Apple Kohteena Lunnasohjelmahyökkäyksessä Quantaan | Hakkerit Vaativat 50 Miljoonaa Dollaria
Lunnasohjelmahyökkäykset ovat lisääntyneet pandemian alusta lähtien joulukuussa 2019. Itse asiassa useat raportit osoittavat, että vuoden 2020 loppuun mennessä, lunnasohjelmahyökkäykset olivat kasvaneet vähintään 150%, ja keskimääräinen vaadittu lunnassumma kaksinkertaistui noin 170000 dollariin. Pahantahtoiset toimijat kohdistavat usein yrityksiin, joilla on suuret tulot, koska suuren rahapotin mahdollisuus. On myös tullut trendiksi kohdistaa iskuja suuriin teknologiavalmistajiin.
Esimerkiksi marraskuussa 2020 Foxconn joutui kiristyshaittaohjelman kohteeksi, jossa vastuussa olevat hakkerit poistivat teratavuja varmuuskopiotietoja yli tuhannelta salatulta palvelimelta. Hyökkääjät pyysivät 34 miljoonaa dollaria ennen kuin he vapauttaisivat salatut tiedot. Kontekstiksi, Foxconn on suurin elektroniikkalaitteiden valmistaja yrityksille kuten Amazon, Sony, Microsoft ja Apple. Aiemmin samana kuukautena hakkerit kohdistivat toiseen valmistajaan (Compal) kiristyshaittaohjelmahyökkäyksen.
Tämä vain osoittaa, että suuret teknologian valmistusyritykset ovat nyt vaarassa joutua monimutkaisempien lunnasohjelmahyökkäysten kohteeksi. Viimeisin hyökkäys tapahtui muutama päivä ennen huhtikuun 2021 loppua. Quanta, Taiwanissa toimiva yritys, joka valmistaa kannettavia tietokoneita suurille teknologiayrityksille, mukaan lukien Apple, joutui lunnasohjelmahyökkäyksen kohteeksi, joka saattaa maksaa Applelle 50 miljoonaa dollaria.
## Mikä on kiristyshaittaohjelma?
Ransomware on haittaohjelma (malicious software) muoto, joka pääsee käsiksi tietokoneeseen ja kohdistuu tiedostoihin tai järjestelmiin salaten ne ja tekee niistä käyttökelvottomia yrityksenä saada yritys tai omistaja maksamaan niiden vapauttamisesta. Sanasta ”ransom” on helppo ymmärtää kaikkien ransomware-hyökkäysten lopullinen tavoite – saada uhri maksamaan lunnaita panttivangiksi otetun tiedosto(n) tai järjestelmä(n) vapauttamisesta. Kun uhri maksaa, hyökkääjät vapauttavat salauksenpurkuavaimen, jota uhri käyttää salattujen tiedosto(je)n tai järjestelmä(n) purkamiseen.
Ensimmäinen kiristyshaittaohjelmahyökkäys tapahtui jo vuonna 1989. Siitä lähtien pahantahtoiset toimijat ovat hyödyntäneet teknologian kehitystä toteuttaakseen yhä monimutkaisempia hyökkäyksiä. Kiristyshaittaohjelmien kehitys on nähnyt pahantekijöiden tarjoavan palveluita, kuten Ransomware-as-a-Service (RaaS), laajentaakseen verkostoaan ja kyvykkyyksiään. Myös mobiilikiristyshaittaohjelmahyökkäykset ovat nyt yleistymässä, ja Internet of Things -teknologian käytön laajentumisvauhdilla tulemme varmasti näkemään uusia hyökkäyksiä.
## REvil-hakkeriryhmä kohdistaa Appleen Quanta kautta
20. huhtikuuta 2021, kun Apple esitteli uusimpia laitteitaan Spring Loaded -tapahtumassaan, yksi maailman suurimmista kannettavien tietokoneiden valmistajista joutui venäläisen hakkeriryhmän REvilin tekemän lunnasohjelmahyökkäyksen kohteeksi. Quanta valmistaa MacBookit Applelle sekä muita tuotteita. REvil, joka tunnetaan myös nimellä Sodinokibi, näytti hyökkäyksensä onnistumisen todisteena julkaisemalla kaaviokuvia Applen uusimmista tuotteista, mukaan lukien jo julkaistu 2020 M1 MacBook Air ja uudet iMac-mallit.
