Интересно Шифровальщик REvil атаковал поставщика MSP-решений Kaseya. Хакеры потребовали 70 млн долларов

RutoR

Denik

Original poster
Ufo Member
Сообщения
1 381
Реакции
1 424
Посетить сайт
Поздно вечером в минувшую пятницу, накануне 4 июля (в это время в США празднуют День независимости) операторы вымогателя REvil (Sodinokibi) получили доступ к инфраструктуре MSP-провайдера Kaseya, и внедрили вредоносное обновление в программу VSA, в результате чего пострадали множество компаний-клиентов Kaseya.

Похоже, этот инцидент может стать крупнейшей вымогательской атакой в истории. Дело в том, что в отличие от атак WannaCry, NotPetya и Bad Rabbit, которые были более масштабными, те инциденты были связаны с «правительственными» хакерами, а не с финансово ориентированными группировками, каковой является REvil.


Взлом​

Впервые об инциденте стало известно благодаря

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, посвященному поставщикам управляемых услуг (Managed services providers, MSP). Такие компании предоставляют удаленные ИТ-услуги малому бизнесу, не имеющему собственных ИТ-отделов, и именно такие компании составляют клиентскую базу Kaseya.

Вскоре специалисты компании Sophos сообщили, что атака носит массовый характер, так как злоумышленники внедрили вредоносное обновление в один из продуктов Kaseya, VSA. В итоге шифровальщик REvil был развернут в клиентских системах, и пострадавшие компании получили записки с требованием выкупа в размере 50 000 долларов США (если зараженные машины не присоединены к домену) или 5 000 000 долларов США (если компьютер присоединен к домену, то есть является частью большой корпоративной сети).


1625503087083.png

Представители Kaseya оперативно

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

как можно быстрее отключить VSA до дальнейшего уведомления, а также закрыли собственную облачную инфраструктуру, пытаясь изгнать хакеров из своих систем. Сейчас в компании утверждают, что уже нашли использованную хакерами уязвимость и работают над ее устранением.

Также известно, что компания привлекла экспертов FireEye и ряд других киберкриминалистов для помощи в расследовании инцидента и выпустила для своих клиентов специальный инструмент Compromise Detection Tool, чтобы помочь им определить, пострадали ли они в ходе этой атаки.

Интересно, что по

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

Голландского института раскрытия уязвимостей (DIVD), злоумышленники использовали уязвимость в серверах Kaseya VSA, которую один из исследователей обнаружил за несколько недель до этого.

«Исследователь DIVD Витсе Бунстра (Wietse Boonstra) ранее обнаружил ряд уязвимостей нулевого дня [CVE-2021-30116], которые в настоящее время используются в атаках программ-вымогателей. И да, мы сообщали об этих уязвимостях Kaseya в соответствии с принципами ответственного раскрытия информации», — пишет глава DIVD Виктор Геверс.
Геверс утверждает, что инженеры Kaseya уже работали над исправлением проблемы, когда произошла атака, однако не сообщает никаких подробностей о самом баге и о том, как злоумышленники вообще могли узнать об этой проблеме.

В свою очередь, ИБ-компания Huntress Labs, которая одной из первых зафиксировала атаки,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, что все признаки указывают на то, что уязвимость связана обходом аутентификации в веб-интерфейсе VSA. Похоже, баг использовался для обхода аутентификации, а затем для запуска команд SQL и развертывания вымогателя на всех подключенных клиентах. В клиентских сетях через VSA разворачивался «VSA agent hotfix», который обходил антивирусные продукты с помощью старых и уязвимых версий Microsoft Defender, а затем шифровал машины жертв.

Также Huntress Labs пишет, что инцидент затронул не менее 20 MSP-провайдеров.

