A Bleeping Computer múlt heti riportja szerint az Acer is a REvil (Sodinokibi) zsarolóprogramot alkalmazó ransomware támadás áldozatául esett, ráadásul a bűnözők a műfajban eddig soha nem látott, 50 millió dollárnak megfelelő váltságdíjat követelnek a tajvani számítástechnikai gyártótól. Az elkövetők állítólag a hétvégén meg is osztottak néhány képernyőképet az ellopott fájlokról (pénzügyi vagy banki dokumentumokról és az ehhez kapcsolódó kommunikációról), amellyel fenyegetésüket próbálták alátámasztani, és még azt is felajánlották a vállalatnak, hogy 40 millióval megúszhatja, ha hétfőig teljesíti a követelésüket.

Ahogy a Biztonságportál nemrég megjelent cikkéből is kiderül, a REvil zsarolóvírus klasszikus példája az úgynevezett kétlépcsős zsarolásnak. Ebben az esetben a kártevőt nem közvetlenül a készítői terjesztik: a program egyfajta szolgáltatási formában az internetes feketepiacon is megvásárolható, készítői pedig 20-30 százalékos jutalékot húznak a befolyt váltságdíjakból. A maradék a zsarolóvírust célba juttató csoportok zsebében marad, amelyekről egyébként már többször kiderült, hogy akkor sem törölték az ellopott adatokat, amikor az érintettek kifizették nekik a váltságdíjat.

A Bleeping Computer beszámolója alapján a támadás a Microsoft Exchange sérülékenységeinek kihasználására épült, amit az Acer hivatalosan nem erősített meg – mint ahogy azt sem, hogy mi a helyzet a váltságdíj kifizetésével. A társaság annyit közölt, hogy a hozzá hasonló üzleti szereplők folyamatos támadás alatt állnak, amit általában sikeresen ki is védenek, a márciusban tapasztalt abnormális esetekről pedig már több országban is értesítették az illetékes hatóságokat, miután ők maguk is megtették az ilyenkor szükséges intézkedéseket.

A zsarolók egyre nagyobb tétekre hajtanak

A REvil zsarolóprogrammal operáló bűnözőknek nem ez lenne az első, hasonló horderejű akciója. Tavaly májusban például aegy New York-i Grubman Shire Meiselas & Sacks rendszereit támadták meg, 42 millió dollárt követelve a média- és szórakoztatóipari vonalra szakosodott ügyvédi irodától. A londoni Travelex fizetési szolgáltatót nem sokkal korábban, a 2020-as újév napján érte hasonló incidens, amelynek nyomán a cég szolgáltatásai nagyjából két hétre teljesen elérhetetlenné váltak. A REvil eszköztára időközben olyan lehetőségekkel is bővült, amelyek révén a sajtót vagy az áldozat üzleti partnereit is bizonyítékokkal lehet ellátni a támadásról, megnehezítve az ügyek diszkrét kezelését, és növelve a célpontok fizetési hajlandóságát.

A ransomware támadások mára vezető IT-biztonsági kockázattá váltak, a Proofpoint felmérése alapján a vállalati biztonságért felelős vezetők közel fele már ezeket tekinti a legnagyobb kiberbiztonsági fenyegetésnek. Nemrég a Risk Based Security (RBS) éves jelentését is idéztük, amiből kiderült, hogy a zsarolóvírusok az adatlopásokbanis egyre nagyobb szerepet játszanak: ez az esetek számát tekintve tavaly már duplája volt a 2019-es mennyiségnek. Igaz, a Coveware biztonsági cég szerint 2020 utolsó negyedévében csökkent a sikeres ransomware-támadások után beszedett átlagos összeg, ahogy az egyre túlzóbb követelések nyomán az áldozatok közül is egy többen makacsolják meg magukat.