Hlavní obsah
Ochromená americká čerpací stanice během posledního kyberútoku na USA, resp. provozovatele distrubiční sítě paliv Colonial Pipeline Foto: Yuri Gripas, Reuters

Obří útok na USA a další země. Hackeři ochromili stovky firem, chtějí 1,5 miliardy

Hackeři, kteří zřejmě stojí za kybernetickým útokem na stovky firem v USA a dalších zemích, žádají výkupné 70 milionů dolarů (asi 1,5 miliardy Kč) za zašifrovaná data. Uvedla to v pondělí agentura Reuters. Americký prezident Joe Biden už ohlásil vyšetřování, které má prověřit podezření, že útok je dílem skupiny REvil spojované s Ruskem.

Ochromená americká čerpací stanice během posledního kyberútoku na USA, resp. provozovatele distrubiční sítě paliv Colonial Pipeline Foto: Yuri Gripas, Reuters
Obří útok na USA a další země. Hackeři ochromili stovky firem, chtějí 1,5 miliardy

Nový útok podle všeho zkombinoval dvě základní taktiky: použití vyděračského softwaru označovaného souhrnným termínem ransomware a "útok na dodavatelský řetězec".

Pachatelé zřejmě v pátek pronikli do hojně využívaného nástroje od amerického softwarového dodavatele Kaseya, který slouží IT odborníkům ke správě serverů, desktopů, síťových zařízení či tiskáren. Nástroj s názvem VSA pak upravili a zároveň skrze něj spustili vlnu útoků typu ransomware na cíle, které jej využívají.

"Je to kolosální a ničivý útok na dodavatelský řetězec," řekl John Hammond z bezpečnostní firmy Huntress Labs, která incident připsala gangu REvil. Ten podle amerických vyšetřovatelů stál za květnovým útokem na největšího světového výrobce masa JBS. Nyní jsou zřejmě obětí stovky, mezi nimi například obchodní řetězec Coop, který kvůli tomu musel ve Švédsku uzavřít asi 500 prodejen.

Agentura AP v neděli s odvoláním na analytiky psala dokonce o tisících zasažených podniků a o nejrozsáhlejším známém případu použití metody ransomware. Údajně se objevují informace o tom, že útočníci za virtuální klíče k zašifrovaným datům požadují částky od desetitisíců dolarů až po pět milionů dolarů (108 milionů Kč).

Vláda USA asistuje obětem kyberútoku

Americká vláda začala se zasaženými podniky spolupracovat "na základě vyhodnocení národního rizika", uvedla v neděli Bidenova poradkyně Anne Neubergerová. Členka bezpečnostní rady Bílého domu (NSC) podle Reuters uvedla, že "kdokoli, kdo se domnívá, že byly zasaženy jeho systémy", by měl toto podezření okamžitě nahlásit.

Poradkyně amerického prezidenta Anne Neubergerová

Foto: Kevin Lamarque, Reuters

Bílý dům se k věci vyjádřil už v sobotu, kdy prezident Biden oznámil, že pověřil americké tajné služby vyšetřením incidentu. Vláda prý neměla ihned jasno v tom, kdo za incidentem stojí. "Prvotní úvaha byla taková, že to nebyla ruská vláda, ale zatím si nejsme jistí," řekl Biden novinářům.

Americký Federální úřad pro vyšetřování (FBI) oznámil, že se situaci analyzuje ve spolupráci s agenturou pro kybernetickou bezpečnost CISA. "Vzhledem k potenciálnímu rozsahu tohoto incidentu nemusí být v silách FBI a CISA odpovědět jednotlivě všem obětem," uvedl FBI, který rovněž vyzýval možné oběti ke sdílení informací.

Naléhavý problém

Kybernetické útoky se pro Washington stávají čím dál naléhavějším problémem v návaznosti na sérii závažných incidentů z posledních měsíců. Loni v prosinci vyšla najevo rozsáhlá několikaměsíční kampaň vedená skrze síťový nástroj americké firmy SolarWinds, jehož prostřednictvím hackeři pronikli i do sítí několika institucí americké vlády. Hrozbu jménem ransomware pak v květnu kromě případu JBS ilustroval také útok na firmu Colonial Pipeline, která kvůli tomu přerušila provoz klíčové sítě na přepravu ropných produktů v USA.

"Tohle je SolarWinds, ovšem s ransomwarem," řekl magazínu Wired k víkendovému útoku analytik antivirové společnosti Emsisoft Brett Callow. Další odborník na kyberbezpečnost Jake Williams odhadoval, že vzhledem k probíhajícímu svátečnímu víkendu v USA může být skutečný počet obětí známý až v polovině nového týdne. "Ale je to něco velkolepého," dodal.

Podle informací AP byly v pátek infikovány systémy společností v nejméně 17 zemích. "Nejnovější útok zasáhl širokou škálu podniků a veřejných institucí, patrně napříč kontinenty... avšak jen málo velkých společností," uvádí agentura s odkazem na poznatky bezpečnostní firmy Sophos.

„Tuto hrozbu, kterou označujeme jako Win32/Filecoder.Sodinokibi.N, aktuálně detekujeme v několika zemích na celém světě. V Evropě je to Velka Británie, Německo, Nizozemsko a Španělsko. Mimo Evropu patří mezi nejpostiženější země Kanada, Jihoafrická republika a Spojené státy. Zatím jsme se s touto hrozbou nesetkali v Česku ani na Slovensku, ale situaci stále monitorujeme. Jedná se o typ útoku, kdy dochází k infikovaní škodlivým kódem, v tomto případě ransomwarem, skrze dodavatelský řetězec, což je kombinace, se kterou se setkáváme poprvé. V tomto případě byl infikován software Kaseya, který je používán mezi poskytovateli MSP služeb,“ prohlásil Robert Šuman, vedoucí pražské virové laboratoře Esetu.

Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nemusí dostat. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

yknivoNumanzeSaNyknalC
Sdílejte článek

Reklama

Výběr článků