Apple, ținta unui atac cu ransomware asupra Quanta | Hackerii cer 50 de milioane de dolari - TechRobot

Apple, ținta unui atac cu ransomware asupra Quanta | Hackerii cer 50 de milioane de dolari

Atacurile ransomware au fost în creștere de când pandemia a început în decembrie 2019. De fapt, mai multe rapoarte arată că până la sfârșitul anului 2020, atacurile ransomware au crescut cu cel puțin 150%, iar răscumpărarea medie cerută s-a dublat, ajungând la aproximativ 170000 de dolari. Actorii răi vizează de obicei companiile cu venituri mari din cauza potențialului pentru un câștig mare. De asemenea, a devenit o tendință să se vizeze marii producători de tehnologie.

De exemplu, în noiembrie 2020, Foxconn a fost ținta unui atac ransomware în care hackerii responsabili au șters terabyte de date de backup de pe peste o mie de servere criptate. Atacatorii au cerut 34 de milioane de dolari înainte să elibereze datele criptate. Pentru context, Foxconn este cel mai mare producător de echipamente electronice pentru companii precum Amazon, Sony, Microsoft și Apple. Mai devreme în acea lună, hackerii au vizat un alt producător (Compal) cu un atac ransomware.

Acest lucru doar arată că marile companii de producție tehnologică sunt acum expuse riscului unor atacuri ransomware mai sofisticate. Cel mai recent atac a avut loc cu câteva zile înainte de sfârșitul lunii aprilie 2021. Quanta, o companie cu sediul în Taiwan care produce laptopuri pentru mari companii de tehnologie, inclusiv Apple, a fost lovită de un atac ransomware care ar putea costa Apple 50 de milioane de dolari. 

Ce este Ransomware?

Ransomware este o formă de malware (software malițios) care obține acces la un computer și vizează fișiere sau sisteme criptându-le și făcându-le inaccesibile în încercarea de a face compania sau proprietarul să plătească pentru eliberarea lor. Din cuvântul „ransom” (răscumpărare), este ușor de înțeles scopul final al tuturor atacurilor ransomware – de a face victima să plătească o răscumpărare în schimbul eliberării fișierului(ielor) sau sistemului(elor) ostatic(i). Odată ce victima plătește, atacatorii eliberează o cheie de decriptare pe care victima o folosește pentru a decripta fișierul(ele) sau sistemul(ele) criptat(e).

Prima formă de atac cu ransomware a avut loc încă din anul 1989. De atunci, entitățile răuvoitoare au folosit avansul tehnologic pentru a comite atacuri mai sofisticate. Evoluția ransomware-ului a văzut actorii răi oferind servicii precum Ransomware-ca-Serviciu (RaaS) pentru a-și extinde rețeaua și capacitățile. Atacurile cu ransomware pe dispozitive mobile devin de asemenea o realitate acum, și cu rata la care utilizarea tehnologiei Internet of Things se extinde, suntem pe cale să vedem noi atacuri.

Grupul de hackeri REvil vizează Apple prin intermediul Quanta

Pe 20 aprilie 2021, în timp ce Apple își dezvăluia cele mai recente gadgeturi în cadrul evenimentului său Spring Loaded, unul dintre cei mai mari producători de laptopuri din lume a fost lovit de un atac ransomware comis de un grup de hackeri ruși cunoscut sub numele de REvil. Quanta fabrică MacBook-uri pentru Apple, alături de alte produse. REvil, cunoscut și sub numele de Sodinokibi, a arătat dovezi ale atacului său reușit prin postarea schemelor celor mai recente produse Apple, inclusiv MacBook Air M1 din 2020 deja lansat și noile designuri iMac.

Cu câteva zile înainte de scurgerile de date, un utilizator cu numele de utilizator UNKN a sugerat pe XSS (un forum popular de cyber-criminalitate) că urmează un anunț important, îndemnând hackerii să se alăture grupului. Credem că acest utilizator reprezintă grupul de ransomware REvil, responsabil cu anunțarea unor astfel de știri și recrutarea de noi afiliați pentru programul său de ransomware-ca-serviciu.

Quanta a recunoscut că atacul a avut loc. De asemenea, a declarat că echipa sa de securitate răspunde la atac, dar nu există un impact semnificativ asupra operațiunilor sale comerciale. În declarația companiei, Quanta a spus, „Am raportat și am menținut comunicații fără întreruperi cu autoritățile competente de aplicare a legii și protecția datelor în legătură cu activitățile anormale observate recent. Nu există un impact material asupra operațiunilor comerciale ale companiei.” De atunci și-a actualizat infrastructura de securitate cibernetică pentru a preveni ca astfel de incidente să se mai întâmple.

Acești atacatori au cerut o sumă de 50 de milioane de dolari în schimbul imaginilor, dar Quanta a refuzat să plătească, fiind nevoită să apeleze la cea mai valoroasă companie din lume. De aceea, grupul REvil a publicat aproximativ 21 de imagini cu schemele MacBook în aceeași zi cu evenimentul Spring Loaded al Apple; o declarație care probabil nu va trece neobservată.

