Тисячі компаній у 17 країнах: збиток від нової атаки шифрувальника стає все серйознішим
Стали відомі нові подробиці про масштабну атаку на програмне забезпечення для віддаленого адміністрування Virtual System Administrator (VSA) компанії Kaseya. Шифрувальник-вимагач, який широко поширився через інфраструктуру VSA, впровадився в мережі тисяч компаній в 17 країнах, що змусило експертів з кібербезпеки охарактеризувати атаку як найбільшу в історії.
Експерти припускають, що впровадити шкідливе ПЗ у програмне забезпечення VSA хакерам вдалося через неназвану вразливість «нульового дня». Однак генеральний директор Kaseya Фред Воккола (Fred Voccola) поки не підтвердив цю версію, виключивши при цьому, що його співробітники могли попастися на фішинг. Крім того, він сказав, що не варто покладати всю провину за подію на одну Kaseya, швидше за все злому посприяли і якісь інші програмні продукти сторонніх фірм. Як би там не було, в кінцевому підсумку шифрувальник розсилався користувачам VSA разом з автоматичним оновленням програми.
Атака, як передбачається, проведена угрупованням REvil (вважається, що вона пов'язана з Росією), якій не далі як у травні вдалося отримати викуп у розмірі $11 млн з виробника м'яса JBS. Нова атака відрізняється особливо широким розмахом, тепер список постраждалих включає відразу тисячі підприємств і державних установ на всіх континентах. Зловред проникає в мережі компаній, шифрує всі дані і вимагає від жертв викуп за доступ до ключа шифрування. Як приклад можна навести шведську мережу продовольчих магазинів Coop: вісім сотень її торгових точок не працюють вже другий день через те, що шифрувальник вразив касові апарати компанії.
Генеральний директор Kaseya попередив, що постраждалих за найскромнішими оцінками тисячі, але в основному це невеликий бізнес на зразок приватних клінік, бібліотек, дизайнерських фірм тощо. Шифрувальник виявлений як мінімум в 17 країнах, крім США, атака зафіксована у Великобританії, Південній Африці, Канаді, Аргентині, Мексиці, Індонезії, Новій Зеландії і навіть в Кенії. Оцінити повний масштаб лиха не представляється можливим, оскільки в США на вихідні випало національне свято, і багато хто з фірм поки навіть не в курсі, що в їхніх мережах міг похгосподарювати небезпечний зловред.
Розміри викупів, судячи з усього, сильно різняться. З деяких компаній хакери вимагають $5 млн, з деяких - $500 тис. Найменший викуп, про який відомо на даний момент, - $45 тис. Як говорить експерт з кібербезпеки Джон Хеммонд (John Hammond) з Huntress Labs, зазвичай при атаках шифрувальників-вимагачів хакери вивчають вміст зашифрованих файлів і визначають викуп виходячи з чутливості даних. Однак цього разу атака відбувається широким фронтом, тому у хакерів, швидше за все, немає часу проводити докладний аналіз цілей.
Всього програмне забезпечення VSA використовують 37 тисяч клієнтів, причому Kaseya стверджує, що шифрувальник встиг поширитися тільки на 50-60 цілей. Однак проблема в тому, що 70% з цих цілей це компанії, які займаються віддаленим адмініструванням IT-інфраструктури з використанням програмного забезпечення VSA. І ось вже через них шифрувальник зміг поширитися максимально широко. Вчора Kaseya випустила спеціальну утиліту для перевірки вразливості мереж, її, за словами компанії, вже запросили приблизно 900 клієнтів.
Виправлення для вразливості, через яку вірус-шифрувальник атакує мережі компаній, має бути випущено протягом найближчих днів. А поки Kaseya продовжує рекомендувати своїм клієнтам не включати сервери.