Русские киберпреступники атаковали компании сразу в 17 странах

Хакеры российской группировки REvil заразили тысячи объектов как минимум в 17-ти странах. В основном это малые предприятия, такие как «стоматологические кабинеты, архитектурные фирмы, центры пластической хирургии, библиотеки и тому подобное». Для атаки злоумышленники использовали софт, который удаленно управляет IT-инфраструктурой.

Associated Press сообщает, что доступ к данным предприятий хакеры получили через программу VSA, которая автоматизирует установку программного обеспечения и обновлений безопасности, а также управляет резервным копированием и другими рабочими IT-процессами компаний.

Вымогатели проникают в сети и распространяют вредоносное ПО, шифрующее все их данные, которые можно декодировать только после оплаты выкупа.

Группа злоумышленников сначала потребовала заплатить до 5 млн долл. Однако, позже они поменяли эту цифру на 70 млн долл за дешифровку всех затронутых компьютеров.

Шведская продуктовая сеть Coop заявила, что большинство из ее 800 магазинов будут временно закрыты из-за того, что поставщик ПО для кассовых аппаратов был затронут вирусом. Пострадали также шведская сеть аптек, сеть АЗС, государственная железная дорога и общественная телекомпания SVT.

Немецкая IT-компания сообщила, что несколько тысяч ее клиентов были взломаны. Кроме того, пострадали две крупные голландские IT-компании – VelzArt и Hoppenbrouwer Techniek.

Читайте также

• В первой половине декабря прошлого года хакеры взломали платформу Orion, которую используют для отслеживания всех ИТ-ресурсов сети той или иной компании. Тогда сообщалось, что среди 300 тыс. клиентов SolarWinds только 33 тыс. использовали Orion. По данным самой компании, зараженная версия платформы Orion была установлена у 18 тыс. клиентов.
• 6 января единая координационная группа по кибербезопасности официально назвала хакеров из России виновными в кибератаке на SolarWinds.
• 10 мая стало известно, что группировка хакеров DarkSide атаковала в США крупный нефтепровод Colonial Pipeline – с пятницы работу трубопровода еще не удалось восстановить. Правительство США ввело чрезвычайное положение, чтобы не допустить дефицита топлива. По данным СМИ, за атакой стоят хакеры из РФ.
• Colonial Pipeline в итоге заплатил DarkSide выкуп в сумме около 5 млн долларов.