Spoločnosť Kaseya len pár dní dozadu zverejnila informáciu o tom, že sa jej za pomoci tretej strany podarilo získať dekryptovací nástroj, ktorý dokáže obnoviť všetky súbory a dáta zašifrované pri masívnom ransomware útoku, ktorý sa odohral druhého júla. Ihneď po zverejnení správy sa objavili dohady o tom, či spoločnosť zaplatila požadované výkupné 70 a neskôr 50 miliónov dolárov.
Vráťme sa ale najskôr k dátumu 2. júla a k tomu, čo sa odohralo. Ak sa zaujímate o kybernetickú bezpečnosť, tak vám je určite známa ransomware skupina operujúca pod názvom REvil, ktorá má na konte niekoľko úspešných útokov na veľké firmy, mimo iné aj na nadnárodné spoločnosti ako Acer alebo JBS.
V predošlých prípadoch sa jednalo o kybernetické útoky, ktoré ochromili napadnuté firmy, no 2. júla sa útočíkom zo skupiny REvil podaril tzv. supply-chain útok na spoločnosť Kaseya, ktorý následne, v kombinácii s ransomwarom, zasiahol viac ako 1500 firiem v 22 krajinách. Supply-chain útok alebo tzv. útok na dodávateľský reťazec prebieha tak, že hacker napadne priamo produkt alebo službu, ktorú využívajú iné firmy alebo subjekty.
V prípade firmy Kaseya bola zneužitá chyba, ktorú objavili útočníci zo skupiny REvil, pričom sa im podarilo do aktualizácie softvéru zahrnúť aj malvér, ktorý následne na všetkých infikovaných zariadeniach spustil šifrovanie dát. Takýmto spôsobom bola infikovaná väčšina zákazníkov spoločnosti Kaseya – útok mal globálny dopad. Odhaduje sa, že kybernetický útok zasiahol viac ako milión koncových zariadení.
Kyberkriminálna skupina REvil nenechala na seba dlho čakať a informovala firmu Kaseya, že požaduje výkupné vo výške 70 miliónov dolárov, za ktoré je ochotná dodať dešifrovací nástroj schopný obnoviť dáta na všetkých infikovaných zariadeniach. Spoločnosť Kaseya sa obrátila na odborníkov z oblasti kybernetickej bezpečnosti a orgány činné v trestnom konaní a začala hľadať riešenie.
Ďalšia zvláštnosť na seba nenechala dlho čakať – 13. júla ransomware skupina REvil zmizla z internetu aj darknetu. Ich webová stránka, ktorú prevádzkovali na darknete je nedostupná, a taktiež boli zablokované aj používateľské účty, pod ktorými skupina vystupovala na diskusných fórach zaoberajúcich sa kyberkriminalitou.
Aktuálne nie je verejne známe, či ruských kyberkriminálnikov odstavili ruské orgány činné v trestnom konaní, alebo sa skupina rozhodla stiahnuť. Otázne ostáva aj to, či sa na darknete objavia nové stránky skupiny REvil, k dnešnému dňu sa tak zatiaľ nestalo.
Tri dni po tom, čo firma Kaseya radostne informovala, že sa jej podarilo získať dešifrovací nástroj, tak vydala ďalšie vyhlásenie, aby objasnila okolnosti, za ktorých sa jej podarilo získať dešifrovací kľúč. Podľa oficiálneho vyhlásenia: “Spoločnosť Kaseya prestala komunikovať a vyjednávať s kriminálnikmi, a to na odporúčania expertov z oblasti kyberbezpečnosti. Spoločnosť Kaseya nezaplatila výkupné skupine REvil, a rovnako ho nezaplatila ani cez tretiu stranu.”
Ak je táto informácia pravdivá, tak nahráva tomu, že sa najskôr podarilo orgánom činnom v trestnom konaní získať prístup k zariadeniam skupiny REvil, získať dešifrovací kľúč, a následne odstaviť servery, na ktorých skupina prevádzkovala svoje internetové stránky. Ďalšie vysvetlenie môže byť také, že malvér, ktorý bol použitý na zašifrovanie dát, obsahoval chybu a bezpečnostným expertom sa podarilo nájsť univerzálne riešenie ako dáta dešifrovať. Toto sú však zatiaľ len dohady, na finálnu odpoveď si budeme musieť počkať.
Aj keď sa firme Kaseya podarilo získať nástroj na dešifrovanie dát, tak to trvalo viac ako 20 dní. Akákoľvek spoločnosť, ktorá aktívne využíva informačné systémy, nedokáže fungovať 20 dní offline. Aktuálne ešte neboli vyčíslene škody, ktoré boli spôsobené masívnym kybernetickým útokom, ale už teraz je jasné, že sa bude jednať rádovo o stovky miliónov dolárov.
Článok bol pripravený v spolupráci so službou SAFELab – kurzy internetovej bezpečnosti.