Cel mai recent atac ransomware a afectat mii de companii din întreaga lume. În 2 iulie, hackerii au atacat compania americană de IT, Kaseya, și au blocat accesul la datele din rețeaua de computere, afectând zeci de mii de clienți.
Conform firmei de securitate Huntress Labs, grupul de hackeri ransomware, REvil, cu legături în Rusia, ar fi sursa atacului de vineri.
Kaseya este o companie cu sediul în Miami, care oferă servicii IT pentru întreprinderi mici și mijlocii, inclusiv instrumentul VSA pentru gestionarea rețelelor de servere, PC-uri și imprimante dintr-o singură sursă. Astfel, o parte dintre clienții Kaseya au descărcat fișierul care le-a blocat PC-urile, crezând că descărcau un update de securitate al companiei.
Cum s-a propagat atacul REvil în companii din toată lumea
Se pare că atacul este o combinație între un ransomware obișnuit și un atac de tipul „supply chain attack”, însă dus la un cu totul alt nivel. Pentru a-și propaga ransomware-ul către un număr mai mare de ținte, atacatorii au descoperit o vulnerabilitate în mecanismul de actualizare utilizat de compania de servicii IT Kaseya, care dezvoltă software utilizat pentru gestionarea rețelelor și dispozitivelor de afaceri, apoi vinde aceste instrumente către alte companii numite „managed service providers”. Acestea, contractează întreprinderi mici și mijlocii sau orice instituție care nu dorește să își gestioneze singură infrastructura IT. Prin însămânțarea ransomware-ului și utilizând mecanismul de distribuție de încredere al Kaseya, atacatorii au putut infecta infrastructura clienților Kaseya, pe măsură ce distribuiau în mod accidental malware către clienții lor.
Zeci de mii de companii afectate de atacul ransomware
Chiar dacă vineri se credea că au fost afectate puține companii (40 de firme), numărul era de fapt mult mai mare, deoarece o parte dintre clienții companiei americane sunt furnizori de tool-uri de securitate și tehnologie către alte sute de clienți. Compania susține că are mai mult de 40.000 de clienți. Astfel, atacul a paralizat companii de pe cinci continente.
Software-ul infectat a avut consecințe dezastruoase pentru unele companii: în Suedia, peste 800 de magazine ale celui mai mare lanț de supermarketuri și-au suspendat sâmbătă activitatea, iar școli și grădinițe din Noua Zeelandă au rămas offline.
Încă de vineri, Kaseya i-a sfătuit pe toți clienții să-și scoată serverele offline. Iar duminică după-amiază, Kaseya a anunțat că va încerca să repună serverele online peste noapte în Marea Britanie, Europa și Asia și apoi să facă același lucru în America de Nord luni după-amiază. Read More »