Ransomware požaduje po argentinském operátorovi výkupné 7,5 milionu dolarů

Argentina právě zažívá jeden z nejrozsáhlejších hackerských útoků ve své historii. Útočníkům se podařilo napadnout vnitřní síť jednoho z největších mobilních operátorů a poskytovatelů internetového připojení v zemi – Telecom Argentina. Při kybernetickém útoku, ke kterému mělo dojít v sobotu 18. července, způsobila hackerská skupina REvil (Sodinokibi) rozsáhlé škody v podnikové sítí poté, co získala kontrolu nad funkcí interního doménového správce. Následně útočníci nainstalovali škodlivý kód na osmnáct tisíc počítačů v podnikové síti. Zákazníci jsou ovšem v bezpečí, stejně tak zůstávají funkční telekomunikační služby, internetové připojení, kabelová televize a jiné služby. Od soboty ovšem nejsou dostupné některé oficiální webové stránky operátora.

 

Hackeři vydírají společnost pomocí ransomwaru, který zamezil přístup k interní síti, počítačům a souborům. Za jejich odemčení požaduje skupina výkupné ve výši 109 345,35 mincí open-source kryptoměny Monero (XMR), což aktuálně odpovídá 7,5 milionu dolarů nebo 174 milionům korun. Podle expertů se tento požadavek řadí mezi největší ransonwarové výkupné v letošním roce. Telecom Argentina se odmítl k incidentu vyjádřit místním médiím a není jasné, zda hodlá přistoupit na podmínky. Kyberzločinci dali operátorovi čas do úterý 21. července, jinak požadovanou částku zdvojnásobí.

 

 

Tyto informace pocházejí ze screenshotů, které se v uplynulých dnech objevily na sociálních sítích – patrně od zaměstnanců postižené společnosti. Při pokusu o přístup na interní síť by se měla zobrazit uvedená stránka dokazující, že hackeři nejsou žádní amatéři. Kromě výše uvedených požadavků obsahuje také instrukce, jak zakoupit kryptoměnu Monero včetně odkazů na několik internetových směnáren. Nechybí dokonce ani online chat nebo stránka „O nás“ – zkrátka zákaznická podpora, která překonává i některé legální služby. Hned po zjištění útoku měl operátor varovat své zaměstnance, aby se nepřipojovali k podnikové síti ani interní VPN a neotevírali e-maily obsahující archivy.

 

Podle místních médií Telecom Argentina věří, že k útoku došlo prostřednictvím škodlivé e-mailové přílohy, kterou měl obdržet a otevřít jeden ze zaměstnanců. Odborníci ovšem namítají, že tento styl útoku není typický pro skupinu REvil, která v poslední době provedla několik hackerských útoků s využitím slabého místa v zabezpečení sítě. Zdá se, že i tentokrát hrály pro útočníky významnou roli řešení, které jihoamerickému operátorovi dodala korporace Citrix. Telecom Argentina údajně používal síťová řešení od Citrix se zranitelností CVE-2019-19781, která ovšem byla opravena již před řadou měsíců. V databázi Virus Total se také objevily dva škodlivé soubory, které mohly hackeři využít.

 

Zdroj: Zdnet.com