Aresztowany w Polsce ukraiński haker, według amerykańskich śledczych należący do grupy REvil, w USA został oskarżony o spiskowanie w celu „zamierzonego uszkodzenia chronionych komputerów i dokonania wymuszenia w związku z tymi szkodami” oraz „uszkodzenia chronionych komputerów i spiskowania, aby dokonać prania pieniędzy”. Taką informację przekazał prokurator generalny USA, Merrick Garland. W razie skazania przez sąd za popełnione czyny grozi mu ponad 100-letni wyrok więzienia.

Nie wiadomo, czego szukał w Polsce

Kilka dni temu ujawniono, że 22-letni podejrzany 8 października br. przekroczył granicę polsko-ukraińską i został aresztowany przez polskie służby na prośbę strony amerykańskiej, która wystąpiła o jego ekstradycję.

Merrick Garland odmówił odpowiedzi na pytanie, jak doszło do schwytania hakera. Nie podzielił się również wiedzą, w jakim celu jechał on do Polski. „Nie mogę podać konkretnych powodów, dla których podróżował” – stwierdził prokurator generalny USA.

Współtworzył ransomware, zaatakował Kaseya

Według aktu oskarżenia, aresztowany w Polsce haker był współtwórcą oprogramowania REvil i wraz z innymi podejrzanymi instalował je na komputerach ofiar – także podczas ataku na Kaseya na początku lipca br.

Wygląda na to, że amerykańscy śledczy dość szybko namierzyli podejrzanego (działał pod pseudonimem „Robotnik”), bo zarzuty były gotowe już 11 sierpnia br. – według ujawnionej informacji.

„Aresztowanie pokazuje, jak szybko będziemy działać wraz z naszymi międzynarodowymi partnerami, w celu zidentyfikowania, zlokalizowania i zatrzymania domniemanych cyberprzestępców, bez względu na to, gdzie się znajdują” – oświadczył amerykański prokurator generalny komentując akcję w Polsce.

Zaatakował 3 tys. firm i urzędów w USA

Takie same zarzuty w USA ma 28-letni obywatel Rosji, którego jednak dotąd nie udało się zatrzymać. Jemu też grozi ponad 100-letnia odsiadka. Według aktu oskarżenia sporządzonego przez amerykańskich prokuratorów przeprowadził on ok. 3 tys. ataków przeciwko firmom i urzędom w USA z użyciem ransomware. Miał pobrać od ofiar łącznie ok. 13 mln dol. okupu. Amerykańscy śledczy odzyskali z tego 6,1 mln dol. zdeponowane w kryptowalutach.

Odzyskano większość okupu z Colonial Pipeline

To już drugi raz w ciągu kilku miesięcy departament sprawiedliwości odzyskał przynajmniej część okupu za ransomware. W czerwcu br. przejęto większość z 4,3 mln dol. wypłaconych przez Colonial Pipeline gangowi ransomware Darkside, po sparaliżowaniu wskutek ataku największego w USA rurociągu z paliwem.

USA nałożyły również sankcje na giełdę kryptowalut Chatex, która według śledczych ułatwiała operacje finansowe związane z ransomware. Zablokowano wszystkie jej aktywa podlegające amerykańskiej jurysdykcji.

Polowanie na hakerów z REvil. Do 10 mln dol. nagrody

Władze USA oferują 10 mln dol. nagrody za informacje o szefach grupy REvil i Darkside. Na 5 mln dol. można liczyć za przekazanie informacji, które doprowadzą do aresztowania albo skazania (w jakimkolwiek kraju) hakera używającego oprogramowania ransomware grupy.

„Rząd USA nadal będzie agresywnie ścigał cały ekosystem oprogramowania ransomware i zwiększał odporność naszego narodu na cyberzagrożenia” – zapowiedziano.

Artykuł Akt oskarżenia przeciwko hakerowi REvil złapanemu w Polsce pochodzi z serwisu CRN.

W Polsce został zatrzymany 22-letni obywatel Ukrainy, podejrzany o udział w grupie REvil – według amerykańskiego departamentu (ministerstwa) sprawiedliwości. Czeka go ekstradycja do USA.

Ponadto według amerykańskich władz zabezpieczono 6,1 mln dol. okupu, jakie miał przejąć 28-letni Rosjanin, który jak się przypuszcza jest powiązany z REvil. Na razie nie udało się go namierzyć.

Aresztowanie w Polsce to część międzynarodowej akcji służb. Dwóch podejrzanych zatrzymano w Rumunii – podał Europol. Ludzi z grupy REvil tropili śledczy z 17 krajów, w tym z Polski.

Ataki na Kaseya, Acera, Quanta Computer…

W lipcu br. wykryto, iż hakerzy z REvil wykorzystując lukę w oprogramowaniu VSA Kaseya, amerykańskiego dostawcy usług IT, zaatakowali jej klientów. Według przypuszczeń śledczych systemy ponad 1 tys. firm zostały zainfekowane ransomware.

Grupa jest podejrzewana o atak na Acera. Przypisuje się jej również zainfekowanie systemów największego na świecie koncernu mięsnego, JBS, oraz atak na tajwańskiego producenta PC ODM, Quanta Computer. A tylko niektóre z większych akcji, o jakie podejrzewa się REvil.

