Apple Måltavla i Ransomware-Attack mot Quanta | Hackare Kräver 50 miljoner dollar - TechRobot

Apple Måltavla i Ransomware-Attack mot Quanta | Hackare Kräver 50 miljoner dollar

Ransomware-attacker har ökat sedan pandemin startade i december 2019. Faktum är att flera rapporter visar att vid slutet av 2020 hade ransomware-attacker ökat med minst 150%, och den genomsnittliga lösesumman fördubblades till ungefär $170000. Skadliga aktörer riktar sig vanligtvis mot företag med höga intäkter på grund av potentialen för en stor utbetalning. Det har också blivit en trend att rikta in sig på stora tekniktillverkare.

Till exempel, i november 2020, riktades Foxconn mot i en ransomware-attack där de ansvariga hackarna raderade terabyte av backupdata från över tusen krypterade servrar. Angriparna begärde 34 miljoner dollar innan de skulle släppa den krypterade datan. För sammanhanget är Foxconn den största tillverkaren av elektronikutrustning för företag som Amazon, Sony, Microsoft och Apple. Tidigare samma månad riktades hackare mot en annan tillverkare (Compal) med en ransomware-attack.

Detta visar bara att stora tekniktillverkande företag nu löper risken för mer sofistikerade ransomware-attacker. Den senaste attacken inträffade några dagar innan april 2021 tog slut. Quanta, ett Taiwan-baserat företag som tillverkar bärbara datorer för stora teknikföretag, inklusive Apple, drabbades av en ransomware-attack som kan kosta Apple 50 miljoner dollar. 

## Vad är Ransomware?

Ransomware är en form av skadlig programvara (malware) som får tillgång till en dator och riktar in sig på filer eller system genom att kryptera dem och göra dem otillgängliga i syfte att få företaget eller ägaren att betala för deras frigivning. Från ordet ”lösen”, är det lätt att förstå slutmålet med alla ransomware-attacker – att få offret att betala en lösensumma i utbyte mot frigivningen av de gisslantagna filerna eller systemen. När offret betalar, släpper angriparna en dekrypteringsnyckel som offret använder för att dekryptera de krypterade filerna eller systemen.

Den första formen av ransomware-attack inträffade redan 1989. Sedan dess har illasinnade aktörer använt teknikens framsteg för att genomföra mer sofistikerade attacker. Utvecklingen av ransomware har sett att skadliga aktörer erbjuder tjänster såsom Ransomware-as-a-Service (RaaS) för att utöka sitt nätverk och sina förmågor. Mobil ransomware-attacker blir också allt vanligare nu, och med den takt som användningen av Internet of Things-teknologi expanderar, kommer vi oundvikligen att se nya attacker. 

## REvil-hackergruppen riktar sig mot Apple genom Quanta

Den 20:e april 2021, samtidigt som Apple presenterade sina senaste prylar på sitt Spring Loaded-evenemang, drabbades en av världens största laptop-tillverkare av en ransomware-attack utförd av en rysk hackargrupp känd som REvil. Quanta tillverkar MacBooks åt Apple, tillsammans med andra produkter. REvil, även känd som Sodinokibi, visade bevis på sin framgångsrika attack genom att posta scheman för Apples senaste produkter, inklusive den redan släppta 2020 M1 MacBook Air och de nya iMac-designerna.

Några dagar innan dataläckorna hintade en användare med användarnamnet UNKN på XSS (ett populärt cyberbrottsforum) att ett stort tillkännagivande var på väg, och uppmanade hackare att gå med i gruppen. Vi tror att denna användare representerar REvil ransomware-gruppen som har i uppgift att annonsera sådana nyheter och rekrytera nya affiliates för sitt ransomware-som-en-tjänst-program.

Quanta har erkänt att attacken inträffade. Företaget sa också att dess säkerhetsteam svarar på attacken, men det finns ingen betydande påverkan på dess affärsverksamhet. I företagets uttalande sa Quanta, ”Vi har rapporterat till och hållit sömlös kommunikation med de relevanta brottsbekämpande myndigheterna och dataskyddsmyndigheterna angående nyligen observerade onormala aktiviteter. Det finns ingen materiell påverkan på företagets affärsverksamhet.” Sedan dess har de uppgraderat sin cybersäkerhetsinfrastruktur för att förhindra att något liknande händer igen.

Dessa angripare krävde en summa på 50 miljoner dollar i utbyte mot bilderna, men Quanta har vägrat att betala, vilket tvingade dem att vända sig till världens mest värdefulla företag. Det är därför REvil-gruppen släppte ungefär 21 bilder på MacBook-scheman samma dag som Apples Spring Loaded-evenemang; ett uttalande som troligen inte kommer att gå obemärkt förbi.

