Следующая новость
Предыдущая новость

Операторы REvil требуют 7,5 млн долларов выкупа у аргентинского интернет-провайдера

21.07.2020 16:32
Операторы REvil требуют 7,5 млн долларов выкупа у аргентинского интернет-провайдера

Рекомендуем почитать:

Xakep #254. Android: атака и защита

  • Содержание выпуска
  • Подписка на «Хакер»

В минувшие выходные один из крупнейших интернет-провайдеров Аргентины, компания Telecom Argentina, пострадал от атаки шифровальщика REvil (Sodinokibi). Малварь заразила около 18 000 компьютеров, и теперь злоумышленники требуют от компании выкуп в размере 7,5 млн долларов США.

Издание ZDNet пишет, что атакующим удалось получить права администратора домена, благодаря чему шифровальщик быстро распространился на 18 000 рабочих станций. Как ни странно, данный инцидент не привел к проблемам с интернет-соединением для клиентов провайдера и не сказался на работе услуг телефонии и кабельного телевидения. Впрочем, из-за последствий атаки до сих пор не работает ряд официальных сайтов Telecom Argentina.

Несколько сотрудников пострадавшей компании рассказывают в социальных сетях, как провайдер справляется с кризисом. Похоже, сразу после обнаружения атаки компания стала предупреждать сотрудников о происходящем, просила их ограничить взаимодействие с корпоративной сетью, не подключаться к внутренней сети VPN и не открывать электронные письма с архивами во вложениях.

Операторы REvil требуют 7,5 млн долларов выкупа у аргентинского интернет-провайдера
Операторы REvil требуют 7,5 млн долларов выкупа у аргентинского интернет-провайдера

Журналисты приписывают ответственность за эту атаку хак-группе REvil, основываясь на удаленном из Twitter сообщении, которое демонстрировало скриншот сайта вымогателей. Судя по этому изображению, злоумышленники потребовали от компании выкуп в размере 109345,35 Monero (примерно 7,53 млн долларов США). Хакеры обещали, что в случае невыплаты эта сумма удвоится через три дня, что делает данное требование выкупа один из наиболее крупных в текущем году.

Операторы REvil требуют 7,5 млн долларов выкупа у аргентинского интернет-провайдера

Официальные представители Telecom Argentina пока не прокомментировали ситуацию, и неизвестно, намерена ли компания платить вымогателям.

Интересно, что, по данным местных СМИ, интернет-провайдер считает отправной точкой этой атаки вредоносное вложение из письма, полученного одним из сотрудников. Это не совсем соответствует обычным атакам REvil, так как группировка как правило проникает в сети компаний через незащищенное сетевое оборудование. В частности, злоумышленники активно эксплуатируют уязвимости в Pulse Secure и Citrix VPN.

Впрочем, специалисты ИБ-компании Bad Packets сообщили журналистам ZDNet, что Telecom Argentina не только работала с серверами Citrix VPN, но среди них были системы, уязвимые перед проблемой CVE-2019-19781 (хотя патч вышел много месяцев назад).

Источник

Последние новости