Muutama päivä ennen tietovuotoja käyttäjä, jonka käyttäjänimi oli UNKN, vihjasi XSS:ssä (suositulla kyberrikollisuusfoorumilla), että suuri ilmoitus oli tulossa ja kehotti hakkerit liittymään ryhmään. Uskomme, että tämä käyttäjä edustaa REvil-lunnasohjelmaryhmää, jonka tehtävänä on tällaisten uutisten ilmoittaminen ja uusien liittolaisten rekrytoiminen ransom-as-a-service -ohjelmaansa.
Quanta on myöntänyt, että hyökkäys tapahtui. Se on myös sanonut, että sen tietoturvatiimi vastaa hyökkäykseen, mutta sillä ei ole merkittävää vaikutusta sen liiketoimintaan. Yhtiön lausunnossa Quanta sanoi: ”Olemme ilmoittaneet ja pitäneet saumattoman yhteydenpidon asiaankuuluvien lainvalvonta- ja tietosuojaviranomaisten kanssa havaittujen epänormaalien toimintojen osalta. Yhtiön liiketoimintaan ei ole kohdistunut merkittäviä vaikutuksia.” Sen jälkeen se on päivittänyt kyberturvallisuusinfrastruktuuriaan estääkseen tällaisten tapahtumien toistumisen.
Nämä hyökkääjät vaativat 50 miljoonan dollarin summaa kuvien vaihdossa, mutta Quanta on kieltäytynyt maksamasta, pakottaen heidät kääntymään maailman arvokkaimman yrityksen puoleen. Tämän vuoksi REvil-ryhmä julkaisi noin 21 kuvaa MacBookin kaavioista samana päivänä kuin Applen Spring Loaded -tapahtuma; lausunto, jota ei todennäköisesti jätetä huomiotta.
Se on myös uhannut julkaista uusia tietoja joka päivä, kunnes Apple maksaa lunnasrahat, ja on antanut viimeisen määräajan olevan 1. toukokuuta. REvil paljasti kaiken tämän tiedon ”Happy Blog” -sivustollaan, jota se käyttää julkisesti hakkerointitemppujensa jakamiseen. Apple ei ole julkaissut mitään lausuntoja hyökkäyksestä eikä ole antanut mitään merkkiä siitä, että se maksaisi lunnasrahat.
## REvil-hakkeriryhmän historia ja heidän tempauksensa
Sodinokibi, joka tunnetaan paremmin nimellä REvil, on saanut mainetta lunnasohjelmahyökkäyksillään. Tietoturva-alan ihmiset uskovat, että tämä ryhmä on venäläinen, koska se välttelee hyökkäämästä venäläisiä tai valtion omistamia yrityksiä vastaan. He uskovat myös, että se on edeltäjänsä GandCrab-malware-ryhmän haara. GandCrab oli yhtä tuottoisa kuin REvil on nyt, keräten noin 2 miljardia dollaria lunnaita lähes kahdessa vuodessa. Suunnilleen samaan aikaan kun GandCrab lopetti toimintansa, REvil alkoi nousta esiin.
Toisin kuin useimmat hakkeriryhmät, REvil toimii erilaisella mallilla, joka mahdollistaa sen ansaita enemmän rahaa. Se käyttää Ransomware-as-a-Service (RaaS) -mallia, jossa se lisensoi haittaohjelmia luotettaviksi katsomilleen yhteistyökumppaneille. Se ottaa sitten prosentin lunnasrahasta, jos yhteistyökumppanit onnistuvat suorittamaan hyökkäyksen. REvil käyttää myös niin kutsuttua kaksinkertaisen kiristyksen menetelmää lisätäkseen uhrien maksun todennäköisyyttä. Tämä tarkoittaa, että datan salauksen jälkeen REvil siirtää mitä voi omille palvelimilleen uhkauksella myydä sen.
