Вымогательство стоимостью 70 миллионов долларов

Очередная атака на цепочку поставок не заставила себя ждать: нападение на американскую ИТ-компанию Kaseya и последующее заражение ее клиентов вирусом-шифровальщиком потрясли последствиями весь цифровой мир. Заражению, по словам хакеров, подверглось не менее 1 миллиона систем. Изначально злоумышленники потребовали выкуп в 70 миллионов долларов США за универсальный декриптор. 

Kaseya предлагает ПО для удаленного мониторинга и управления состоянием ИТ и ИБ, используемое как внутренними ИТ-командами, так и обслуживающими клиентов MSP-провайдерами.

Основные подозреваемые – группировка REvil, которая, к слову, работает по модели Ransomware-as-a-Service («вымогательство как услуга»). Поэтому точнее будет сказать, что в кибератаке использовались именно их инструменты и инфраструктура. По данным нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure) и специалистов компании Huntress Labs, заражение клиентов Kaseya произошло через уязвимость аутентификации в веб-интерфейсе ПО Kaseya VSA, которая уже находилась в процессе исправления (CVE-2021-30116). 

Уязвимость позволила выполнить установку шифровальщика в сети клиентов Kaseya и вызвала массовое заражение компаний вымогательским ПО REvil. Так, крупнейшая сеть супермаркетов в Швеции Coop вынужденно приостановила работу 800 магазинов на полтора дня в связи с потерей работоспособности кассовых аппаратов из-за инцидента ИБ. Кроме того, объектами атаки в Швеции стали крупнейший железнодорожный оператор SJ, сеть аптек Hjärtat и бензозаправок St1, множество клиентов MSP-компании Visma EssCom, поставляющей ПО для кассовых аппаратов. Также пострадали голландский MSP-провайдер Velzart и его клиенты, немецкие и другие компании.

К расследованию инцидента ИБ уже подключены ЦРУ, АНБ, ФБР, а также ИБ-компании, включая FireEye. Kaseya выпустила патч для эксплуатировавшихся хакерами уязвимостей и утилиту Compromise Detection Tool для того, чтобы ее клиенты смогли проверить, подвергались ли они атаке.

Примечательно, что до момента выхода официального патча, как отметили аналитики Malwarebytes, ситуацией уже попробовали воспользоваться другие злоумышленники, которые провели фишинговую рассылку с фейковым обновлением для Kaseya VSA, содержащим загрузчик Cobalt Strike. 

Атака цепочки поставок через ПО Kaseya VSA не первая у этой компании. Ранее, в 2018-2019 годах, продукты Kaseya уже использовались для развертывания вирусов-вымогателей.

Но самое интересное заключается в том, что 14 июля, после переговоров между лидерами РФ и США, поддерживающая инфраструктура вымогательского ПО REvil пропала из сетевой видимости. Пока наиболее вероятным поводом для исчезновения является обеспокоенность хакеров повышенным вниманием к ним со стороны спецслужб. 

«Одна из причин успешности массовой атаки – запрос от производителя ПО на внесение рабочих папок и приложения в исключения антивирусов. Такие обращения можно увидеть, в том числе, в истории с Orion, SolarWinds. Следовать этому призыву по понятным причинам не стоит. Просто напомню, что даже если точкой входа была уязвимость нулевого дня, то скачиваемый пейлоад и дальнейшее шифрование данных может быть выполнено давно известным вирусом», – обращает внимание менеджер по развитию бизнеса группы компаний Angara Анна Михайлова.

Эксперты группы компаний Angara напоминают, что антивирусная защита является базовой минимальной функцией обеспечения информационной безопасности и пренебрегать ей нельзя. Кроме того, данные решения не являются ресурсно «тяжелыми» и имеют возможность запуска на широком спектре систем. В свою очередь, внесение исключений в защиту должно быть продуманным и взвешенным шагом. Если вы исключаете какой-либо раздел из защиты, необходимо оценивать риски использования этого ПО как точку применения злоумышленником для атаки. Как показывает опыт последних лет, атаки через цепочку поставок становятся все более реальными и частыми.

Антивирусные продукты, рекомендуемые к использованию:

  • Kaspersky Endpoint Security, 

  • Trend Micro Deep Security,

  • McAfee Endpoint Security.

Доверие клиентов к разработчикам ПО и сервисным организациям подвергается испытанию из-за продолжающегося потока атак на цепочку поставок. Снижение вероятности подобных атак возможно через взвешенный анализ рисков и обращение к проверенным провайдерам. 

Группа компаний Angara осуществляет постоянный оперативный мониторинг состояния защищенности внутренних систем и использует средства эшелонированной защиты внутренней инфраструктуры. В то же время мы используем безопасные каналы для передачи информации и всегда запрашиваем только минимально необходимый доступ к данным.


Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах