Apple zaatakowany w ataku ransomware na Quanta | Hakerzy żądają 50 mln dolarów
Ataki ransomware wzrosły od początku pandemii w grudniu 2019 roku. W rzeczywistości, kilka raportów pokazuje, że do końca 2020 roku, ataki ransomware wzrosły o co najmniej 150%, a średnie żądane okupu podwoiło się do około 170000 dolarów. Złe podmioty zazwyczaj celują w firmy o wysokich przychodach ze względu na potencjał dużej wypłaty. Stało się również trendem celowanie w dużych producentów technologii.
Na przykład w listopadzie 2020 roku, Foxconn padł ofiarą ataku ransomware, podczas którego odpowiedzialni hakerzy usunęli terabajty danych z kopii zapasowych z ponad tysiąca zaszyfrowanych serwerów. Napastnicy zażądali 34 milionów dolarów, zanim uwolniliby zaszyfrowane dane. Dla kontekstu, Foxconn jest największym producentem sprzętu elektronicznego dla firm takich jak Amazon, Sony, Microsoft i Apple. Wcześniej tego samego miesiąca, hakerzy zaatakowali innego producenta (Compal) za pomocą ataku ransomware.
To tylko pokazuje, że duże firmy produkujące technologię są teraz narażone na bardziej zaawansowane ataki ransomware. Najnowszy atak miał miejsce kilka dni przed końcem kwietnia 2021 roku. Quanta, firma z Tajwanu produkująca laptopy dla dużych firm technologicznych, w tym Apple, została zaatakowana przez ransomware, co może kosztować Apple 50 milionów dolarów.
## Co to jest Ransomware?
Ransomware to forma złośliwego oprogramowania (malware), które uzyskuje dostęp do komputera i celuje w pliki lub systemy, szyfrując je i czyniąc je niedostępnymi w celu zmuszenia firmy lub właściciela do zapłacenia za ich uwolnienie. Od słowa „okup”, łatwo zrozumieć końcowy cel wszystkich ataków ransomware – zmusić ofiarę do zapłacenia okupu w zamian za uwolnienie zakładnika pliku(ów) lub systemu(ów). Gdy ofiara zapłaci, atakujący uwalniają klucz deszyfrujący, którego ofiara używa do odszyfrowania zaszyfrowanych pliku(ów) lub systemu(ów).
Pierwsza forma ataku ransomware miała miejsce już w 1989 roku. Od tego czasu, złe podmioty wykorzystały postęp w technologii do przeprowadzania bardziej wyrafinowanych ataków. Ewolucja ransomware doprowadziła do tego, że złoczyńcy oferują usługi takie jak Ransomware-as-a-Service (RaaS), aby rozszerzyć swoją sieć i możliwości. Ataki ransomware na urządzenia mobilne stają się również coraz bardziej popularne, a wraz z tempem, w jakim rozwija się technologia Internetu Rzeczy, możemy spodziewać się nowych ataków.
## Grupa hakerska REvil atakuje Apple poprzez Quanta
20 kwietnia 2021 roku, podczas gdy Apple prezentowało swoje najnowsze gadżety na wydarzeniu Spring Loaded, jeden z największych producentów laptopów na świecie został zaatakowany przez rosyjską grupę hakerską znana jako REvil. Quanta produkuje MacBooki dla Apple, wraz z innymi produktami. REvil, znany również jako Sodinokibi, pokazał dowody swojego udanego ataku, publikując schematy najnowszych produktów Apple, w tym już wydanego MacBooka Air M1 z 2020 roku oraz nowych projektów iMaca.
Na kilka dni przed wyciekami danych, użytkownik o nazwie UNKN zasugerował na XSS (popularnym forum cyberprzestępczym), że nadchodzi ważne ogłoszenie, zachęcając hakerów do dołączenia do grupy. Wierzymy, że ten użytkownik reprezentuje grupę ransomware REvil, odpowiedzialną za ogłaszanie takich wiadomości i rekrutowanie nowych afiliantów dla swojego programu ransomware jako usługi.
Quanta przyznała, że doszło do ataku. Firma poinformowała również, że jej zespół ds. bezpieczeństwa reaguje na atak, ale nie ma to znaczącego wpływu na jej działalność biznesową. W oświadczeniu firmy Quanta powiedziano: „Zgłosiliśmy i utrzymywaliśmy nieprzerwane komunikacje z odpowiednimi organami ścigania i organami ochrony danych w związku z niedawnymi nietypowymi aktywnościami, które zaobserwowaliśmy. Nie ma to materialnego wpływu na działalność biznesową firmy.” Od tego czasu firma zaktualizowała swoją infrastrukturę cyberbezpieczeństwa, aby zapobiec powtórzeniu się takiej sytuacji.
Ci napastnicy zażądali sumy 50 milionów dolarów w zamian za obrazy, ale Quanta odmówiła zapłaty, zmuszając ich do zwrócenia się do najcenniejszej firmy na świecie. Dlatego grupa REvil opublikowała około 21 obrazów schematów MacBooka w tym samym dniu, co wydarzenie Spring Loaded firmy Apple; oświadczenie, które prawdopodobnie nie przejdzie bez echa.
