साइबर सुरक्षा टीमों ने रिकॉर्ड पर एकल सबसे बड़े वैश्विक रैंसमवेयर हमले के प्रभाव को रोकने के लिए रविवार को तेज़ी से काम किया। इस हमले के न्यूनतम विवरण से पता चला है कि रूस से जुड़े गिरोह ने एक कंपनी की सुरक्षा प्रोटोकॉल पर हमला कर किस प्रकार उसका सॉफ्टवेयर इस्तेमाल कर इस घटना को अंजाम दिया। साइबर सुरक्षा फर्म ईएसईटी ने ब्रिटेन, दक्षिण अफ्रीका, कनाडा, अर्जेंटीना, मैक्सिको, इंडोनेशिया, न्यूज़ीलैंड और केन्या सहित कम से कम 17 देशों में प्रभावितों की पहचान की।
हमले के पीछे रेविल गिरोह का एक सहयोगी, जो मेमोरियल डे हमले के बाद मीट-प्रोसेसर जेबीएस से 11 मिलियन डॉलर की जबरन वसूली के लिए जाना जाता है, ने शुक्रवार को कम से कम 17 देशों में हज़ारों लोगों को इस हमले की चपेट में लिया। साइबर सुरक्षा शोधकर्ताओं ने कहा कि इसमें मुख्यतः वह कंपनियां थी जो कई ग्राहकों के लिए आईटी बुनियादी ढांचे उपलब्ध कराती हैं।। उन्होंने 5 मिलियन डॉलर तक की फिरौती की मांग भी की।
एफबीआई ने रविवार को एक बयान में कहा कि वह संघीय साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी के साथ हमले की जांच कर रही है। हालाँकि उन्होंने बताया कि इस घटना का पैमाना ऐसा हो सकता है कि हम प्रत्येक प्रभावित को व्यक्तिगत रूप से जवाब देने में असमर्थ हैं। उप राष्ट्रीय सुरक्षा सलाहकार ऐनी न्यूबर्गर ने बाद में एक बयान जारी कर कहा कि अमेरिकी राष्ट्रपति जो बिडेन ने इस घटना की जांच के लिए सरकार के पूर्ण संसाधनों को निर्देशित किया है। बिडेन ने शनिवार को कहा कि यदि यह तय हो जाता है कि क्रेमलिन इसमें शामिल है तो अमेरिका इसका सटीक जवाब देगा।
यह हमला ऐसे समय में आया है जब बिडेन ने रूसी राष्ट्रपति व्लादिमीर पुतिन पर आरईविल और अन्य रैंसमवेयर गिरोहों को सुरक्षित आश्रय प्रदान करने से रोकने के लिए दबाव डाला था, जिनके अविश्वसनीय जबरन वसूली अमेरिका को राष्ट्रीय सुरक्षा के लिए खतरा मानते हैं।
साइबर सुरक्षा फर्म सोफोस की रिपोर्ट के अनुसार, वित्तीय सेवाओं, यात्रा और अवकाश और सार्वजनिक क्षेत्र सहित सभी महाद्वीपों पर, स्पष्ट रूप से सभी महाद्वीपों पर, व्यवसायों और सार्वजनिक एजेंसियों की एक विस्तृत श्रृंखला प्रभावित हुई है। स्वीडिश किराना चेन कॉप ने कहा कि उसके 800 स्टोर रविवार को दूसरे दिन भी बंद रहेंगे क्योंकि उनका कैश रजिस्टर सॉफ्टवेयर सप्लायर सुविधा इस हमले के चपेट में आयी थी। एक स्वीडिश फार्मेसी श्रृंखला, गैस स्टेशन श्रृंखला, राज्य रेलवे और सार्वजनिक प्रसारक एसवीटी भी प्रभावित हुए।
विशेषज्ञों का कहना है कि यह कोई संयोग नहीं था कि रेविल ने जुलाई के अवकाश सप्ताहांत के चौथे दिन की शुरुआत में हमला शुरू किया, यह जानते हुए कि अमेरिकी कार्यालयों में कम कर्मचारी होंगे। कई प्रभावितों को सोमवार को काम पर वापस आने तक इसके बारे में नहीं जानकारी नहीं थी।