Wymusili co najmniej 200 mln dol. haraczu

Ludzie z tej grupy są podejrzani w sumie o ok. 7 tys. ataków ransomware. Jak twierdzi minister sprawiedliwości USA, oprogramowanie używane przez REvil zainfekowało na świecie ok. 175 tys. komputerów, a grupa zgarnęła od ofiar minimum 200 mln dol. okupu.

Artykuł W Polsce wpadł haker, który miał atakować Kaseya pochodzi z serwisu CRN.

Jest nadzieja dla ofiar ataku ransomware na Kaseya. Firma poinformowała, że uzyskała uniwersalny klucz do odkodowania urządzeń, zaszyfrowanych przez hakerów. Nie zdradza, skąd go ma (jak twierdzi, od „zaufanej strony trzeciej”).

Grupa REvil, która zaatakowała Kaseya, żądała za udostępnienie tego narzędzia 70 mln dol. Niedługo przed ogłoszeniem, że dostawca ma już niezbędny deszyfrator, grupa rozpłynęła się w mroku darknetu. Strony, poprzez które kontaktowała się z ofiarami, zniknęły. Rzecznik Kaseya nie komentuje jednak pytania, czy zapłacono okup. Wcześniej FBI sugerowało, że może pomóc w rozwiązaniu problemu, nie zwracając się do hakerów.

1,5 tys. ofiar

Atak na Kaseya miał miejsce na początku lipca br. Cyberprzestępcy wykorzystali luki w VSA (virtual system administrator), oprogramowaniu do monitoringu i zarządzania, z którego korzystają integratorzy monitorując sieci swoich klientów.

Według ostatnich ustaleń ofiarami ransomware padło ok. 60 dostawców usług i ponad 1,5 tys. ich klientów (początkowo mówiono o 1 tys. ofiar). REvil twierdził, że zainfekowanych zostało ponad 1 mln systemów. W ostatnich dniach Kaseya wypuszczała poprawki do VSA, które miały złagodzić skutki ataku.

Atak miał bardziej dalekosiężne skutki dla dostawcy i jego klientów – pozbawił ponad 36 tys. MSP dostępu do VSA, który jest flagowym produktem Kaseya.

Według Bloomberga inżynierowie oprogramowania i developerzy pracujący wcześniej dla Kaseya twierdzili, że od lat ostrzegali firmę przed groźnymi lukami w jej produktach, ale nie odniosło to skutku.

Ponadto w kwietniu br. luki w oprogramowaniu VSA odkryli holenderscy badacze i powiadomili o tym firmę. Jeden z nich twierdzi, że reakcja dostawcy w tym wypadku nie była spóźniona.

REvil w ciągłym natarciu

REvil jest uważana za grupę powiązaną z Rosją i ostatnio jest wyjątkowo aktywna. Przypisuje się jej m.in. niedawne ataki na Fujifilm, na Quanta Computer oraz na Acera. A to nie cała lista.

Artykuł Tajemnicze oświadczenie Kaseya. Przechytrzyli hakerów? pochodzi z serwisu CRN.

Holenderski Institute for Vulnerability Disclosure (DIVD) twierdzi, że w kwietniu ich ekspert Wietse Boonstrain odkrył siedem luk w oprogramowaniu do zdalnego monitorowania i zarządzania VSA firmy Kaseya. Amerykański dostawca usług został powiadomiony 6 kwietnia. Osiemdziesiąt siedem dni później grupa REvil wykorzystała luki odkryte przez DIVD, które nie zostały załatane.

W oświadczeniu przekazanym amerykańskiemu CRN-owi Kaseya stwierdziła, że z powodu toczącego się dochodzenia kryminalnego FBI nie może skomentować, dlaczego niektóre luki ujawnione przez DIVD nadal można było wykorzystać kilka miesięcy później. Kaseya usunęła cztery luki w aktualizacjach wydanych 10 kwietnia i 8 maja. Jednak – jak twierdzą holenderscy badacze – do końca czerwca trzy luki pozostały niezałatane.

26 czerwca Kaseya rozpoczęła wdrażanie wersji 9.5.7 swojego produktu VSA SaaS, która według DIVD rozwiązywałaby zarówno podatność procesu uwierzytelniania, jak i lukę w logice biznesowej oraz podatność  cross-site scriptingu. 7 lipca VSA 9.5.7 miała być powszechnie dostępna dla klientów on-premise Kaseya. Niestety, pięć dni wcześniej REvil wykorzystał wyciek danych uwierzytelniających i błąd logiki biznesowej do skompromitowania VSA w wersji on-premise.

„W odróżnieniu od innych dostawców, którym wcześniej ujawniliśmy luki w zabezpieczeniach, reakcja Kaseya na nasze informacje o lukach nie była spóźniona” – stwierdził w ostatnią środę Frank Breedijk z DVID. „Nic nie wskazuje na to, że Kaseya zwlekała z wydaniem aktualizacji bezpieczeństwa. Niestety, w tym przypadku spełnił się najgorszy scenariusz.”

