Atak miał charakter “komercyjny” a termin wybrany został z myślą o osiągnięciu maksymalnych skutków, czyli w dniach “świątecznej” obsady administratorów nadzorujących infrastrukturę sieciową. Cyber-szantażyści z grupy REvil zaatakowali oprogramowanie VSA (Virtual System Administrator) firmy Kaseya, z siedzibą w Miami, które umożliwia klientom firmy zdalny dostęp do swoich serwerów.  Tą drogą przeniknęli do użytkowników oprogramowania Kaseya na świecie, sparaliżowali ich systemy informatyczne i zażądali okupu w zamian za dostarczenie szyfrowanego klucza umożliwiającego odblokowanie. Według Andrew Howarda szefa szwajcarskiej firmy Kudelski Security “trudno sobie wyobrazić lepszą drogę podrzucenia ransomware niż poprzez rzetelnego dostawcę usług IT”.

Klienci firmy Kaseya to nie giganci, ale małe i średnie firmy. Według wstępnych danych ofiarami szantażystów padły podmioty w co najmniej 17 krajach: w USA, w Europie, a także w Południowej Afryce, Kanadzie,   Argentynie, Meksyku, Indonezji Nowej Zelandii i Kenii.

Rzecz w tym, że wiele z nich to dostawcy usług IT i liczba “końcowych ofiar” idzie w tysiące. W USA ponad 200 firm zgłosiło atak. W Szwecji w sieci popularnych sklepów Coop “padły” kasy. Sparaliżowane zostały liczne apteki, stacje benzynowe, placówki kolei państwowej oraz systemy publicznej rozgłośni SVR. W Niemczech rozliczne firmy IT zawiadomiły władze, że żądania okupu otrzymały tysiące ich klientów. W Holandii o ataku poinformowali dwa poważni dostawcy usług IT  firmy VelzArt i Hoppenbrouwer Techniek a w Nowej Zelandii stanęły systemy szkół i przedszkoli.

Nie wszyscy zaatakowani poinformowali władze. Wielu z nich wolało zapłacić okup w kryptowalutach i skontaktowało się z REvil pod podanym adresem “po ciemnej stronie internetu”. Według krążących w sieci wiadomości początkowo szantażyści żądali nawet równowartości 5 milionów dolarów od “głowy”, ale szybko przekonali się, że “nie przełkną tego co ugryźli” i publicznie zaproponowali hurtowe zwolnienie blokad u wszystkich zaatakowanych w zamian za 70 milionów dolarów. Widocznie odczuli jednak nacisk państwowych służb cyber-wojny i prywatnych firm cyber-bezpieczeństwa, gdyż w kontakcie z firmą Krebs Stamos Group jeden z współpracownik REvil opuścił cenę i zaproponował, że grupa udostępni “uniwersalny dekryptor” za 50 milionów USD. Podobną propozycję otrzymała agencja prasowa Reutera, której reporter dostał wiadomość, że wprawdzie cena jest 70 milionów, ale “zawsze jesteśmy gotowi do negocjacji”.

Gang REvil, znany też pod nazwą Sodinokibi, to działająca od kwietnia 2019 roku “komercyjna” grupa hackerska z “udziałowcami” rozsianymi po świecie i centralą w Rosji. Wyspecjalizowana w atakach ransomware przygotowuje “narzędzia” i wynajmuje je “partnerom”, którzy atakują wybrane przez siebie cele a poźniej dzielą się okupem. Zdaniem ekspertów działalność REvil być może nie jest sponsorowana przez Kreml, ale z pewnością jest tolerowana. W każdym razie, jak to określił Dmitri Alperovitch z Silverado Policy Accelerator “Putin nie ruszył się, aby przymknąć kryminalistów”. Pytana o atak, Jen Psaki, rzeczniczka prasowa Białego Domu zagroziła niedwuznacznie, że “jeśli Rosja nie podejmie działań wobec przestępców mieszkających w Rosji, to zrobimy to sami i   rezerwujemy sobie prawo do podjęcia takich działań” i to “za pomocą mechanizmów swojego wyboru”. Jej ostre słowa stonował prezydent Joe Biden, który wprawdzie zapewnił, że dobrze ocenia zdolności USA do reakcji na hackerski atak REvil, ale ponieważ wyrządził on tylko “minimalne szkody” firmom amerykańskim, to najpierw należy odczekać, zebrać informacje, ustalić, bla, bla, bla… Nie za darmo Biden ma opinię “miękiszona” a wedle przeprowadzonego pod koniec czerwca sondażu The Trafalgar Group, 56.5 % wyborców amerykańskich uważa, że to nie on kieruje polityką Stanów Zjednoczonych.

Podczas spotkania z Władimirem Putinem w Genewie, Joe Biden przedstawił rosyjskiemu prezydentowi listę obszarów, w których cyber-atak będzie uważany za podstawę do cyber-odwetu. Ponieważ atak szantażystów REvil nie był wymierzony w amerykańską infrastrukturę krytyczną, automatyczna riposta byłaby sprzeczna z ostrzeżeniami Bidena i Kreml mógłby podnieść propagandowy krzyk na cały świat, zwłaszcza, że REvil to grupa komercyjna, a nie podległa rosyjskim instytucjom rządowym.

Jak się wydaje w przypadku kooperatywy cyber-szantażystów zastosowano w Moskwie model Grupy Wagnera, prywatnej armii Jewgienija Prigożyna oligarchy z bardzo wąskiego kręgu najbliższych współpracowników Putina jeszcze z “petersburskich czasów”. Tak jak Grupa Wagnera wykorzystywana jest do “brudnej roboty” w konfliktach zbrojnych na świecie, od Donbasu po Republikę Afryki Środkowej, tak grupa REvil używana jest w starciach o panowanie w cyberprzestrzeni. Jedna i druga samofinansuje się. Grupa Wagnera z dochodów “ochranianych” szybów naftowych, ropociągów oraz kopalni złota i diamentów, a REvil z okupów. Od jednej i drugiej Kremlowi łatwo się odciąć - to nie nasi ludzie, to prywatna inicjatywa.