У п’ятницю ввечері в США була зареєстрована велика атака програми-здирника, яка паралізувала мережі як мінімум 1000 різних компаній. Як припускають дослідники безпеки, за атакою стоїть угрупування REvil, що складається з російськомовних хакерів.
Хакери змогли потрапити в програмне забезпечення для віддаленого адміністрування VSA (Virtual System Administrator) компанії Kaseya і використовували його в якості каналу для поширення програми-здирника. Заразивши широко використовується в IT-інфраструктурі ПЗ, вони змогли домогтися того, що шкідливий код поширюється разом з автоматичними оновленнями VSA. Як написав у своєму twitter-акаунті Джон Хаммонд (John Hammond) з займається кібербезпекою фірми Huntress Labs: «Kaseya обслуговує величезна кількість компаній по всьому світу, від середніх до дрібних, тому шкідливе ПО має потенціал розійтися повсюдно, незалежно від масштабів бізнесу. Через такого каналу поширення це колосальна і руйнівна атака ».
Точних даних про кількість постраждалих поки немає. Сама Kaseya заявила, що від атаки постраждало «невелику кількість» користувачів. Тим не менш, вона порекомендувала всім використовують вразливе ПО компаніям негайно відключити свої сервери.
Аналітик з кібербезпеки Бретт Келлоу (Brett Callow) з фірми Emsisoft прокоментував, що він не бачив атак програм-вимагачів такого масштабу: «Це щось типу SolarWinds, тільки ще й з здирником». Експерти звертають увагу і на те, що для атаки була спеціально підібрана особлива дата – напередодні 4 липня, Дня незалежності США, коли на робочих місцях знаходиться мінімальна кількість IT-персоналу.
В даний час вже відомо як мінімум про чотири провайдерів IT-послуг, які постраждали від атаки. Через них були заражені тисячі комп’ютерів, дані на яких були зашифровані шкідливий з метою отримання викупу. Як уточнив Хаммонд, він знає про 200 компаніях, які втратили доступ до інформації в результаті атаки. Сума викупу, яку вимагають хакери, починається з $ 45 тис.
«Грунтуючись на тому, що ми дізналися, ми майже впевнені, що це REvil», – додав Хаммонд в twitter. Це угрупування стала сумно відома після атаки на найбільшого в світі переробника м’яса JBS в травні. Варто відзначити, що REvil є досить потужну команду, яка розвиває сервіс «вимагач як послуга», тобто займається розробкою шкідливого ПО, яке потім здається в оренду третім особам.
Агентство з кібербезпеки і інфраструктурної безпеки США в п’ятницю ввечері виступило із заявою, що воно уважно стежить за ситуацією і працює з ФБР, щоб зібрати більше інформації. На момент написання новини Kaseya продовжує оцінювати збиток, настійно не радить клієнтам включати сервери, а при отриманні будь-яких повідомлень від хакерів рекомендує не переходити за посиланнями. Джерело