Grupa ta zagroziła również, że będzie publikować nowe dane każdego dnia, dopóki Apple nie zapłaci okupu, i postawiła ultimatum na 1 maja. REvil ujawniło wszystkie te informacje za pośrednictwem swojego „Happy Blog”, strony, której używa do publicznego dzielenia się swoimi hackingowymi wyczynami. Apple nie wydało żadnego oświadczenia dotyczącego ataku i nie dało żadnych wskazówek, że zamierza zapłacić okup.
## Historia grupy hakerskiej REvil i ich wyczyny
Sodinokibi, popularnie znany jako REvil, ma reputację za swoje ataki ransomware. Ludzie z branży bezpieczeństwa informacji wierzą, że ta grupa ma rosyjskie pochodzenie, ze względu na jej niechęć do atakowania rosyjskich lub państwowych firm. Wierzą również, że jest to odłam poprzedniej złośliwej grupy – GandCrab. GandCrab był tak samo płodny, jak REvil jest teraz, zgromadzając około 2 miliardy dolarów z okupów w prawie dwa lata. Mniej więcej w tym samym czasie, gdy GandCrab zakończył działalność, REvil zaczął zyskiwać na znaczeniu.
W przeciwieństwie do większości grup hakerskich, REvil działa na innym modelu, który pozwala im zarabiać więcej pieniędzy. Używa modelu Ransomware-as-a-Service (RaaS), w którym licencjonuje malware swoim zaufanym afiliantom. Następnie pobiera procent z okupu, jeśli afiliantom uda się przeprowadzić atak. REvil stosuje również tzw. metodę podwójnego wymuszenia, aby zwiększyć szanse na to, że ofiary zapłacą okup. Oznacza to, że po zaszyfrowaniu danych, REvil również przenosi, co może na swoje serwery z groźbą sprzedaży ich.
Jeśli firma posiada kopie zapasowe, może nadal potrzebować zapłacić okup, jeśli złośliwa grupa przeniosła wrażliwe informacje na swoje serwery. Istnieje również możliwość użycia ataku DDoS na tej samej ofierze, aby zwiększyć presję i zmusić ją do zapłacenia okupu. Zaczyna się zastanawiać, dlaczego ta grupa robi wszystko, co w jej mocy, aby zdobyć fundusze. Czy jest to w celu finansowania bardziej lukratywnych ataków, czy po prostu zwykłej chciwości?
Teraz przyjrzyjmy się niektórym z szeroko zakrojonych ataków, które ta grupa przeprowadziła w przeszłości.
## 1. Lokalne władze Teksasu
W wczesnych godzinach 16 sierpnia 2019, REvil zaatakował 23 lokalne agencje rządowe w Teksasie i zażądał okupu w wysokości 2,5 miliona dolarów. Osoby pracujące w tych agencjach nie miały dostępu do plików, do których zazwyczaj miały dostęp. Był to skoordynowany atak grupy REvil, który wyłączył systemy i strony internetowe agencji. Na szczęście REvil nie zaatakował ich systemów kopii zapasowych, więc nie ulegli żądaniom. Po skoordynowaniu działań z kilkoma zespołami ds. cyberbezpieczeństwa, tym agencjom udało się przywrócić dostęp do plików i systemów, które grupa REvil wzięła na okup.
## 2. Travelex
Travelex to firma zajmująca się wymianą walut obcych na całym świecie. Jest bardzo popularna na lotniskach, ponieważ ułatwia proces wymiany lokalnej waluty na inną. 31 grudnia 2019 roku, REvil uzyskał dostęp do sieci Travelex. Stało się to, ponieważ Travelex używał przestarzałego VPN, a grupa REvil wykorzystała luki w niezaktualizowanym oprogramowaniu. Po infiltracji ich sieci, REvil rozprzestrzenił oprogramowanie ransomware, które wyłączyło całą sieć Travelex, domagając się okupu w wysokości 2,3 miliona dolarów.
Travelex nie ujawnił, że padł ofiarą ataku ransomware. Zamiast tego, poinformowali, że ich systemy przechodzą konserwację. Następnie potajemnie zapłacili okup i przywrócili dostęp do swojej sieci i systemów. Niestety dla nich, prawda przedostała się do nagłówków, i stracili zaufanie publiczne. To jedno, być ofiarą ataku z powodu fatalnych polityk bezpieczeństwa, ale kłamać swoim klientom i opinii publicznej na ten temat to poważne przewinienie. Do tego momentu, Travelex wciąż ponosi konsekwencje swoich działań.
## 3. Grubman Shire Meiselas & Sacks
W maju 2020 roku, REvil uzyskał dostęp do ponad 750 GB prywatnych dokumentów prawnych. Grubman Shire Meiselas and Sacks to kancelaria prawna reprezentująca kilku celebrytów, w tym byłego prezydenta USA, Donalda Trumpa. REvil początkowo ustalił okup na 21 milionów dolarów, ale zwiększył kwotę po zobaczeniu danych Trumpa. Kancelaria prawna, stosując się do rady FBI, nie zapłaciła, a REvil wystawił dane na aukcji w Dark Webie.
## Podsumowanie
Rosnące ataki na firmy produkujące sprzęt dla czołowych firm technologicznych powinny być powodem do zmartwień. Jest oczywiste, że te firmy są atakowane ze względu na ich powiązania z gigantami branży technologicznej. Ataki takie są przypomnieniem, że firmy powinny traktować cyberbezpieczeństwo jak najbardziej poważnie, ponieważ koszt ustanowienia odpowiedniej obrony przed atakami jest zazwyczaj niższy niż koszt odzyskania zasobów.