Знаменитые хакеры остановили работу 500 супермаркетов
Кибергруппировка REvil провела еще одну успешную атаку на компанию, поставляющую мониторинговое ПО для MSP-провайдеров. Жертвами стали, возможно, тысячи компаний. Злоумышленники требуют $70 млн выкупа.
Сверхуспешная кибератака
Скандально известная киберкриминальная группировка REvil или кто-то из ее партнеров смогли заразить тысячи компаний своим шифровальщиком благодаря успешной атаке на компанию Kaseya, поставщика мониторингового ПО, которым пользуются многочисленные провайдеры ИТ-услуг (MSP).
Атака произошла в ночь 2 июля 2021 г. По всей видимости, злоумышленники использовали уязвимость нулевого дня в серверах внешнего администрирования (VSA) Kaseya. В самой компании об этой уязвимости узнали буквально за несколько дней до атаки и как раз тестировали патч, прежде чем выкатить его своим клиентам.
Однако REvil успели первыми. Атака накрыла около 40 компаний — клиентов Kaseya. Около 30 из них оказались MSP-провайдерами; все они получили фальшивый патч, содержавший код шифровальщика-вымогателя REvil/Sodinokibi. Провайдеры предоставляли ИТ-услуги приблизительно тысяче компаний разного масштаба по всему миру, соответственно, атака распространилась и на них.
В Kaseya заявили, что ее специалисты делают все возможное, чтобы минимизировать ущерб и восстановить нормальное обслуживание своих клиентов.
«На данный момент мы стараемся реализовать постепенное восстановление деятельности наших серверных ферм SaaS с ограничением функциональности и повышенными мерами безопасности (это произойдет в ближайшие 24-48 часов, но возможны изменения) по регионам», — указывается в сообщении компании.
Kaseya также сотрудничает с правоохранительными органами и ИБ-компаниями, пытаясь выяснить, каким именно образом вредоносный код попал в ее системы. 900 клиентам компании предоставлены средства обнаружения компрометации, хотя, как уже сказано, атака затронула лишь малую их часть.
Каков реальный масштаб бедствия, остается пока невыясненным. Известно, впрочем, что злоумышленники потребовали $70 млн за разблокирование доступа к данным всех, кого эта атака затронула.
Ситуация во многом сходна с инцидентом с SolarWinds: точно так же злоумышленники использовали мониторинговое ПО одной компании для проведения атак на множество бизнес- и государственных структур в США и других странах. Атака на SolarWinds имела далеко идущие политические последствия, и не исключено, что инцидент с Kaseya также окажется «политически заряженным».
Поддельный патч
По данным компании HuntressLabs, атака включала распространение поддельного обновления (Kaseya VSA Agent Hot-fix), который деактивировал защитные средства Windows. В систему также вбрасывался легитимный исполняемый файл Windows Defender (MsMPEng.exe), через который, однако, подгружалась вредоносная библиотека шифровальщика — файл mpsvc.dll.
По данным издания The Record, это уже третья атака со стороны REvil на Kaseya. Первая состоялась в феврале 2019 г., когда группировка именовалась Gandcrab. Используя плагин Kaseya для пакета Connect Wise Manage, злоумышленники загрузили шифровальшик в сети клиентов MSP.
Второй раз REvil атаковали уязвимости в Webroot Secure Anywhere и VSA-разработках Kaseya.
«Столь назойливый интерес легко объясним: Kaseya поставляет ПО для удаленного администрирования, а значит — средства доступа в сети тысяч различных предприятий, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Успешная атака на Kaseya — это успешная атака на них всех. Известно минимум об одной крупной торговой сети, шведской Coop, которая вынуждена была остановить обслуживание в 500 своих супермаркетах как раз из-за атаки на Kaseya».
В этих торговых точках просто перестали функционировать кассы. Coop является клиентом шведского MSP-провайдера Visma, который использует ПО Kaseya. Visma утверждает, что ее клиентская база достигает одного миллиона обслуживаемых организаций. Как минимум часть из них, соответственно, испытывает в настоящий момент проблемы с шифровальщиком REvil.