Apple Målrettet i Ransomware Angreb på Quanta | Hackere Kræver $50m

Ransomware-angreb er steget siden pandemien startede i december 2019. Faktisk viser flere rapporter, at ved udgangen af 2020, var ransomware-angreb vokset med mindst 150%, og det gennemsnitlige krævede løsesum fordobledes til omkring $170000. Onde aktører retter typisk sigtet mod virksomheder med høj omsætning på grund af potentialet for en stor udbetaling. Det er også blevet en tendens at målrette store teknologiproducenter.

For eksempel, i november 2020, blev Foxconn målrettet i et ransomware-angreb, hvor de ansvarlige hackere slettede terabyte af backup-data fra over tusind krypterede servere. Angriberne krævede $34 millioner, før de ville frigive de krypterede data. Til sammenligning er Foxconn den største elektronikudstyrsproducent for virksomheder som Amazon, Sony, Microsoft og Apple. Tidligere samme måned blev en anden producent (Compal) målrettet med et ransomware-angreb.

Dette viser blot, at store teknologiproducerende virksomheder nu er i risiko for mere sofistikerede ransomware-angreb. Det seneste angreb skete få dage før slutningen af april 2021. Quanta, et Taiwan-baseret firma, der producerer bærbare computere for store teknologivirksomheder, herunder Apple, blev ramt af et ransomware-angreb, der kan koste Apple $50 millioner. 

Hvad er Ransomware?

Ransomware er en form for malware (skadelig software), der får adgang til en computer og målretter filer eller systemer ved at kryptere dem og gøre dem utilgængelige i et forsøg på at få virksomheden eller ejeren til at betale for deres frigivelse. Ud fra ordet “løsepenge” er det let at forstå det endelige mål med alle ransomware-angreb – at få offeret til at betale en løsesum i bytte for frigivelsen af de gidseltagne fil(er) eller system(er). Når offeret betaler, frigiver angriberne en dekrypteringsnøgle, som offeret bruger til at dekryptere de krypterede fil(er) eller system(er).

Den første form for ransomware-angreb skete helt tilbage i 1989. Siden da har ondsindede enheder brugt fremskridt inden for teknologi til at udføre mere sofistikerede angreb. Udviklingen af ransomware har set onde aktører tilbyde tjenester såsom Ransomware-as-a-Service (RaaS) for at udvide deres netværk og kapaciteter. Mobile ransomware-angreb bliver også en ting nu, og med den hastighed, hvormed brugen af Internet of Things-teknologi udvider sig, er vi bundet til at se nye angreb. 

REvil Hackergruppe Målretter Apple Gennem Quanta

Den 20. april 2021, mens Apple afslørede sine nyeste gadgets på sit Spring Loaded event, blev en af verdens største laptopproducenter ramt af et ransomware-angreb udført af en russisk hackergruppe kendt som REvil. Quanta fremstiller MacBooks for Apple, sammen med andre produkter. REvil, også kendt som Sodinokibi, viste bevis på sit succesfulde angreb ved at poste skemaer over Apples nyeste produkter, inklusiv den allerede udgivne 2020 M1 MacBook Air og de nye iMac designs.

Et par dage før datalækagerne antydede en bruger med brugernavnet UNKN på XSS (et populært cyberkriminalitetsforum), at en stor meddelelse var på vej og opfordrede hackere til at tilslutte sig gruppen. Vi tror, at denne bruger repræsenterer REvil ransomware-gruppen, der har til opgave at annoncere sådanne nyheder og rekruttere nye affilierede til sit ransomware-som-en-service-program.

Quanta har anerkendt, at angrebet fandt sted. Det har også sagt, at dets sikkerhedsteam reagerer på angrebet, men der er ingen væsentlig indvirkning på dets forretningsdrift. I firmaets udtalelse sagde Quanta, “Vi har rapporteret til og holdt løbende kommunikation med de relevante retshåndhævende og databeskyttelsesmyndigheder angående nyligt observerede unormale aktiviteter. Der er ingen materiel indvirkning på firmaets forretningsdrift.” Siden da har det opgraderet sin cybersikkerhedsinfrastruktur for at forhindre, at sådan sker igen.

Disse angribere krævede en sum på $50 millioner i bytte for billederne, men Quanta har nægtet at betale, hvilket har tvunget dem til at henvende sig til verdens mest værdifulde virksomhed. Det er grunden til, at REvil-gruppen frigav omkring 21 billeder af MacBook-skemaer på samme dag som Apples Spring Loaded-event; en udtalelse, der sandsynligvis ikke vil gå ubemærket hen. 

Det har også truet med at frigive nye data hver dag, indtil Apple betaler løsesummen, og har givet et ultimatum til den 1. maj. REvil afslørede al denne information gennem sin “Happy Blog”, et site, de bruger til offentligt at dele deres hacking bedrifter. Apple har ikke udsendt nogen udtalelser vedrørende angrebet og har ikke givet nogen indikation på, at de vil betale løsesummen.

