Разделы

Безопасность Бизнес

Знаменитые хакеры остановили работу 500 супермаркетов

Кибергруппировка REvil провела еще одну успешную атаку на компанию, поставляющую мониторинговое ПО для MSP-провайдеров. Жертвами стали, возможно, тысячи компаний. Злоумышленники требуют $70 млн выкупа.

Сверхуспешная кибератака

Скандально известная киберкриминальная группировка REvil или кто-то из ее партнеров смогли заразить тысячи компаний своим шифровальщиком благодаря успешной атаке на компанию Kaseya, поставщика мониторингового ПО, которым пользуются многочисленные провайдеры ИТ-услуг (MSP).

Атака произошла в ночь 2 июля 2021 г. По всей видимости, злоумышленники использовали уязвимость нулевого дня в серверах внешнего администрирования (VSA) Kaseya. В самой компании об этой уязвимости узнали буквально за несколько дней до атаки и как раз тестировали патч, прежде чем выкатить его своим клиентам.

Однако REvil успели первыми. Атака накрыла около 40 компаний — клиентов Kaseya. Около 30 из них оказались MSP-провайдерами; все они получили фальшивый патч, содержавший код шифровальщика-вымогателя REvil/Sodinokibi. Провайдеры предоставляли ИТ-услуги приблизительно тысяче компаний разного масштаба по всему миру, соответственно, атака распространилась и на них.

Атака на одну фирму привела к заражению шифровальщиком тысяч предприятий

В Kaseya заявили, что ее специалисты делают все возможное, чтобы минимизировать ущерб и восстановить нормальное обслуживание своих клиентов.

«На данный момент мы стараемся реализовать постепенное восстановление деятельности наших серверных ферм SaaS с ограничением функциональности и повышенными мерами безопасности (это произойдет в ближайшие 24-48 часов, но возможны изменения) по регионам», — указывается в сообщении компании.

Kaseya также сотрудничает с правоохранительными органами и ИБ-компаниями, пытаясь выяснить, каким именно образом вредоносный код попал в ее системы. 900 клиентам компании предоставлены средства обнаружения компрометации, хотя, как уже сказано, атака затронула лишь малую их часть.

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО
Безопасность

Каков реальный масштаб бедствия, остается пока невыясненным. Известно, впрочем, что злоумышленники потребовали $70 млн за разблокирование доступа к данным всех, кого эта атака затронула.

Ситуация во многом сходна с инцидентом с SolarWinds: точно так же злоумышленники использовали мониторинговое ПО одной компании для проведения атак на множество бизнес- и государственных структур в США и других странах. Атака на SolarWinds имела далеко идущие политические последствия, и не исключено, что инцидент с Kaseya также окажется «политически заряженным».

Поддельный патч

По данным компании HuntressLabs, атака включала распространение поддельного обновления (Kaseya VSA Agent Hot-fix), который деактивировал защитные средства Windows. В систему также вбрасывался легитимный исполняемый файл Windows Defender (MsMPEng.exe), через который, однако, подгружалась вредоносная библиотека шифровальщика — файл mpsvc.dll.

По данным издания The Record, это уже третья атака со стороны REvil на Kaseya. Первая состоялась в феврале 2019 г., когда группировка именовалась Gandcrab. Используя плагин Kaseya для пакета Connect Wise Manage, злоумышленники загрузили шифровальшик в сети клиентов MSP.

Второй раз REvil атаковали уязвимости в Webroot Secure Anywhere и VSA-разработках Kaseya.

«Столь назойливый интерес легко объясним: Kaseya поставляет ПО для удаленного администрирования, а значит — средства доступа в сети тысяч различных предприятий, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Успешная атака на Kaseya — это успешная атака на них всех. Известно минимум об одной крупной торговой сети, шведской Coop, которая вынуждена была остановить обслуживание в 500 своих супермаркетах как раз из-за атаки на Kaseya».

В этих торговых точках просто перестали функционировать кассы. Coop является клиентом шведского MSP-провайдера Visma, который использует ПО Kaseya. Visma утверждает, что ее клиентская база достигает одного миллиона обслуживаемых организаций. Как минимум часть из них, соответственно, испытывает в настоящий момент проблемы с шифровальщиком REvil.

Роман Георгиев