24.07.2021

Хакеры из REvil наносят удар, требуя выкупа

В минувшую пятницу, по меньшей мере, 200 американских компаний подверглись кибератаке с целью получения выкупа.

Эксперт охранной фирмы Huntress Labs Джон Хаммонд предполагает, что за нападениями стоит группа хакеров банды российских вымогателей REvil, которые нацелились на шантаж поставщика программного обеспечения под названием Kaseya, используя его пакет управления сетью в качестве канала для распространения вируса вымогателей через поставщиков облачных услуг.

Другие аналитики согласились с оценкой Хаммонда.

«Kaseya занимается крупными предприятиями вплоть до малого бизнеса по всему миру, поэтому, в конечном счете, последствия атаки могут затронуть любой размер или масштаб бизнеса», — сообщил Хаммонд в своем Twitter. «Это колоссальная и разрушительная атака на цепочку поставок».

Типы приводной кибератаки обычно проникают в широко используемое программное обеспечение и распространяют вредоносное ПО синхронно с его автоматическим обновлением.

Не сразу стало ясно, сколько клиентов Kaseya могут пострадать или кто они могут быть.

Kaseya призвала клиентов в заявлении на своем веб-сайте немедленно закрыть серверы, на которых запущено уязвимое программное обеспечение.

В нем говорилось, что атака была ограничена «небольшим числом» его клиентов.

Бретт Кэллоу, эксперт по хакерам вымогателям, работающий в компании по кибербезопасности Emsisoft, указывает, что ему не было известно о какой-либо предыдущей атаке на цепочку поставок вымогателей такого масштаба.

«Были и другие, но они были довольно незначительными», пояснил он.

«Это атака на SolarWinds, произведенная вымогателями», имея в виду российскую хакерскую кампанию по кибершпионажу, обнаруженную в декабре, которая распространилась путем заражения программного обеспечения для управления сетями, чтобы проникнуть в федеральные агентства США и десятки корпораций.

Исследователь кибербезопасности Джейк Уильямс, президент Rendition Infosec, сообщил, что он уже работал с шестью компаниями, пострадавшими от вымогателей.

Не случайно, что это произошло до выходных четвертого июля, когда штат сотрудников, как правило, невелик, добавил он.

«У меня нет никаких сомнений в том, что выбор времени здесь был преднамеренным», — считает он.

Хаммонд из Huntress утверждает, что ему известно о четырех поставщиках управляемых услуг-компаниях, которые размещают ИТ — инфраструктуру для нескольких клиентов, — пострадавших от вымогателей, которые шифруют сети до тех пор, пока жертвы не расплатятся с злоумышленниками. По его информации — пострадали тысячи компьютеров.

«В настоящее время у нас есть три партнера-охотницы, которые связаны примерно с 200 предприятиями, которые были зашифрованы», — сказал Хаммонд.

Хаммонд написал в Твиттере: «Основываясь на всем, что мы видим прямо сейчас, мы твердо верим, что это (является) оскорблением/Содиникиби.» ФБР связало одного и того же поставщика программ-вымогателей с майской атакой на JBS SA, крупнейшего мирового производителя мяса.

Федеральное агентство по кибербезопасности и инфраструктурной безопасности заявило в заявлении поздно вечером в пятницу, что оно внимательно следит за ситуацией и сотрудничает с ФБР для сбора дополнительной информации о ее воздействии.

CISA призвала всех, кто может пострадать, «следовать указаниям Kaseyas, чтобы немедленно закрыть серверы VSA.» Kaseya запускает то, что называется виртуальным системным администратором, или VSA, который используется для удаленного управления и мониторинга сети клиентов.

Частная компания Kaseya утверждает, что она базируется в Дублине, Ирландия, со штаб-квартирой в США в Майами.

Газета Miami Herald недавно описала ее как «одну из старейших технологических компаний Майами» в отчете о своих планах нанять до 500 сотрудников к 2022 году для работы на недавно приобретенной платформе кибербезопасности.

Брайан Хонан, ирландский консультант по кибербезопасности, сообщил по электронной почте в пятницу, что «это классическая атака на цепочку поставок, когда преступники скомпрометировали надежного поставщика компаний и злоупотребили этим доверием, чтобы атаковать своих клиентов.»

Он уверен, что малым предприятиям может быть трудно защититься от такого типа атак, потому что они «полагаются на безопасность своих поставщиков и программное обеспечение, которое используют эти поставщики.»

Единственная хорошая новость, пояснил Уильямс, из Rendition Infosec, заключается в том, что «у многих наших клиентов нет Kaseya на каждой машине в их сети», что затрудняет злоумышленникам перемещение по компьютерным системам организаций.

Данное обстоятельство  облегчает возможность восстановления сетей.

Действующая с апреля 2019 года группа, известная как REvil, предоставляет вымогателей как услугу, что означает, что она разрабатывает программное обеспечение, парализующее сеть, и сдает его в аренду так называемым аффилированным лицам, которые заражают цели и получают львиную долю выкупов.

REvil входит в число банд вымогателей, которые крадут данные у целей перед активацией вымогателей, усиливая свои усилия по вымогательству.

Средний размер выкупа, выплаченного группе, в прошлом году составил около полумиллиона долларов, говорится в недавнем отчете компании по кибербезопасности Palo Alto Networks.

Некоторые эксперты по кибербезопасности предсказывали, что банде может быть трудно вести переговоры о выкупе, учитывая большое количество жертв, хотя долгие праздничные выходные в США могут дать ей больше времени для начала работы над списком.

Между тем, не приводится веских доказательств, что банда состоит из российских хакеров и тем более, нет свидетельств того, что она аффилирована с российскими спецслужбами.

В субботу президент США Джо Байден заявил журналистам, что пока не ясно, кто стоит за последним нарушением кибербезопасности, нанесшим удар по американскому бизнесу, но настаивал на том, что он «ответит», если это будет связано с президентом России Владимиром Путиным.

«Мы не уверены, кто это», — сказал он, отмечая начало уик-энда 4 июля на вишневой ферме в Центральном озере, штат Мичиган.

«Первоначально мы думали, что это было не российское правительство, но мы еще не уверены».

Он добавил: «Если это произойдет либо с ведома России, либо вследствие ее последствий, я сказал Путину, что мы ответим».

Предупреждение прозвучало после того, как два лидера встретились на Женевском саммите в прошлом месяце, где Байден предупредил Путина, что если хакеры вымогатели из России продолжат атаковать США, то последствия будут неминуемы.

Оригинал статьи здесь.

Поделиться
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Добавить комментарий

Ваш адрес email не будет опубликован.

Яндекс.Метрика