Хакеры REvil использовали для атаки ПО компании Kaseya
Атаку вредоносной программы-шантажиста на ПО международной IT-компании Kaseya, зафиксированную несколько дней назад в США, эксперты назвали крупнейшей в истории. Сегодня известно, что она затронула несколько тысяч компаний, работающих в 17-ти разных странах мира. Данные об ущербе, который стал ее следствием, пока еще не собраны до конца. От самой компании Kaseya шантажисты потребовали выкуп размером $70 млн, от остальных атакованных – самые различные суммы, от нескольких тысяч до нескольких миллионов долларов. Своим клиентам Kaseya рассылает инструкции по безопасному восстановлению работы серверов.
Атака началась с внедрения хакерами вируса-вымогателя в сеть удаленного администрирования Virtual System Administrator (VSA) компании Kaseya в США. Через инфраструктуру этого популярного ПО вместе с автоматическими обновлениями VSA троян-шантажист смог внедриться в сети компаний, число которых, только по последним данным, составляет несколько тысяч, распространившись, как минимум, в 17-ти странах. Пострадали предприниматели и представители государственного сектора Аргентины, Великобритании, Индонезии, Новой Зеландии, Канады, Мексики, Южной Африки, Кении. Правда, в основной массе это представители мелкого и среднего бизнеса – небольшие частные клиники, библиотеки, дизайнерские бюро, продуктовые ритейлеры и подобные организации. Каждой из них хакеры назначали свою сумму выкупа за доступ к ключу шифрования - от $45 тыс до $5 млн. Самой IT- компании Kaseya вымогатели назначили выкуп в сумме $70 млн, и потребовали заплатить его в биткойнах. Однако, как сообщают СМИ, после приватных переговоров хакеры снизили сумму запрашиваемого у Kaseya выкупа до $50 млн.
Программное обеспечение VSA используют 37 тыс. клиентов Kaseya. По сообщению издания HotНardWare, атака затронула менее 60-ти прямых клиентов IT-компании и 1500 нижестоящих компаний. Большая часть из этих прямых клиентов - компании, занимающиеся удаленным администрированием IT-инфраструктуры.
Более точных данных о числе пострадавших от шифровальщика-шантажиста, как и оценок совокупных сумм потерь, пока нет. Но Президент США Джо Байден, к примеру, считает, что американское бизнес-сообщество пострадало в меньшей степени, чем могло бы случиться. «Команда по национальной безопасности предоставила новые данные. Согласно им, американскому бизнесу был нанесен минимальный ущерб. Мы еще собираем информацию», - прокомментировал он текущую ситуацию в беседе со СМИ.
Как сообщает сама Kaseya в официальном пресс-релизе, ее эксперты совместно с сотрудниками ФБР (FBI) и Агентства по инфраструктурной безопасности (Infrastructure Security Agency, CISA) обсудили требования к системам и сетям до восстановления обслуживания, как для пользователей SaaS, так и для локальных клиентов. До тех пор, пока восстановление локальных серверов VSA пострадавших компаний не будет выполнено безопасно с помощью экспертов Kaseya, последние должны поддерживаться в автономном режиме, вплоть до получения дальнейших инструкций. При получении каких-либо сообщений от хакеров переходить по ссылкам настоятельно не рекомендуется.
Специальную утилиту для проверки уязвимости сетей, которую разработали эксперты Kaseya, уже затребовали свыше 900 ее клиентов.
Эксперты в сфере безопасности предполагают, что эта атака – дело рук хакерской группировки REvil, и что она так или иначе связана с Россией. REvil печально известна атакой на крупнейшего в мире переработчика мяса компанию JBS, которую организовала и провела в мае текущего года. В качестве выкупа хакеры получили от производителя сумму в размере $11 млн.
В этот раз REvil также взяла на себя ответственность за атаку. Однако, как пишет DailyMail, в утверждение хакеров о том, что в рамках атаки на ПО производства Kaseya им удалось скомпрометировать порядка 1 миллиона компаний, никто не верит. Но в то же время, пишет издание, после этой атаки Президента США активно критикуют за его «медленную реакцию» и «неспособность ужесточить меры в отношении России».