A amenințat, de asemenea, să publice noi date în fiecare zi până când Apple va plăti răscumpărarea și a dat un ultimatum pentru 1 Mai. REvil a dezvăluit toate aceste informații prin intermediul „Happy Blog”, un site pe care îl folosește pentru a-și împărtăși public exploatele de hacking. Apple nu a emis nicio declarație referitoare la atac și nu a dat nicio indicație că va plăti răscumpărarea. 

O istorie a grupului de hackeri REvil și a exploit-urilor lor

Sodinokibi, cunoscut popular sub numele de REvil, are o reputație pentru atacurile sale de tip ransomware. Persoanele din domeniul securității informației cred că acest grup este bazat în Rusia din cauza reticenței sale de a ataca companii rusești sau de stat. De asemenea, cred că este o ramură a unui grup rău intenționat anterior – GandCrab. GandCrab a fost la fel de prolific ca REvil în prezent, acumulând aproximativ 2 miliarde de dolari din răscumpărări în aproape doi ani. Aproximativ în același timp când GandCrab și-a încetat operațiunile, REvil a început să devină proeminent.

Spre deosebire de majoritatea grupurilor de hackeri, REvil operează un model diferit care îi permite să facă mai mulți bani. Folosește un model de Ransomware-ca-Serviciu (RaaS) unde licențiază malware-ul unor afiliați de încredere. Apoi, ia un procent din răscumpărare dacă afiliații reușesc să ducă la bun sfârșit un atac. REvil utilizează de asemenea ceea ce este cunoscut ca o metodă de dublă extorcare pentru a crește șansele ca victimele să plătească răscumpărarea. Asta înseamnă că, după criptarea datelor, REvil transferă de asemenea ceea ce poate pe serverele sale cu amenințarea de a le vinde.

Dacă o companie are backup-uri, s-ar putea totuși să fie nevoită să plătească o răscumpărare dacă grupul rău intenționat a transferat informații sensibile pe serverele sale. Există de asemenea posibilitatea utilizării unui atac DDoS asupra aceleiași victime pentru a crește presiunea și a-i forța să plătească răscumpărarea. Începi să te întrebi de ce acest grup face tot ce poate pentru a strânge fonduri. Este pentru a finanța atacuri mai profitabile sau pur și simplu din lăcomie veche?

Acum, să aruncăm o privire asupra unor atacuri răspândite pe care acest grup le-a efectuat în trecut. 

1. Guvernele locale din Texas

În primele ore ale zilei de 16 august 2019, REvil a atacat 23 de agenții guvernamentale locale din Texas și a cerut un răscumpărare de 2,5 milioane de dolari. Persoanele care lucrau în aceste agenții nu au avut acces la fișierele la care de obicei aveau acces. A fost un atac coordonat de REvil care a scos din funcțiune sistemele și site-urile web ale agențiilor. Din fericire, REvil nu a atacat sistemele lor de backup, așa că nu au cedat cererilor. După coordonarea cu mai multe echipe de securitate cibernetică, aceste agenții au reușit să restabilească accesul la fișiere și sisteme pe care grupul REvil le ținea la răscumpărare.

2. Travelex

Travelex este o companie care se ocupă cu schimbul valutar în întreaga lume. Este foarte populară în aeroporturi, deoarece facilitează procesul de schimb al monedei locale cu o altă monedă. Pe 31 decembrie 2019, REvil a obținut acces la rețeaua Travelex. Acest lucru s-a întâmplat deoarece Travelex a utilizat un VPN învechit și grupul REvil a profitat de vulnerabilitățile din software-ul neactualizat. După ce au infiltrat rețeaua, REvil a răspândit un ransomware care a blocat întreaga rețea Travelex, cerând un răscumpărare de 2,3 milioane de dolari.

Travelex nu a dezvăluit faptul că au suferit un atac ransomware. În schimb, au spus că sistemele lor erau în curs de întreținere. Apoi, au plătit în secret răscumpărarea și și-au restaurat accesul la rețea și sisteme. Din păcate pentru ei, adevărul și-a făcut drumul către titlurile de știri, și au pierdut încrederea publicului. Este un lucru să fii victima unui atac din cauza unor politici de securitate teribile, dar să minți clienții și publicul despre asta este o ofensă gravă. Până în acest moment, Travelex încă se confruntă cu consecințele acțiunilor sale.

3. Grubman Shire Meiselas & Sacks

În mai 2020, REvil a obținut acces la peste 750 GB de documente legale private. Grubman Shire Meiselas and Sacks este o firmă de avocatură care reprezintă mai multe celebrități, inclusiv fostul președinte al SUA, Donald Trump. Inițial, REvil a stabilit o răscumpărare de 21 de milioane de dolari, dar a crescut suma după ce a văzut datele lui Trump. Firma de avocatură a urmat sfatul FBI-ului de a nu plăti, iar REvil a licitat datele pe Dark Web.

Concluzie 

Creșterea atacurilor asupra companiilor care produc hardware pentru companiile de top din industria tehnologică ar trebui să fie un motiv de îngrijorare. Este evident că aceste companii sunt vizate pentru legăturile lor cu giganții din industria tehnologiei. Atacuri de acest fel sunt reamintiri că companiile ar trebui să ia securitatea cibernetică cât se poate de serios, deoarece costul implementării unei apărări adecvate împotriva atacurilor este de obicei mai mic decât costul recuperării activelor.