В минувшую пятницу хакеры устроили атаку на разработчика MSP-решений для удалённого выполнения IT-задач – Kaseya. Теперь, несколько дней спустя, уже появились более детальные сведения о масштабах проблемы. В новом требовании выкупа злоумышленники утверждают, что взломали более 1 млн компьютеров, и для расшифровки данных на затронутых устройствах требуют $70 млн в криптовалюте Bitcoin.

Отмечается, что 2 июля связанная с Россией группировка хакеров-вымогателей REvil внедрила вредоносное обновление в один из продуктов Kaseya. В результате, оно было развёрнуто на устройствах поставщиков, использующих платформу Kaseya, и их клиентов.

Организация Dutch Institute for Vulnerability Disclosure (DIVD) заявила, что для взлома, похоже, использовался эксплойт, который она обнаружила и пыталась устранить, когда злоумышленники нанесли удар.

«Мы уже проводили обширное расследование средств резервного копирования и системного администрирования и их уязвимостей», — пишет DIVD. «Один из продуктов, который мы изучаем, — это Kaseya VSA. Мы обнаружили серьезные уязвимости в Kaseya VSA и сообщили о них Kaseya, с которой с тех пор поддерживаем регулярные контакты».

В пятницу генеральный директор Kaseya Фред Воколла заявил, что «затронуто лишь очень небольшой процент наших клиентов — в настоящее время по оценкам их менее 40 во всём мире».

Однако вице-президент Sophos Росс МакКерчар заявил в воскресенье, что «это одна из самых далеко идущих криминальных атак с использованием программ-вымогателей, которые когда-либо видела Sophos. На данный момент наши данные показывают, что пострадали более 70 поставщиков управляемых услуг, в результате чего пострадали более 350 организаций. Мы ожидаем, что полный перечень организаций-жертв будет больше, чем сообщается любой отдельной компанией по обеспечению безопасности».

Компания Huntress Labs принимает активное участие в ответных действиях на атаку и каталогизирует большую часть доступной информации. Она заявляет, что атака скомпрометировала более 1000 предприятий, которые она отслеживает.

Чиновники в США заявляют, что «ФБР и CISA (Агентство кибербезопасности) обратятся к идентифицированным жертвам для оказания помощи на основе оценки национального риска».

Пожалуй, пока что одной из компаний, наиболее заметно пострадавших от атаки вымогателей из REvil, является Coop – сеть из более чем 800 продуктовых магазинов в Швеции. Она вынуждена была закрыться в субботу, поскольку в результате атаки были отключены её кассовые аппараты. Заново открылись лишь некоторые магазины, в которых покупатели могут делать покупки с помощью мобильного приложения Coop Scan & Pay. Эксперты ожидают, что по мере возвращения работников в офисы количество выявленных жертв атаки может увеличиться.

Источник: The Vegre