कासेया ने बताया है कि उसने शनिवार रात लगभग 900 ग्राहकों को एक डिटेक्शन टूल भेजा है। हंट्रेस लैब्स (जिसने इस हमले की जानकारी सबसे पहले दी थी) के जॉन हैमंड ने कहा कि आरईवीआईएल द्वारा बिगड़े हुए नेटवर्क को अनलॉक करने के लिए आवश्यक डिक्रिप्टर कुंजी के लिए 5 मिलियन डॉलर से लेकर 500,000 डॉलर की मांग की है।
रेविल के स्तर पर परिष्कृत रैंसमवेयर गिरोह आमतौर पर पीड़ित के वित्तीय रिकॉर्ड और बीमा योजनाओं की डेटा-स्क्रैम्बलिंग मैलवेयर को सक्रिय करने से पहले चोरी की गई फाइलों से जांच करते हैं। अपराधी तब चोरी किए गए डेटा को भुगतान न करने पर ऑनलाइन डंप करने की धमकी देते हैं। हालाँकि यह तुरंत स्पष्ट नहीं हो पाया है कि इस हमले में डेटा चोरी शामिल है या नहीं लेकिन संक्रमण तंत्र से पता चल रहा है कि ऐसा नहीं हुआ है।
डच शोधकर्ताओं ने कहा कि उन्होंने मियामी स्थित कासिया को उल्लंघन के लिए सतर्क किया और कहा कि अपराधियों ने शून्य दिन का इस्तेमाल किया। वोकोला बताया कि यह फ़िशिंग नहीं थी और यहाँ परिष्कार का स्तर असाधारण था।
प्रबंधित सेवा प्रदाताओं का लाभ उठाने के लिए यह पहला रैंसमवेयर हमला नहीं है। 2019 में, अपराधियों ने 22 टेक्सास नगर पालिकाओं के नेटवर्क को एक के माध्यम से हमला किया था। उसी वर्ष, एक अलग हमले के कारण 400 अमेरिकी दंत चिकित्सा प्रणालियाँ व्यधित हुई थी।
डच भेद्यता शोधकर्ताओं में से एक, विक्टर गेवर्स ने कहा कि उनकी टीम कासिया के वीएसए जैसे उत्पादों के बारे में चिंतित है क्योंकि वह विशाल कंप्यूटिंग संसाधनों को पूर्ण रूप से नियंत्रित कर सकते हैं।
कासिया का कहना है कि हमले ने केवल उन ग्राहकों को प्रभावित किया, जो संगठन अपने स्वयं के डेटा केंद्र का संचालन करते है। हालाँकि ग्राहकों के लिए सॉफ़्टवेयर चलाने वाली क्लाउड-आधारित सेवाओं पर इसका कोई असर नहीं हुआ था लेकिन एहतियात के तौर पर इसने उन सर्वरों को भी बंद कर दिया। कासिया, जिसने शुक्रवार को ग्राहकों से अपने वीएसए सर्वर को तुरंत बंद करने का आह्वान किया, ने रविवार को कहा कि वह अगले कुछ दिनों में एक सुरक्षा पैच जोड़ने की कोशिश करेगा।
अप्रैल 2019 से सक्रिय, रेविल रैंसमवेयर-ए-ए-सर्विस प्रदान करता है, जिसका अर्थ है कि यह नेटवर्क-पैरालिसिंग सॉफ़्टवेयर विकसित करता है और इसे तथाकथित सहयोगियों को पट्टे पर देता है जो लक्ष्य को संक्रमित करते हैं और फिरौती का कुछ हिस्सा कमाते हैं। अमेरिकी अधिकारियों का कहना है कि सबसे शक्तिशाली रैंसमवेयर गिरोह रूस और संबद्ध राज्यों में स्थित हैं और क्रेमलिन के सख्त कार्रवाई न करने पर फल फूल रहे है। साथ ही कभी-कभी रूसी सुरक्षा सेवाओं के साथ सांठ-गांठ में भी काम करते हैं।