DIVD сообщает, что специалисты просканировал интернет в поисках серверов VSA, и в настоящее время к сети подключено менее 140 из 2200 серверов, которые были активны до атак. Судя по всему, последствия атаки могли быть намного хуже, если бы сотрудники Kaseya не поспешили закрыть свою инфраструктуру и не призвали владельцев VSA отключить свои серверы.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Последствия​

Хотя продукты Kaseya используют десятки тысячи клиентов, вскоре после атаки генеральный директор компании Фред Воккола (Fred Voccola) поспешил заверить СМИ, атака затронула менее 40 из них. Однако проблема заключается в том, что большинство серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей, даже если от компрометации Kaseya пострадали всего 40 серверов VSA.

Так, среди MSP-провайдеров, которые уже признали, что пострадали в ходе этого инцидента, числятся

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

Также известно о том, что Coop, одна из крупнейших сетей супермаркетов Швеции, закрыла почти 800 магазинов по всей стране, так как пострадала от атаки шифровальщика REvil. Хотя Coop обвинила в случившемся одного из своих поставщиков, инцидент произошел в то же время, когда хакеры проникли в сеть Kaseya. То есть упомянутый поставщик, очевидно, был клиентом компании.

1625503294462.png
В Kaseya заявляют, что намерены поочередно возвращать SaaS центры обработки данных в онлайн, начиная с ЕС, Великобритании и Азиатско-Тихоокеанского региона, за которыми следуют центры обработки данных в Северной Америке.

На данный момент полный масштаб инцидента еще остается неясным, но случившееся вызвало бурную реакцию со стороны правоохранительных органов. Президент США Джо Байден уже обратил внимание на случившееся и приказал спецслужбам расследовать взлом, затронувший сотни американских предприятий. Представители ФБР сообщили, что работают над расследованием совместно с Агентством по кибербезопасности и защите инфраструктуры, организованном при Министерстве внутренней безопасности США (DHS CISA).

70 000 000 долларов​

Операторы REvil, в свою очередь, и вовсе требуют выкуп в размере 70 миллионов долларов США, и тогда обещают опубликовать универсальный дешифратор, который может разблокировать все компьютеры, пострадавшие после взлома Kaseya.

Хакеры опубликовали соответственное сообщение в своем блоге, где официально взяли на себя ответственность за эту атаку и заявили, что заблокировали более миллиона систем.

«В пятницу (02.07.2021) мы начали атаку на провайдеров MSP. Было заражено более миллиона систем. Если кто-то хочет договориться об универсальном дешифраторе — наша цена 70 000 000 $ в BTC, и мы опубликуем дешифратор, который расшифровывает файлы всех жертв, так что каждый сможет оправиться от атаки менее чем за час. Если вы заинтересованы в такой сделке, свяжитесь с нами, используя инструкцию из файла readme», — пишут злоумышленники.

1625503431672.png

Источник:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Шифровальщик Wagner: вымогательство, вербовка или пустой звук? Новости в сети 0
A Alice in The Land of Malware | Ransomware (Шифровальщик) Корзина 0
B Проверено [SELL] Легкий Быстрый шифровальщик JALO :: [C++ WinAPI, offline] Продажа софта 1
Denik Интересно Шифровальщик Shade (Troldesh) прекращает работу. Опубликованы 750 000 ключей Новости в сети 0
G Пишем шифровальщик на python Полезные статьи 0
G Краткое знакомство с алгоритмами. Серверный шифровальщик на PHP. Mcrypt и SHA256. Полезные статьи 0
S Шифровальщик Locky вернулся, но атакует только системы на базе Windows XP и Vista Новости в сети 0
Support81 От просьбы Байдена до приговора: суд вынес вердикт по делу REvil Новости в сети 0
Support81 В Санкт-Петербурге стартовали слушания по делу хакеров REvil Новости в сети 0
Support81 Участник REvil получил почти 14 лет тюрьмы в США Новости в сети 0
Support81 В деле хакеров REvil не нашли нарушения подследственности Новости в сети 0
Denik Интересно ФСБ сообщило, что члены хак-группы REvil арестованы по запросу США Новости в сети 5
Support81 Scattered Spider и BlackCat: кто на самом деле атаковал американские казино? Новости в сети 0

Название темы

Русскоязычный Даркнет Форум