JBS Foods - atak REvil, który wstrzymał dostawy mięsa na trzech kontynentach
Atak ransomware REvil na JBS Foods (maj 2021) - chronologia, okup 11 mln USD, paraliż zakładów w USA, Australii i Kanadzie. Lekcje dla łańcuchów dostaw żywności.
30 maja 2021 roku. W zakładach JBS S.A. - największego producenta mięsa na świecie, firmy odpowiedzialnej za jedną piątą globalnej produkcji wołowiny, wieprzowiny i drobiu - zaczęły gasnąć ekrany. Systemy informatyczne w ubojniach i przetwórniach w Stanach Zjednoczonych, Australii i Kanadzie przestawały odpowiadać, jeden po drugim, niczym domino przewracane niewidzialną ręką. Zanim ktokolwiek zdążył zrozumieć, co się dzieje, trzynaście zakładów przetwórstwa wołowiny w samych Stanach Zjednoczonych stanęło.
To nie była awaria techniczna. To był REvil - jeden z najbardziej bezwzględnych syndykatów ransomware tamtej dekady - i żądanie okupu, które ostatecznie kosztowało JBS 11 milionów dolarów w bitcoinach.
Firma, która karmi świat
Żeby zrozumieć skalę tego, co się wydarzyło, trzeba najpierw zrozumieć, czym jest JBS. Brazylijska korporacja JBS S.A., założona w 1953 roku w Anapolis, to kolos przetwórstwa spożywczego. Firma przetwarza dziennie ponad 200 tysięcy sztuk bydła, 500 tysięcy świń i 14 milionów drobiu. Jej zakłady rozsiane są po pięciu kontynentach - od Brazylii, przez USA, Australię, aż po Europę. Przychody roczne przekraczają 50 miliardów dolarów.
Kiedy taka firma przestaje działać - nawet na jeden dzień - konsekwencje odczuwa cały łańcuch dostaw żywności.
Anatomia ataku
Śledztwo prowadzone po incydencie ujawniło, że kampania REvil przeciwko JBS nie zaczęła się 30 maja. Rozpoczęła się znacznie wcześniej.
Już w lutym 2021 roku atakujący prowadzili rekonesans infrastruktury IT firmy. Od 1 marca do 29 maja trwała faza eksfiltracji danych - ponad 45 gigabajtów informacji trafiło na serwisy wymiany plików, w tym platformę Mega. Przez prawie trzy miesiące grupa REvil poruszała się po sieciach JBS, kopiując dane i przygotowując grunt pod zaszyfrowanie systemów.
30 maja 2021 roku nastąpiło uderzenie. Ransomware zaszyfrował kluczowe systemy IT obsługujące operacje produkcyjne. JBS natychmiast odłączył zainfekowane segmenty sieci, powiadomił FBI i rozpoczął negocjacje z atakującymi za pośrednictwem wynajętych konsultantów.
1 czerwca środowisko produkcyjne zostało w pełni zaszyfrowane.
Trzynaście zakładów w ciemności
Skutki były natychmiastowe i dotkliwe. Wszystkie zakłady przetwórstwa wołowiny JBS w Stanach Zjednoczonych - w Utah, Teksasie, Wisconsin, Nebrasce i innych stanach - zostały tymczasowo wyłączone. Operacje w Australii i Kanadzie również stanęły. Tysiące pracowników odesłano do domów.
W Australii sytuacja wyglądała szczególnie dramatycznie. JBS jest tam największym pracodawcą w sektorze mięsnym, zatrudniającym ponad 11 tysięcy osób. Zamknięcie zakładów oznaczało nie tylko straty finansowe, ale realne zagrożenie dla łańcucha dostaw białka na całym kontynencie.
W Stanach Zjednoczonych atak zbiegł się z początkiem sezonu grillowego - okresem szczytowego popytu na wołowinę. Ceny mięsa na rynkach hurtowych zaczęły rosnąć, a hodowcy bydła, którzy nie mieli dokąd wysyłać zwierząt, stanęli przed perspektywą strat.
REvil - syndykat z modelem subskrypcyjnym
REvil (znany też jako Sodinokibi) to rosyjskojęzyczny syndykat ransomware działający w modelu Ransomware-as-a-Service. Twórcy dostarczali oprogramowanie i infrastrukturę, a afilianci - niezależni operatorzy - przeprowadzali ataki, dzieląc się zyskami z centrali.
Grupa zasłynęła serią spektakularnych ataków. Przed JBS zaatakowali firmę Acer (żądanie 50 milionów dolarów), Quanta Computer (dostawcę Apple’a) i szereg mniejszych celów. Po JBS, w lipcu 2021 roku, przeprowadzili atak na Kaseya VSA, infekując tysiące firm jednocześnie przez podatność w oprogramowaniu do zarządzania IT.
REvil stosował taktykę podwójnego wymuszenia - kradzież danych przed zaszyfrowaniem, z groźbą ich publikacji w przypadku odmowy zapłaty. W przypadku JBS początkowe żądanie wynosiło 22,5 miliona dolarów.
11 milionów dolarów w bitcoinach
Po negocjacjach JBS zapłacił 11 milionów dolarów w bitcoinach. Płatność została zrealizowana 1 czerwca 2021 roku - tego samego dnia, w którym atakujący zaszyfrował pełne środowisko.
