Sākumlapa » Notikumi » Izspiedēju grupējums REvil veicis piegādes ķēdes uzbrukumu vairākiem pārvaldīto pakalpojumu sniedzējiem (papildināts)

Izspiedēju grupējums REvil veicis piegādes ķēdes uzbrukumu vairākiem pārvaldīto pakalpojumu sniedzējiem (papildināts)

Izspiedēju grupējums REvil ir uzbrucis vairākiem pārvaldīto pakalpojumu sniedzējiem (MSP), kuru pārziņā ir tūkstošiem klientu datortīklu. Uzbrukums tiek saukts par Kaseya piegādes ķēdes uzbrukumu, tā kā visi viņi izmanto Kaseya VSA, kas ir mākonī bāzēta pārvaldīto pakalpojumu platforma.

Uzņēmums Kaseya, kuram saskaņā ar tā vietnē publicēto informāciju ir vairāk kā 40 000 klientu, savā palīdzības dienesta vietnē ir publicējis brīdinājumu, kurā aicina visus VSA klientus nekavējoties izslēgt savu VSA serveri, lai novērstu tālākus uzbrukumus, kamēr tiek veikta izmeklēšana.

Liela mēroga uzbrukumi bieži tiek rīkoti pirms brīvdienām, kad ir sagaidāma lēnāka reakcija uz tiem, bet šajā gadījumā tas ir noticis pirms 4. jūlija – ASV Neatkarības dienas. Ir zināms, ka vienam no cietušajiem uzņēmumiem, kuru varētu būt tūkstoši, ir pieprasīta aptuveni 5 000 000 ASV dolāru izpirkuma maksa ar palielinājumu līdz 10 000 000 pēc noteikta laika iztecēšanas. Šobrīd nav skaidrs, vai grupējums pirms datu šifrēšanas ir nozadzis tos, kā tas ir noticis iepriekšējos incidentos.

Papildināts 04.07.2021

Uzņēmums Kaseya ir izziņojis ielaušanās noteikšanas rīku sava attālās uzraudzības un pārvaldības produkta VSA klientiem. Rīks nav atrodams uzņēmuma vietnē, taču to var iegūt, nosūtot e-pastu uz support@kaseya.com ar tēmu “Compromise Detection Tool Request”.

Kā tagad ir kļuvis zināms, uzbrucēji izmantojuši Kaseya VSA nulles dienas ievainojamību, lai ar vairāku pārvaldīto pakalpojumu sniedzēju starpniecību piekļūtu lielam skaitam uzņēmumu un šifrētu datus to datorsistēmās.

Papildināts 05.07.2021

Izspiedēji REvil tagad apgalvo, ka viņi ir inficējuši vairāk nekā 1 000 000 galiekārtu, un piedāvā visiem kopēju datu atšifrēšanas atslēgu par 70 000 000 ASV dolāru.

Kā savā Twitter kontā raksta antivīrusu industrijas pionieris Mikko Hipponens, ja apgalvojums par 1 miljonu inficētu datorsistēmu atbilst patiesībai, tad mums ir darīšana ar lielāko izspiedējvīrusu incidentu vēsturē.

Papildināts 05.07.2021

Šķiet, ka izspiedēji ir gatavi tirgoties, jo viegli atvadās no 20 miljoniem.

Papildināts 06.07.2021

Uzņēmums VelzArt no Nīderlandes, kas klientu apkalpošanai izmantojis Kaseya platformu, savā tīmekļa dienasgrāmatā ar turpinājumiem apraksta atkopšanos pēc izspiedējvīrusu uzbrukuma. Lai gan dienasgrāmata ir lasāma ar automātisko tulku, tā dod interesantu ieskatu notikušajā “no iekšpuses”.

Tikmēr Zviedrijas veikalu ķēde Coop pēc uzbrukuma ir atvērusi daļu veikalu, bet daudzi vēl paliek ciet (skat. video zemāk).

Kā ziņu aģentūrai Reuters atzinis Kaseya vadītājs Freds Vokkola, tad uzbrukumā caur Kaseya platformu varētu būt cietuši no 800 līdz 1500 uzņēmumiem visā pasaulē.

Kaseya aicina klientus atslēgt antivīrusu aizsardzību noteiktām direktorijām.

Viens no pārsteigumiem, līdzīgi kā tas bija SolarWinds incidentā, ir tas, ka uzņēmums Kaseya ir aicinājis klientus atslēgt antivīrusu aizsardzību noteiktām direktorijām (skat. ekrānuzņēmumu augstāk), lai programmatūra Kaseya Agent “funkcionētu pienācīgi”.

ASV Kiberdrošības un infrastruktūras drošības aģentūras (CISA) un FIB vadlīnijas pārvaldīto pakalpojumu sniedzējiem un viņu klientiem, kas cietuši uzbrukumā caur Kaseya platformu, ir atrodamas šeit, bet Kaspersky ekspertu tehniskā analīze šeit.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 17 = 21

Uz augšu