Det har också hotat med att släppa ny data varje dag tills Apple betalar lösesumman och har gett ett ultimatum till den 1 maj. REvil avslöjade all denna information genom sin ”Happy Blog”, en webbplats den använder för att offentligt dela sina hackningsbragder. Apple har inte släppt några uttalanden angående attacken och har inte gett några indikationer på att de kommer att betala lösesumman.

## En Historik över REvil Hackargrupp och Deras Bedrifter

Sodinokibi, populärt känd som REvil, har ett rykte om sig för sina ransomware-attacker. Folk inom informationssäkerhetsområdet tror att denna grupp är baserad i Ryssland på grund av dess ovilja att attackera ryska eller statligt ägda företag. De tror också att det är en avknoppning från en tidigare skadlig grupp–GandCrab. GandCrab var lika framgångsrik som REvil är nu, och drog in ungefär $2 miljarder i lösensummor på nästan två år. Ungefär samtidigt som GandCrab upphörde med sina operationer, började REvil bli framträdande.

Till skillnad från de flesta hackargrupper opererar REvil en annan modell som gör att de kan tjäna mer pengar. De använder en Ransomware-as-a-Service (RaaS)-modell där de licensierar skadeprogram till affiliates de litar på. De tar sedan en procentandel av lösesumman om affiliates lyckas genomföra en attack. REvil använder också vad som är känt som en dubbelutpressningsmetod för att öka chanserna att deras offer betalar lösesumman. Detta innebär att efter att ha krypterat data, överför REvil också vad de kan till sina servrar med ett hot om att sälja det.

Om ett företag har säkerhetskopior kan det fortfarande behöva betala en lösensumma om den skadliga gruppen har överfört känslig information till sina servrar. Det finns också möjligheten att använda en DDoS-attack på samma offer för att öka trycket och tvinga dem att betala lösensumman. Man börjar undra varför denna grupp gör allt den kan för att samla in pengar. Är det för att finansiera mer lukrativa attacker eller bara ren och skär girighet?

Nu ska vi ta en titt på några av de utbredda attacker som denna grupp utförde i det förflutna. 

## 1. Texas lokala myndigheter

Under de tidiga timmarna den 16 augusti 2019, angrep REvil 23 lokala myndigheter i Texas och begärde en lösensumma på 2,5 miljoner dollar. Personer som arbetade på dessa myndigheter hade inte längre tillgång till filer som de vanligtvis hade tillgång till. Det var ett koordinerat angrepp av REvil som slog ut systemen och webbplatserna för myndigheterna. Lyckligtvis attackerade REvil inte deras backupsystem, så de gav inte efter för kraven. Efter att ha samordnat med flera cybersäkerhetsteam kunde dessa myndigheter återställa tillgången till filer och system som REvil-gruppen höll som gisslan.

## 2. Travelex

Travelex är ett företag som hanterar valutaväxling runt om i världen. Det är mycket populärt på flygplatser eftersom det underlättar processen att växla din lokala valuta till en annan valuta. Den 31 december 2019, fick REvil tillgång till Travelexs nätverk. Detta hände eftersom Travelex använde en föråldrad VPN och REvil-gruppen utnyttjade sårbarheterna i den omodifierade mjukvaran. Efter att ha infiltrerat deras nätverk, spred REvil ut ransomware som slog ut hela Travelexs nätverk, och krävde en lösensumma på 2,3 miljoner dollar.

Travelex avslöjade inte att de hade drabbats av en ransomware-attack. Istället sa de att deras system genomgick underhåll. Sedan betalade de lösesumman i hemlighet och återställde tillgången till sitt nätverk och sina system. Tyvärr för dem nådde sanningen rubrikerna, och de förlorade allmänhetens förtroende. Det är en sak att vara offer för en attack på grund av fruktansvärda säkerhetspolicys, men att ljuga för dina kunder och allmänheten om det är ett allvarligt brott. Fram till denna stund står Travelex fortfarande inför konsekvenserna av sina handlingar.

## 3. Grubman Shire Meiselas & Sacks

I maj 2020 fick REvil tillgång till mer än 750 GB privata juridiska dokument. Grubman Shire Meiselas och Sacks är en advokatbyrå som representerar flera kändisar, inklusive tidigare USA:s president Donald Trump. REvil satte först en lösensumma på 21 miljoner dollar men ökade beloppet efter att ha sett Trumps data. Advokatbyrån följde FBI:s råd att inte betala, och REvil auktionerade ut datan på Dark Web. 

## Slutsats

Den ökande attackerna mot företag som producerar hårdvara för ledande teknikföretag bör vara en anledning till oro. Det är uppenbart att dessa företag är måltavlor på grund av deras kopplingar till jättar inom teknikindustrin. Attacker som dessa är påminnelser om att företag bör ta cybersäkerhet så seriöst som möjligt eftersom kostnaden för att etablera ett ordentligt försvar mot attacker vanligtvis är lägre än kostnaden för att återställa tillgångar.