Andre Nogueira, CEO JBS USA, publicznie przyznał, że decyzja o zapłacie była “najtrudniejszą w jego karierze”, ale uzasadnił ją koniecznością ochrony klientów przed dalszymi zakłóceniami w dostawach. Firma obawiała się przede wszystkim dalszej eksfiltracji danych i przedłużających się przestojów.
3 czerwca 2021 roku FBI oficjalnie potwierdziło, że za atakiem stoi REvil. Biały Dom wydał oświadczenie wskazujące na rosyjskie pochodzenie grupy i zapowiedział podjęcie tematu cyberbezpieczeństwa w rozmowach z Kremlem.
Chronologia kryzysu
| Data | Wydarzenie |
|---|---|
| Luty 2021 | Początek rekonesansu infrastruktury JBS przez REvil |
| 1 marca - 29 maja 2021 | Eksfiltracja ponad 45 GB danych na platformę Mega |
| 30 maja 2021 | Atak ransomware; JBS odłącza systemy i powiadamia FBI |
| 31 maja 2021 | Zamknięcie 13 zakładów wołowiny w USA; przestoje w Australii i Kanadzie |
| 1 czerwca 2021 | Pełne zaszyfrowanie; JBS płaci okup 11 mln USD w BTC |
| 2 czerwca 2021 | Stopniowe wznawianie produkcji w większości zakładów |
| 3 czerwca 2021 | FBI potwierdza atrybucję - REvil/Sodinokibi |
| 9 czerwca 2021 | JBS publicznie potwierdza zapłatę 11 mln USD |
Co ujawnił audyt - zaniedbania sprzed ataku
W 2023 roku dziennikarze dotarli do wewnętrznych dokumentów Departamentu Bezpieczeństwa Wewnętrznego (DHS), które ujawniły, że stan cyberbezpieczeństwa JBS przed atakiem był “niezwykle słaby”. Firma wielokrotnie otrzymywała ostrzeżenia od CISA dotyczące podatności w swoich systemach i eksponowanych usług, ale nie podejmowała wystarczających działań naprawczych.
To schemat, który powtarza się w niemal każdym dużym incydencie ransomware - sygnały ostrzegawcze istniały, ale zostały zignorowane lub potraktowane jako niskopriorytowe.
Lekcje dla sektora spożywczego i nie tylko
Łańcuch dostaw żywności to infrastruktura krytyczna
Atak na JBS pokazał, że przetwórstwo spożywcze - często pomijane w dyskusjach o cyberbezpieczeństwie infrastruktury krytycznej - jest tak samo wrażliwe jak energetyka czy transport. Zatrzymanie jednego producenta na kilka dni wystarczy, by zachwiać cenami i dostępnością produktów w całym regionie.
Czas przebywania atakującego ma znaczenie
REvil spędził w sieci JBS blisko trzy miesiące przed uderzeniem. To typowy wzorzec dla zaawansowanych operacji ransomware - atakujący nie szyfrują od razu. Najpierw kradną dane, mapują środowisko, identyfikują backupy i neutralizują je. Wykrycie intruza w fazie rekonesansu lub eksfiltracji pozwala uniknąć najgorszego.
Zapłata okupu nie rozwiązuje problemu
JBS zapłacił 11 milionów dolarów - ale i tak musiał odtwarzać systemy, weryfikować integralność danych i wdrażać zabezpieczenia, których brakowało przed atakiem. Każdy dolar wydany na okup finansuje kolejne ataki i sygnalizuje przyszłym ofiarom, że płacenie “działa”. Kompleksowe podejście do ochrony przed ransomware - od backupów, przez segmentację sieci, po plany reagowania - opisujemy w naszym przewodniku po ransomware.
Widoczność w sieci to fundament
Trzy miesiące eksfiltracji danych bez wykrycia. To oznacza brak monitoringu ruchu sieciowego, brak alertów na anomalie w przesyłaniu danych, brak segmentacji ograniczającej ruch lateralny. Podstawowe narzędzia - NDR, SIEM, EDR - mogły wykryć aktywność REvil na wczesnym etapie.
Co stało się z REvil?
Po ataku na Kaseya w lipcu 2021 roku infrastruktura REvil nagle zniknęła z sieci. W październiku 2021 operacja wielonarodowa przejęła serwery grupy. W styczniu 2022 roku rosyjski FSB - na wniosek władz amerykańskich - przeprowadził aresztowania czternastu podejrzanych członków REvil. To był bezprecedensowy krok ze strony Rosji, choć wielu ekspertów traktuje go raczej jako gest polityczny niż rzeczywiste rozbicie grupy.
Kod źródłowy REvil, podobnie jak w przypadku wielu grup ransomware, żyje dalej - w kolejnych wariantach, pod nowymi nazwami, w rękach następnych afiliantów.
Źródła
- JBS S.A. ransomware attack - Wikipedia
- JBS paid $11 million to REvil ransomware, $22.5M first demanded - Bleeping Computer
- REvil, A Notorious Ransomware Gang, Was Behind JBS Cyberattack - NPR
- JBS Paid An $11 Million Ransom To Cyberattackers - NPR
- JBS Ransomware Attack Started in March - SecurityScorecard
- JBS’s cybersecurity was unusually poor prior to 2021 ransomware attack - Iowa Capital Dispatch
- JBS Meat Supplier Cyberattack Timeline - MSSP Alert