Jos yrityksellä on varmuuskopiot, se saattaa silti joutua maksamaan lunnaita, jos haitallinen ryhmä on siirtänyt arkaluonteisia tietoja palvelimilleen. On myös mahdollista käyttää DDoS-hyökkäystä samaa uhria vastaan lisätäkseen painetta ja pakottaakseen heidät maksamaan lunnaita. Alkaa miettiä, miksi tämä ryhmä tekee kaikkensa kerätäkseen varoja. Onko syynä rahoittaa tuottoisampia hyökkäyksiä vai pelkkä vanhanaikainen ahneus?
Nyt, katsotaanpa joitakin laajalle levinneitä hyökkäyksiä, joita tämä ryhmä on tehnyt menneisyydessä.
## 1. Texasin paikallishallinnot
Varhain 16. elokuuta 2019, REvil hyökkäsi 23 Texasin paikallishallinnon virastoon ja vaati 2,5 miljoonan dollarin lunnaita. Näissä virastoissa työskentelevillä ihmisillä ei ollut pääsyä tiedostoihin, joihin heillä tavallisesti oli pääsy. Kyseessä oli REvilin koordinoima hyökkäys, joka kaatoi virastojen järjestelmät ja verkkosivustot. Onneksi REvil ei hyökännyt heidän varmuuskopiojärjestelmiinsä, joten he eivät suostuneet vaatimuksiin. Useiden kyberturvallisuustiimien kanssa koordinoinnin jälkeen nämä virastot pystyivät palauttamaan pääsyn tiedostoihin ja järjestelmiin, jotka REvil-ryhmä oli ottanut lunnaita vastaan.
## 2. Travelex
Travelex on yritys, joka käsittelee ulkomaanvaluutan vaihtoa ympäri maailmaa. Se on erittäin suosittu lentokentillä, koska se helpottaa prosessia vaihtaa paikallista valuuttaa toiseen valuuttaan. Joulukuun 31. päivänä 2019, REvil sai pääsyn Travelexin verkkoon. Tämä tapahtui, koska Travelex käytti vanhentunutta VPN:ää ja REvil-ryhmä hyödynsi päivittämättömän ohjelmiston haavoittuvuuksia. Verkkoon tunkeutumisen jälkeen REvil levitti kiristyshaittaohjelman, joka kaatoi koko Travelexin verkon, vaatien 2,3 miljoonan dollarin lunnaita.
Travelex ei paljastanut joutuneensa kiristyshaittaohjelman hyökkäyksen kohteeksi. Sen sijaan he sanoivat järjestelmiensä olevan huoltotöiden kohteena. Sitten he salaa maksoivat lunnasrahat ja palauttivat pääsyn verkkoonsa ja järjestelmiinsä. Valitettavasti heille totuus päätyi otsikoihin, ja he menettivät yleisön luottamuksen. On yksi asia olla hyökkäyksen kohteena huonojen turvallisuuskäytäntöjen vuoksi, mutta valehdella asiakkaillesi ja yleisölle siitä on vakava rikkomus. Tähän hetkeen asti Travelex on yhä kärsimässä tekojensa seurauksista.
## 3. Grubman Shire Meiselas & Sacks
Toukokuussa 2020 REvil sai käyttöönsä yli 750 gigatavua yksityisiä oikeudellisia asiakirjoja. Grubman Shire Meiselas and Sacks on lakitoimisto, joka edustaa useita julkkiksia, mukaan lukien entinen Yhdysvaltain presidentti Donald Trump. REvil asetti alun perin lunnassumman 21 miljoonaa dollaria, mutta kasvatti summaa nähtyään Trumpin tiedot. Lakitoimisto noudatti FBI:n neuvoa olla maksamatta, ja REvil huutokauppasi tiedot Dark Webissä.
## Johtopäätös
Yrityksiin, jotka valmistavat laitteistoa huipputeknologiayrityksille, kohdistuvien hyökkäysten lisääntyminen pitäisi olla huolenaihe. On selvää, että nämä yritykset ovat kohteena yhteyksiensä vuoksi teknologia-alan jättiläisiin. Tällaiset hyökkäykset ovat muistutuksia siitä, että yritysten tulisi suhtautua kyberturvallisuuteen mahdollisimman vakavasti, koska hyökkäyksiltä suojautumiseen tarvittavan puolustuksen pystyttämisen kustannukset ovat yleensä pienemmät kuin varojen palauttamisen kustannukset.