Artykuł Kaseya została ostrzeżona w kwietniu pochodzi z serwisu CRN.

Związana z rosyjskimi służbami grupa hakerów Cozy Bear włamała się do systemów komputerowych Komitetu Krajowego Partii Republikańskiej (RNC) za pośrednictwem Synnex. Informacja pochodzi od agencji Bloomberg.
Do ataku miało dojść niedawno, równocześnie z atakiem ransomware REvil na Kaseya i jej klientów MSP. Agencja powołuje się na informacje od dwóch osób wtajemniczonych w tę sprawę. Synnex przyznał we wtorek rano, że hakerzy próbowali wykorzystać dystrybutora do uzyskania dostępu do aplikacji klientów w środowisku chmury Microsoft. Jednocześnie sama Partia Republikańska oświadczyła, że po przeprowadzeniu dochodzenia, nie znaleziono żadnych dowodów, by ktoś z zewnątrz uzyskał dostęp do danych RNC. We wcześniejszym oświadczeniu dla Bloomberga, rzecznik RNC, Mike Reed, przyznał jednak, że otrzymał informację o tym, że firma informatyczna Synnex, świadcząca usługi dla partii, mogła być narażona na atak. Rzecznik Synnex podał w komunikacie, że trwa przegląd wszystkich systemów firmy i dopiero po jego ukończeniu znane będą szczegóły.

Grupa Cozy Bear, która według informacji Bloomberga dokonała włamania na serwery centralnych struktur Partii Republikańskiej, jest prawdopodobnie powiązana z włamaniem na serwery Demokratów w 2016 r. oraz atak na SolarWinds , za pomocą którego dokonano włamania do systemów dziewięciu rządowych agencji.

Źródło: PAP, crn.com

Artykuł Atak hakerów na RNC pochodzi z serwisu CRN.

Według prezydenta Stanów Zjednoczonych, Joe Bidena, atak hakerski na firmę Keseya, o którym informowaliśmy wczoraj (i kolejny atak hakerski na Stany Zjednoczone w ostatnim czasie), nie wyrządził dużych szkód amerykańskim przedsiębiorstwom. Nadal jednak zbierane są informacje niezbędne do oszacowania ich rozmiarów. Przy okazji Joe Biden wyraził wiarę w zdolności USA do odpowiedzi na cyberataki.

Przypomnijmy, że wykorzystująca ransomware grupa REvil przyznała się do cyberataku, którego celem było
oprogramowanie VSA firmy Kaseya. Oprogramowanie to jest używane przez dostawców usług MSP do monitorowania sieci swoich klientów. Zajmująca się cyberbezpieczeństwem firma Huntress, która prowadzi dotyczące ataku śledztwo, twierdzi, że posłużył on „do zaszyfrowania ponad 1000 firm”.

Joe Biden stwierdził, że na temat ataku będzie miał więcej do powiedzenia za kilka dni.

O ataku na Keseya pisaliśmy tutaj.

Artykuł „Spowodował minimalne szkody” pochodzi z serwisu CRN.

Szacuje się, że w wyniku cyberataku w ubiegły piątek, którego celem była firma Kaseya – dostawca oprogramowania do zarządzania IT – ucierpiało ponad 1000 firm, w tym co najmniej 30 dostawców usług zarządzanych MSP.

Wykorzystująca oprogramowanie ransomware rosyjskojęzyczna grupa REvil, która według FBI stała za niedawnym atakiem na firmę przetwórstwa mięsnego JBS, przyznała się do tej akcji i poinformowała, że zainfekowanych zostało ponad milion systemów. W poście opublikowanym w darknecie zażądała 70 mln dolarów w bitcoinach za dostarczenie ofiarom ataku „uniwersalnego deszyfratora”.

„Rozwiązanie VSA firmy Kaseya padło niestety ofiarą wyrafinowanego cyberataku” – stwierdził producent w swoim oświadczeniu. „Za sprawą szybkiej reakcji naszych zespołów uważamy, że dotyczy to tylko niewielkiej liczby użytkowników on-premise”. Niedługo po ataku Kaseya poinformowała też, że „zidentyfikowała źródło luki” i przeszła „od analizy przyczyn i łagodzenia skutków” do wdrażania „planu odzyskiwania usług”.

Mimo deklaracji, że klienci on-premise byli jedynymi, których dotyczyły ataki, producent radzi, by nie tylko wszyscy użytkownicy serwerów lokalnych VSA pozostawili je wyłączone, ale także by serwery SaaS pozostały – na wszelki wypadek – offline.

Oprogramowanie VSA firmy Kaseya jest używane przez dostawców usług MSP do monitorowania sieci swoich klientów. Zajmująca się cyberbezpieczeństwem firma Huntress, która prowadzi dotyczące ataku śledztwo, twierdzi, że posłużył on „do zaszyfrowania ponad 1000 firm”. Dodając, że „ma dużą pewność, że w celu uzyskania dostępu do tych serwerów użyto obejścia procesu uwierzytelniania”.

Artykuł Atak na Kaseya pochodzi z serwisu CRN.