Ransomware zaključao podatke 110 ustanova, hakeri traže $14 miliona!
Napad koji je i dalje u toku potpuno je paralisao poslovanje hosting provajdera i njegovih korisnika!
U nedavnom napadu na hosting provajdera VCPI, Ryuk ransomware je zaključao oko 80.000 računara i servera na kojima se čuvaju podaci 110 ustanova za negu starih osoba iz 45 američkih saveznih država. U pitanju je posebno nezgodan malver koji je od početak godine pogodio veliki broj državnih ustanova i drugih lukrativnih meta.
Inicijalno kompromitovanje sistema se obavlja putem phishing email kampanja u kojima napadači koriste poznate trojance Trickbot ili Emotet. Sledeći korak je selekcija vrednih meta kojima će biti isporučen Ryuk ransomware.
U prvih 5 meseci delovanja, napadači su zaradili 3,7 miliona dolara, a veruje se da je danas ukupna suma znatno veća.
O Ryuk malveru smo prvi put pisali početkom godine, kada je izvršen napad na štampariju i Data Resolution hosting provajdera. Poznat je po tome što napada kompanije koje pružaju usluge drugima, pretežno data cloud kompanije, a iznos otkupnine određuju prema proceni mogućnosti žrtve da plati.
Ryuk zatvara pogođene ustanove?
Ukoliko VCPI ne plati 14 miliona dolara otkupnine, izvesno je da će neke od ustanova morati da stave katanac. Veliki je problem što je ransomware zaključao praktično sve - pristup internetu, sistem za plaćanja, telefone, email komunikaciju i kartone korisnika. Zbog toga neke ustanove ne mogu ni da poruče lekove, neke ne mogu da se povežu sa Medicaid sistemom da naplate troškove, a mnogi korisnici koji nemaju porodicu će izvesno ostati na ulici.
Napad mogao da se spreči
Sistem je inicijalno kompromitovan još u septembru 2018, kada su napadači ušli u mrežu IT kompanije VCPI koja pruža IT usluge pomenutim ustanovama. Istraga incidenta je pokazala da je napad mogao biti sprečen u periodu između inicijalne infekcije Trickbot/Emotet trojancima i trenutka kada je 15. novembra ubačen Ryuk ransomware. Za sprečavanje ovakvih napada potrebno je da kompanija redovno proverava i traži znake upada u mrežu.
Napad još uvek traje, a VCPI navodi da će u narednom periodu objaviti sve relevantne detalje.
Izvor: Krebs on Security