Тысячи компаний в 17 странах: ущерб от новой атаки шифровальщика становится все серьезнее
Стали известны новые подробности про масштабную атаку на программное обеспечение для удаленного администрирования Virtual System Administrator (VSA) компании Kaseya. Шифровальщик-вымогатель, широко распространившийся через инфраструктуру VSA, внедрился в сети тысяч компаний в 17 странах, что заставило экспертов по кибербезопасности охарактеризовать атаку как крупнейшую в истории.
Эксперты предполагают, что внедрить вредоносное ПО в программное обеспечение VSA хакерам удалось через неназванную уязвимость "нулевого дня". Однако генеральный директор Kaseya Фред Воккола (Fred Voccola) пока не подтвердил эту версию, исключив при этом, что его сотрудники могли попасться на фишинг. Кроме того, он сказал, что не стоит возлагать всю вину за произошедшее на одну Kaseya, скорее всего взлому поспособствовали и какие-то иные программные продукты сторонних фирм. Как бы то ни было, в конечном итоге шифровальщик рассылался пользователям VSA вместе с автоматическим обновлением программы.
Атака, как предполагается, проведена группировкой REvil (считается, что она связана с Россией), которой не далее как в мае удалось получить выкуп в размере $11 млн с производителя мяса JBS. Новая атака отличается особо широким размахом, теперь список пострадавших включает сразу тысячи предприятий и государственных учреждений на всех континентах. Зловред проникает в сети компаний, шифрует все данные и требует от жертв выкуп за доступ к ключу шифрования. В качестве примера можно привести шведскую сеть продовольственных магазинов Coop: восемь сотен ее торговых точек не работают уже второй день из-за того, что шифровальщик поразил кассовые аппараты компании.
Генеральный директор Kaseya предупредил, что пострадавших по самым скромным оценкам тысячи, но в основном это небольшой бизнес вроде частных клиник, библиотек, дизайнерских фирм и проч. Шифровальщик выявлен как минимум в 17 странах, помимо США, атака зафиксирована в Великобритании, Южной Африке, Канаде, Аргентине, Мексике, Индонезии, Новой Зеландии и даже в Кении. Оценить полный масштаб бедствия не представляется возможным, поскольку в США на выходные выпал национальный праздник, и многие из фирм пока даже не в курсе, что в их сетях мог похозяйничать опасный зловред.
Размеры выкупов, судя по всему, сильно разнятся. С некоторых компаний хакеры требуют $5 млн, с некоторых - $500 тыс. Самый маленький выкуп, про который известно на данный момент, - $45 тыс. Как говорит эксперт по кибербезопасности Джон Хэммонд (John Hammond) из Huntress Labs, обычно при атаках шифровальщиков-вымогателей хакеры изучают содержимое зашифрованных файлов и определяют выкуп исходя из чувствительности данных. Однако на этот раз атака происходит широким фронтом, поэтому у хакеров, скорее всего, нет времени проводить подробный анализ целей.
Всего программное обеспечение VSA используют 37 тысяч клиентов, причем Kaseya утверждает, что шифровальщик успел распространиться только на 50-60 целей. Однако проблема в том, что 70 % из этих целей это компании, которые занимаются удаленным администрированием IT-инфраструктуры с использованием программного обеспечения VSA. И вот уже через них шифровальщик смог распространиться максимально широко. Вчера Kaseya выпустила специальную утилиту для проверки уязвимости сетей, ее, по словам компании, уже запросили примерно 900 клиентов.
Исправление для уязвимости, через которую вирус-шифровальщик атакует сети компаний, должно быть выпущено в течение ближайших дней. А пока Kaseya продолжает рекомендовать своим клиентам не включать серверы.