Apple Mål for Løsepengevirusangrep på Quanta | Hackerar Krev $50m

Ransomware-angrep har auka sidan pandemien starta i desember 2019. Faktisk viser fleire rapportar at ved slutten av 2020, hadde ransomware-angrep auka med minst 150%, og det gjennomsnittlege kravet om løsepengar dobla seg til om lag $170000. Dårlege aktørar siktar seg vanlegvis inn på selskap med høg inntekt på grunn av potensialet for ein stor utbetaling. Det har også blitt ein trend å målrette seg mot store teknologiprodusentar. 

Til dømes, i november 2020, vart Foxconn mål for eit løsepengevirusangrep der hackerane ansvarlege sletta terabyte med sikkerheitskopiert data frå over tusen krypterte serverar. Angriparane kravde 34 millionar dollar før dei ville sleppe den krypterte dataen fri. For å setje det i perspektiv, Foxconn er den største produsenten av elektronisk utstyr for selskap som Amazon, Sony, Microsoft og Apple. Tidlegare den månaden vart ein annan produsent (Compal) mål for eit angrep med løsepengevirus.

Dette viser berre at store teknologiproduserande selskap no er i fare for meir sofistikerte løsepengevirusangrep. Det mest nylege angrepet skjedde nokre få dagar før slutten av april 2021. Quanta, eit Taiwan-basert selskap som produserer bærbare datamaskiner for store teknologiselskap, inkludert Apple, vart råka av eit løsepengevirusangrep som kan koste Apple 50 millionar dollar. 

Kva er Løsepengevirus?

Ransomware er ein form for skadevare (skadeleg programvare) som får tilgang til ein datamaskin og målretter seg mot filer eller system ved å kryptere dei og gjere dei utilgjengelege i eit forsøk på å få bedrifta eller eigaren til å betale for frigjevinga deira. Frå ordet «løsepengar» er det lett å forstå det ultimate målet med alle ransomware-angrep – å få offeret til å betale ein løsepenge i bytte mot frigjevinga av dei gisseltatte fil(ene) eller system(ene). Når offeret betaler, gir angriparane ut ein dekrypteringsnøkkel som offeret bruker til å dekryptere dei krypterte fil(ene) eller system(ene).

Den første forma for løsepengevirusangrep skjedde så langt tilbake som i 1989. Sidan den gongen har ondsinna aktørar brukt framstega i teknologi til å utføre meir sofistikerte angrep. Utviklinga av løsepengevirus har sett at dårlege aktørar tilbyr tenester som Løsepengevirus-som-ein-Teneste (RaaS) for å utvide nettverket og kapasitetane sine. Mobile løsepengevirusangrep blir òg ein ting no, og med den rata som bruken av Internett-ting-teknologi utvidar seg, er vi bundne til å sjå nye angrep. 

REvil Hackergruppa Målretter seg mot Apple Gjennom Quanta

Den 20. april 2021, medan Apple avslørte sine nyaste dingser på sitt Spring Loaded-arrangement, vart ein av dei største laptop-produsentane i verda ramma av eit løsepengevirusangrep utført av ei russisk hackargruppe kjend som REvil. Quanta produserer MacBooks for Apple, saman med andre produkt. REvil, også kjend som Sodinokibi, viste bevis på sitt vellykka angrep ved å poste skjema av Apples nyaste produkt, inkludert den allereie utgitte 2020 M1 MacBook Air og dei nye iMac-designa.

Eit par dagar før datalekkasjane hinta ein brukar med brukarnamnet UNKN på XSS (eit populært cyber-kriminalitetsforum) at ei stor kunngjering var på veg, og oppmoda hackarar til å bli med i gruppa. Vi trur at denne brukaren representerer REvil-ransomwaregruppa som har i oppgåve å kunngjere slike nyhende og rekruttere nye affiliate for programmet sitt for løsepenge-som-ein-teneste.

Quanta har erkjent at angrepet skjedde. Selskapet sa også at sikkerheitsteamet deira responderer på angrepet, men det er ingen vesentleg påverknad på drifta av selskapet. I uttalinga frå selskapet sa Quanta, «Vi har rapportert til og halde sømlause kommunikasjonar med dei relevante politimyndigheitene og databeskyttelsesmyndigheitene angåande nyleg observerte unormale aktivitetar. Det er ingen materiell påverknad på selskapet sin forretningsdrift.» Sidan har dei oppgradert sin cybersikkerheitsinfrastruktur for å forhindre at slik skjer igjen.

Desse angriparane kravde ein sum på 50 millionar dollar i byte mot bileta, men Quanta har nekta å betale, noko som tvinga dei til å kontakte verdas mest verdfulle selskap. Det er grunnen til at REvil-gruppa sleppte om lag 21 bilete av MacBook-skjema same dagen som Apple sitt Spring Loaded-arrangement; ei utsegn som truleg ikkje vil gå ubemerket hen. 

