Yli tuhanteen yritykseen tehdystä hyökkäyksestä syytetty hakkeriryhmä on nähtävästi kadonnut linjoilta. Asiantuntijat epäilevät iskun tekijäksi venäjänkielistä REvil-ryhmää, jolla on kontollaan lukuisia kiristysiskuja.
REvilin sivusto pimeässä verkossa eli dark webissä oli hävinnyt noin kaksi viikkoa hyökkäyksen jälkeen.
Asiasta kertoi muun muassa Yhdysvaltalaisen kyberturvallisuusyrityksen Recorded Futuren edustaja Allan Liska Twitterissä. Hänen mukaansa REvilin sivustot olivat olleet nurin Suomen aikaa tiistaiaamusta lähtien.
Lue myös: Ruotsalaisen markettiketjun lamauttaneet hakkerit vaativat miljoonien lunnaita – suomalainen TietoEvrykin uhrina
Yhdysvaltain presidentti Joe Biden oli toistanut vasta viime viikolla Venäjän presidentille Vladimir Putinille varoituksensa kyberrikollisten suojeluun liittyen.
Hän antoi ymmärtää, että Yhdysvallat voisi ryhtyä toimiin kiristyshaittaohjelmilla tehtyjen iskujen määrän kasvaessa.
Analyytikot ovat aiemmin arvioineet, että Yhdysvaltain puolustusministeriön alaisella USCYBERCOM:lla olisi rahkeet iskeä hakkereita vastaan, jos kansallinen turvallisuus olisi uhattuna. Mitään virallista tietoa tällaisesta toimesta ei ole kuitenkaan ollut.
Lue myös: Yhdysvallat vahvisti hallintoonsa kohdistuneen kyberhyökkäyksen – lehtitietojen mukaan hyökkääjät olisivat Venäjältä
Sulun syyt ovat vielä epäselvät
Turvallisuusyritys Emsisoftin Brett Callowin mukaan lainvalvonnan mahdollinen väliintulo voisi aiheuttaa ongelmia iskun kohteeksi joutuneille yrityksille.
– Jos lainvalvonta on onnistunut keskeyttämään ryhmän toiminnan, olisi se selvästi hyvä juttu, Callow sanoo.
Tämä voisi kuitenkin aiheuttaa ongelmia niille yrityksille, joilta viedyt tiedot hakkeriryhmä on salannut.
– Heillä ei olisi mahdollisuutta maksaa REvilille tietojen salauksen purkamiseen vaadittavasta avaimesta.
Hän kuitenkin painotti, ettei vielä ole selvyyttä siitä, onko REvilin sivustojen katoaminen viranomaistoimien seurausta.
Washingtonissa toimivan Center for Strategic and International Studies -tutkimuslaitoksen edustajan James Lewisin mukaan sivuston sulkeutumiseen voi olla useita syitä. Sen taustalla voi olla esimerkiksi venäläisviranomaisten painostus.
Lewis ei omien sanojensa mukaan usko, että Yhdysvallat olisi ollut sulun takana.
Lue myös: Yhdysvallat löysi Darkside-hakkerien viemät lunnasrahat
Liska huomautti, ettei sivuston omistaja ole vaihtunut, eikä sivuston haltuunotto olisi täten järin todennäköinen skenaario.
Hänen mukaansa tämä voisi sen sijaan viitata siihen, että ryhmä on itse vetänyt sivustonsa dark webistä. Varmuudella asiaa on kuitenkin hänen mielestään liian aikaista arvioida.
Hyökkäyksen kohteita ainakin 17 maassa
Laajasta verkkohyökkäyksestä kerrottiin heinäkuun alussa. Hyökkäys lähti miamilaisesta Kaseya-yhtiöstä, joka tuottaa tietoteknisiä palveluja noin 40 000 yritykselle.
Isku lamautti muun muassa ruotsalaisen Coop-markettiketjun. Kauppaketju joutui sulkemaan lähes kaikki 800 myymäläänsä hyökkäyksen jälkimainingeissa, kun sen kassajärjestelmä lakkasi toimimasta.
Coop ei ollut suoraan Kaseyan asiakas, mutta sen tietotekniikan alihankkija Visma Esscom joutui iskun kohteeksi.
Hakkeriryhmä vaati iskun jälkeen 70 miljoonan dollarin lunnaita tiedoista, jotka se oli varastanut kiristyshaittaohjelmansa avulla.
Kyberturvallisuusfirma ESET kertoi hyökkäyksen jälkeen varmistaneensa iskun kohteeksi joutuneita yrityksiä ainakin 17 maasta. Kohteita on löytynyt Ruotsin lisäksi muun muassa Etelä-Afrikasta, Britanniasta, Meksikosta ja Uudesta-Seelannista.
Uutistoimisto AFP:n mukaan iskun kohteeksi joutui arviolta noin 1 500 yritystä.