Атака программ-вымогателей, возглавляемая кибербандой REvil (Sodikinibi), затронула 1500 предприятий по всему миру
Крупная атака с использованием программ-вымогателей, осуществленная пресловутой кибер-бандой REvil / Sodinikibi у руля, предположительно, поразила до 200 предприятий в Америке и около 1500 по всему миру. Связанные с Россией мошенники взломали специальный пакет программного обеспечения для управления сетью, чтобы распространить угрозу, что позволило им достичь множества поставщиков облачных услуг.
Рассматриваемое некорректное программное обеспечение называется виртуальным системным администратором или VSA - системой удаленного мониторинга и управления, разработанной и продаваемой частной компанией Kaseya, стремящейся предоставить эффективные и экономичные программные решения для малого и среднего бизнеса по всему миру. . Вредоносная программа начала запускать программы-вымогатели на конечных точках, управляемых локальным пакетом VAS Kaseya. В результате реальный масштаб тактики может оказаться гораздо более значительным, чем надеялись исследователи безопасности.
Оглавление
Использование популярного программного обеспечения для большего воздействия
Атаки программ-вымогателей такого калибра обычно пытаются найти недостатки безопасности в хорошо известных, широко используемых программах, а затем использовать эти недостатки, чтобы внедрить вредоносное ПО дальше по цепочке поставок. Однако это первая крупномасштабная атака программ-вымогателей цепочки поставок, которую мы наблюдали. Учитывая большое количество предприятий, использующих пакет VSA от Kaseya, не совсем понятно, какой процент их клиентов до сих пор стал жертвой атаки. Руководство Kaseya только что выпустило официальное уведомление, призывающее клиентов отключить все свои локальные серверы VSA, чтобы ограничить распространение вредоносного ПО. Хотя компания нашла менее шестидесяти затронутых клиентов, последние поддерживают деловые отношения со многими другими компаниями, в результате чего общее количество затронутых компаний оценивается в 1500 или около того.
Накануне 4 июля - совпадение или расчетный ход?
Исследователи в области безопасности считают, что атака была выбрана намеренно - пятница, 2 июля, - поскольку большинство бизнес-подразделений, включая ИТ-службы, обычно сокращают штат сотрудников до и во время государственных праздников. Джон Хаммонд из Huntress Labs, обнаруживший атаку, сообщил как минимум о четырех зараженных провайдерах управляемых услуг, каждый из которых предоставляет услуги хостинга ИТ-инфраструктуры многим другим компаниям. Атака, связанная с цепочкой поставок, может нанести огромный ущерб, поскольку ее конечными жертвами являются малые и средние компании, которые полностью зависят от безопасности своих поставщиков. Как только последние пострадали от взлома, он распространяется как лесной пожар среди их бизнес-клиентов дальше по цепочке.
Патч и превентивные меры (по состоянию на 6 июля, 12:00 EDT)
Представители Kaseya посоветовали затронутым клиентам отключить свои локальные серверы VSA до дальнейшего уведомления и не нажимать на любые URL-адреса, связанные с программами-вымогателями, пообещав разработать исправление безопасности, прежде чем возвращать серверы в режим онлайн. Компания последовала этому примеру, также отключив свою инфраструктуру VSA SaaS. Специалисты по безопасности Kaseya надеются восстановить сервисы SaaS к 19:00 по восточноевропейскому времени сегодня, но они также планируют реализовать ряд усиленных мер безопасности, чтобы минимизировать риск заражения в будущем. Эти меры варьируются от настройки:
- Независимый центр управления безопасностью (SOC) для мониторинга каждого сервера VSA
- Дополнительная сеть доставки контента (CDN) с соответствующим брандмауэром веб-приложений (WAF) для каждого сервера VSA
- Инструмент обнаружения компрометации для клиентов, желающих протестировать свои локальные серверы VSA на предмет потенциальных нарушений.
- Патч для локальных клиентов VSA (уже разработан, в настоящее время проходит тестирование и проверку).
Если все пойдет по плану, клиенты VSA Kaseya смогут запустить свои серверы в течение следующих нескольких часов.