Det har òg truga med å sleppe ny data kvar dag fram til Apple betalar løsepengane og har gitt eit ultimatum til 1. mai. REvil avslørte all denne informasjonen gjennom sin «Happy Blog», ein nettstad den brukar til å dele sine hackingbragder offentleg. Apple har ikkje gitt ut nokon uttalingar om angrepet og har ikkje gitt nokon indikasjon på at dei vil betale løsepengane. 

Ei historie om REvil-hackargruppa og deira bravadar

Sodinokibi, populært kjent som REvil, har eit rykte for sine løsepengevirusangrep. Folk innan informasjonstryggleik trur at denne gruppa er basert i Russland på grunn av deira uvilje mot å angripe russiske eller statseigde selskap. Dei trur også at det er ein avleggjar frå ei tidlegare ondsinna gruppe–GandCrab. GandCrab var like produktiv som REvil er no, og samla inn om lag $2 milliardar i løsepengar på nesten to år. Omtrent på same tid som GandCrab avslutta operasjonane sine, byrja REvil å bli framståande.

I motsetnad til dei fleste hackargrupper, driv REvil ein annan modell som gjer at dei kan tene meir pengar. Dei brukar ein Ransomware-as-a-Service (RaaS)-modell der dei lisensierer skadevare til tilknytta partar dei stolar på. Dei tek så ein prosentdel av løsepengane om dei tilknytta partane lykkast med å gjennomføre eit angrep. REvil brukar også det som er kjent som ein dobbel-utpressingsmetode for å auke sjansane for at ofra deira betalar løsepengane. Dette betyr at etter å ha kryptert data, overfører REvil også det dei kan til sine serverar med ein trussel om å selje det.

Om eit selskap har sikkerheitskopiar, kan det likevel trenge å betale løsepengar om den ondsinna gruppa har overført sensitiv informasjon til sine serverar. Det er også moglegheita for å bruke eit DDoS-angrep på same offer for å auke presset og tvinge dei til å betale løsepengane. Ein byrjar å lure på kvifor denne gruppa gjer alt den kan for å samle inn pengar. Er det for å finansiere meir lukrative angrep eller berre rein grådigheit?

No, la oss sjå på nokre av dei utbreidde åtaka som denne gruppa utførte i fortida. 

1. Lokalstyresmakter i Texas

I dei tidlege timane den 16. august 2019, angreip REvil 23 lokale styresmakter i Texas og kravde ein løsepeng på 2,5 millionar dollar. Folk som jobba i desse etatane hadde ikkje tilgang til filene dei vanlegvis hadde tilgang til. Det var eit koordinert angrep frå REvil som tok ut systema og nettsidene til etatane. Heldigvis angreip ikkje REvil deira backup-system, så dei gav ikkje etter for krava. Etter å ha koordinert med fleire cybersikkerheitsteam, var desse etatane i stand til å gjenopprette tilgangen til filer og system som REvil-gruppa heldt for løsepengar.

2. Travelex

Travelex er eit selskap som driv med valutaveksling rundt om i verda. Det er svært populært på flyplassar sidan det gjer prosessen med å veksle lokal valuta til ein annan valuta enklare. Den 31. desember 2019, fekk REvil tilgang til Travelex sitt nettverk. Dette skjedde fordi Travelex brukte ein utdatert VPN og REvil-gruppa utnytta sårbarheitene i den uoppdaterte programvara. Etter å ha infiltrert nettverket deira, spreidde REvil løsepengevirus som tok ned heile nettverket til Travelex, og krevde ein løsepenge på $2.3 millionar.

Travelex avslørte ikkje at dei hadde vorte utsette for eit løsepengevirusangrep. I staden sa dei at systema deira gjekk gjennom vedlikehald. Deretter betalte dei i løyndom løsepengane og gjenoppretta tilgangen til nettverket og systema sine. Uheldigvis for dei, fann sanninga vegen til overskriftene, og dei mista tilliten frå publikum. Det er éi ting å vere offer for eit angrep på grunn av forferdelege tryggingspolitikkar, men å lyge til kundane og offentlegheita om det er ein alvorleg forseelse. Fram til dette augneblinket, står Travelex framleis overfor konsekvensane av handlingane sine.

3. Grubman Shire Meiselas & Sacks

I mai 2020 fekk REvil tilgang til meir enn 750 GB med private juridiske dokument. Grubman Shire Meiselas and Sacks er eit advokatfirma som representerer fleire kjendisar, inkludert tidlegare USAs president Donald Trump. REvil sette først eit løsepengar på $21 millionar, men auka beløpet etter å ha sett Trump sine data. Advokatfirmaet følgde FBI sitt råd om ikkje å betale, og REvil auksjonerte bort dataen på det mørke nettet. 

Konklusjon 

Aukande åtak på selskap som produserer maskinvare for dei fremste teknologiselskapa bør vera ein grunn til bekymring. Det er tydeleg at desse selskapa blir målretta på grunn av deira samband med gigantane i teknologiindustrien. Åtak som desse er påminningar om at selskap bør ta kybertryggleik så alvorleg som mogleg, fordi kostnaden ved å setje opp eit skikkeleg forsvar mot åtak vanlegvis er mindre enn kostnaden ved å gjenvinne eigedelar.