki. Ezt követően egy képet ment le a számítógépre, amelyet beállít az Asztal háttérképének. A károkozás pedig ezt követően veszi kezdetét. Megváltoztatja a felhasználó fiókjának jelszavát "DTrump4ever"-re, majd csökkentett módban újraindítja a számítógépet.
 
A rendszer legfontosabb paramétereinek lekérdezését követően megvizsgálja a beállított billentyűkiosztást, és ha az nem szerepel egy kivétellistán (ezen a listán elsősorban orosz, ukrán, azeri stb. kiosztások találhatók), akkor elkezdi titkosítani a fájlokat. A rendszermappákat, rendszerállományokat érintetlenül hagyja, hogy a Windows működőképes maradjon. Ugyanakkor minden dokumentumot, multimédiás állományt, adatbázist lekódol. Arról is gondoskodik, hogy az adatbázisokat különféle folyamatok ne zárolják. Ehhez leállítja egyebek mellett az Oracle és az SQL Server folyamatokat is. Mindezek mellett megbénítja a biztonsági mentésekre szolgáló alkalmazások működését. A biztonsági mentéseket pedig törli, legalábbis amikhez hozzáfér.
 
A kártékony programmal kapcsolatban további részletek a Biztonságportál Prémium weboldalain olvashatók.