Кибергруппировка REvil провела
еще одну успешную атаку на компанию, поставляющую мониторинговое ПО для MSP-провайдеров. Жертвами стали, возможно, тысячи
компаний. Злоумышленники требуют $70 млн выкупа.
Сверхуспешная кибератака
Скандально известная киберкриминальная
группировка REvil или кто-то из ее партнеров смогли заразить тысячи компаний своим
шифровальщиком благодаря успешной атаке на компанию Kaseya, поставщика мониторингового ПО, которым
пользуются многочисленные провайдеры ИТ-услуг (MSP).
Атака произошла в ночь 2
июля 2021 г. По всей видимости, злоумышленники использовали уязвимость нулевого
дня в серверах внешнего администрирования (VSA) Kaseya. В самой компании об этой уязвимости узнали
буквально за несколько дней до атаки и как раз тестировали патч, прежде чем
выкатить его своим клиентам.
Однако REvil успели первыми. Атака
накрыла около 40 компаний — клиентов Kaseya. Около 30 из них оказались MSP-провайдерами; все они получили фальшивый патч,
содержавший код шифровальщика-вымогателя REvil/Sodinokibi. Провайдеры предоставляли ИТ-услуги
приблизительно тысяче компаний разного масштаба по всему миру, соответственно,
атака распространилась и на них.
В Kaseya заявили, что ее специалисты делают все возможное,
чтобы минимизировать ущерб и восстановить нормальное обслуживание своих
клиентов.
«На данный момент мы
стараемся реализовать постепенное восстановление деятельности наших серверных
ферм SaaS с
ограничением функциональности и повышенными мерами безопасности (это произойдет
в ближайшие 24-48 часов, но возможны изменения) по регионам», — указывается в
сообщении компании.
Kaseya также сотрудничает
с правоохранительными органами и ИБ-компаниями, пытаясь выяснить, каким именно
образом вредоносный код попал в ее системы. 900 клиентам компании предоставлены
средства обнаружения компрометации, хотя, как уже сказано, атака затронула лишь
малую их часть.
Каков реальный масштаб
бедствия, остается пока невыясненным. Известно, впрочем, что злоумышленники
потребовали $70 млн за разблокирование доступа к данным всех, кого эта атака
затронула.
Ситуация во многом сходна
с инцидентом с SolarWinds: точно так же злоумышленники использовали
мониторинговое ПО одной компании для проведения атак на множество бизнес- и
государственных структур в США и других странах. Атака на SolarWinds имела
далеко идущие политические последствия, и не исключено, что инцидент с Kaseya
также окажется «политически заряженным».
Поддельный патч
По данным компании HuntressLabs, атака включала
распространение поддельного обновления (Kaseya VSA Agent Hot-fix), который деактивировал защитные средства Windows. В систему также вбрасывался легитимный исполняемый файл Windows Defender (MsMPEng.exe), через который, однако,
подгружалась вредоносная библиотека шифровальщика — файл mpsvc.dll.
По данным издания The Record, это уже третья атака
со стороны REvil на Kaseya. Первая состоялась в
феврале 2019 г., когда группировка именовалась Gandcrab. Используя плагин Kaseya для пакета Connect Wise Manage, злоумышленники загрузили шифровальшик в сети
клиентов MSP.
Второй раз REvil атаковали уязвимости в Webroot Secure Anywhere и VSA-разработках Kaseya.
«Столь назойливый интерес
легко объясним: Kaseya поставляет ПО для удаленного администрирования, а значит — средства
доступа в сети тысяч различных предприятий, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Успешная атака на
Kaseya — это
успешная атака на них всех. Известно минимум об одной крупной торговой сети,
шведской Coop,
которая вынуждена была остановить обслуживание в 500 своих супермаркетах как
раз из-за атаки на Kaseya».
В этих торговых точках
просто перестали функционировать кассы. Coop является клиентом шведского MSP-провайдера Visma, который использует ПО Kaseya. Visma утверждает, что ее клиентская база достигает
одного миллиона обслуживаемых организаций. Как минимум часть из них,
соответственно, испытывает в настоящий момент проблемы с шифровальщиком REvil.