En historie om REvil-hackergruppen og deres bedrifter

Sodinokibi, populært kendt som REvil, har et ry for sine ransomware-angreb. Folk inden for informationssikkerhed mener, at denne gruppe er baseret i Rusland på grund af deres tøven med at angribe russiske eller statslige virksomheder. De mener også, at det er en afgrening af en tidligere ondsindet gruppe–GandCrab. GandCrab var lige så produktiv som REvil er nu, og opkrævede omkring $2 milliarder i løsepenge på næsten to år. Omkring samme tid som GandCrab stoppede deres operationer, begyndte REvil at blive fremtrædende. 

I modsætning til de fleste hackergrupper opererer REvil med en anderledes model, der gør det muligt for dem at tjene flere penge. De bruger en Ransomware-som-en-Service (RaaS) model, hvor de licenserer malware til affiliatepartnere, de stoler på. Derefter tager de en procentdel af løsesummen, hvis affiliatepartnerne succesfuldt gennemfører et angreb. REvil bruger også det, der er kendt som en dobbelt-afpresningsmetode for at øge chancerne for, at deres ofre betaler løsesummen. Det betyder, at efter at have krypteret data, overfører REvil også hvad de kan til deres servere med en trussel om at sælge det. 

Hvis et firma har backups, kan det stadig være nødvendigt at betale en løsesum, hvis den ondsindede gruppe har overført følsomme oplysninger til sine servere. Der er også muligheden for at bruge et DDoS-angreb på det samme offer for at øge presset og tvinge dem til at betale løsesummen. Man begynder at undre sig over, hvorfor denne gruppe gør alt, hvad den kan, for at skaffe penge. Er det for at finansiere mere lukrative angreb eller bare ren og skær grådighed?

Nu, lad os tage et kig på nogle af de udbredte angreb, som denne gruppe har udført i fortiden. 

1. Texas Lokalregeringer

I de tidlige timer den 16. august 2019, angreb REvil 23 lokale regeringsagenturer i Texas og krævede en løsesum på 2,5 millioner dollars. Personer, der arbejdede i disse agenturer, havde ikke adgang til filer, som de normalt havde adgang til. Det var et koordineret angreb fra REvil, der lagde agenturernes systemer og hjemmesider ned. Heldigvis angreb REvil ikke deres backupsystemer, så de gav ikke efter for kravene. Efter at have koordineret med flere cybersikkerhedsteams, var disse agenturer i stand til at gendanne adgangen til filer og systemer, som REvil-gruppen holdt til løsepenge.

2. Travelex

Travelex er et firma, der beskæftiger sig med valutaveksling over hele verden. Det er meget populært i lufthavne, da det letter processen med at veksle din lokale valuta til en anden valuta. Den 31. december 2019, fik REvil adgang til Travelex’s netværk. Dette skete fordi Travelex brugte en forældet VPN, og REvil-gruppen udnyttede sårbarhederne i den uopdaterede software. Efter at have infiltreret deres netværk, spredte REvil ransomware, der lagde Travelex’s hele netværk ned, og krævede en løsesum på $2,3 millioner.

Travelex afslørede ikke, at de havde været udsat for et ransomware-angreb. I stedet sagde de, at deres systemer var under vedligeholdelse. Derefter betalte de hemmeligt løsesummen og genoprettede adgangen til deres netværk og systemer. Uheldigvis for dem fandt sandheden vej til overskrifterne, og de mistede offentlighedens tillid. Det er én ting at være offer for et angreb på grund af forfærdelige sikkerhedspolitikker, men at lyve for dine kunder og offentligheden om det er en alvorlig forseelse. Indtil dette øjeblik står Travelex stadig over for konsekvenserne af sine handlinger.

3. Grubman Shire Meiselas & Sacks

I maj 2020 fik REvil adgang til mere end 750 GB af private juridiske dokumenter. Grubman Shire Meiselas og Sacks er et advokatfirma, der repræsenterer flere kendte personer, herunder tidligere USA’s præsident Donald Trump. REvil satte oprindeligt en løsesum på 21 millioner dollars, men forhøjede beløbet efter at have set Trumps data. Advokatfirmaet fulgte FBI’s råd om ikke at betale, og REvil auktionerede dataene på Dark Web.

Konklusion 

De stigende angreb på virksomheder, der producerer hardware for top teknologivirksomheder, bør være en kilde til bekymring. Det er tydeligt, at disse virksomheder bliver målrettet på grund af deres forbindelser til giganter inden for teknologiindustrien. Angreb som disse er påmindelser om, at virksomheder bør tage cybersikkerhed så seriøst som muligt, fordi omkostningerne ved at oprette et ordentligt forsvar mod angreb normalt er mindre end omkostningerne ved at genvinde aktiver.