„Božićni“ ransomware – napad na novine i cloud provajdera

Ryuk ransomware zaustavio distribuciju novina i zaključao servere cloud hosting provajdera!

„Božićni“ ransomware – napad na novine i cloud provajdera

Cloud hosting provajder Data Resolution vodi borbu da podigne svoje sisteme online nakon ransomware napada koji se desio pred katolički Božić. U pitanju je Ryuk ransomware koji je odgovoran i za prekid štampanja i distribucije nekoliko velikih američkih novina proteklog vikenda.

Kompanija Data Resolution LLC pruža usluge softver hostinga, business continuity sisteme, cloud computing i data centar servise za 30.000 poslovnih korisnika širom sveta. Do sada je poznato da su napadači upali u sistem preko kompromitovanog naloga i krenuli da masovno inficiraju servere Ryuk ransomwareom. Napadači su najverovatnije iz Severne Koreje. Ryuk je sofisticirani ransomware koji se brzo širi, a prvi put je primećen u avgustu 2018.

Napadači su upadom preuzeli kontrolu nad data centar domenom i na kratko onemogućili kompaniji da pristupi svojim sistemima. Iz kompanije navode da su oborili mrežu kako bi zaustavili širenje infekcije i očistili i vratili inficirane sisteme u pređašnje stanje. Takođe, objavili su da nema indicija da su neki podaci ukradeni i da je cilj napada bio da nateraju kompaniju da plati otkupninu kako bi im vratili pristup zaključanim serverima. Kompanija je odbila da plati otkupninu, a pogođene sisteme vraća iz backupa.

Cloud hosting provajderi se često pominju kao dobro rešenje za podizanje bezbednosti kompanija i bolju zaštitu od pretnji poput ransomwarea. Istovremeno, oni predstavljaju veoma atraktivne mete za ransomware napade jer čuvaju ogromnu količinu podataka drugih kompanija, svojih klijenata. U 2017. desio se ransomware napad na cloud hosting provajdera Cloudnine koji je na nekoliko dana prekinuo operacije kompanije.

Velike cloud kompanije, kao što su Google, Amazon i IBM su angažovale eksperte iz oblasti digitalne bezbednosti tako da je napad na njih teže izvesti. S druge strane, manje kompanije su ranjivije.

Napad na novine

Drugi veliki sajber napad sa potpisom Ryuk ransomwarea desio se proteklog vikenda, a izazvao je prekide u štampanju i distribuciji Los Angeles Times i velikih američkih novinskih kuća koje su deo Tribune Publishing kompanije. Među pogođenim su Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette i Carroll County Times. Američka javnost napade percipira kao udar na slobodu govora.

Ryuk

Slika 1. Ryuk poruka o otkupnini. Izvor slike: Bleeping Computer.

Ryuk malver se pretežno koristi u ciljanim napadima koji počinju phishingom, ali može se ubaciti i preko nebezbednih remote desktop konekcija. U saopštenju Tribune Publishinga se navodi da lični podaci pretplatnika, online korisnika i oglašivača nisu kompromitovani.

Izvor: Krebs On Security i Bleeping Computer