В пятницу поток программ-вымогателей поразил сотни компаний по всему миру. Сеть продуктовых магазинов, общественная телекомпания, школы и национальная железнодорожная система – все были поражены вредоносным ПО для шифрования файлов, что привело к сбоям в работе и вынудило сотни предприятий закрыться.

У жертв было кое-что общее: ключевой элемент программное обеспечение для управления сетью и удаленного управления, разработанное американской технологической фирмой Kaseya. Компания со штаб-квартирой в Майами производит программное обеспечение, используемое для удаленного управления ИТ-сетями и устройствами компании. Это программное обеспечение продается поставщикам управляемых услуг – фактически переданным на аутсорсинг ИТ-отделам – которое они затем используют для управления сетями своих клиентов, часто более мелких компаний.

Но хакеры, связанные с связанной с Россией группой вымогателей REvil как услуги Предполагается, что они использовали невиданную ранее уязвимость в системе безопасности в механизме обновления программного обеспечения, чтобы распространить программы-вымогатели среди клиентов Kaseya, которые, в свою очередь, распространились среди своих клиентов. Многие из компаний, которые в конечном итоге стали жертвами атаки, возможно, не знали, что их сети контролировались программным обеспечением Kaseya.

Kaseya предупредила клиентов в пятницу, чтобы они «НЕМЕДЛЕННО» отключили свои локальные серверы и свою облачную службу – хотя не считается, что он затронут – был отключен в качестве меры предосторожности.

Джон Хаммонд, старший исследователь безопасности в Huntress Labs, компании по обнаружению угроз, которая одной из первых раскрыла атаку, сказал, что пострадали около 30 поставщиков управляемых услуг, что позволило программе-вымогателю распространиться на «Более 1000 предприятий». Фирма по безопасности ESET сообщила, что ей известно о жертвах в 17 странах, включая Великобританию, Южную Африку, Канаду, Новую Зеландию, Кению и Индонезию.

В понедельник вечером Kaseya сообщила в обновлении, что около 60 клиентов Kaseya пострадали и поставили количество жертв ниже чем в 1500 компаниях.

Теперь становится яснее, как хакеры осуществили одну из крупнейших атак с использованием программ-вымогателей в новейшей истории.

Голландские исследователи заявили, что они обнаружили несколько уязвимостей нулевого дня в программном обеспечении Касеи. в рамках исследования безопасности веб-инструментов администратора. (Нулевые дни называются так, поскольку они дают компаниям нулевые дни на устранение проблемы.) Об ошибках было сообщено Касее, и они находились в процессе исправления, когда хакеры нанесли удар, сказал Виктор Геверс, возглавляющий группу исследователей. в сообщении в блоге.

Главный исполнительный директор Kaseya Фред Воккола сказал The Wall Street Journal, что его корпоративные системы не были скомпрометированы, что еще больше подтверждает рабочую теорию исследователей безопасности о том, что серверы, управляемые клиентами Kaseya, были скомпрометированы индивидуально с использованием общей уязвимости.

Компания заявила, что все серверы, на которых запущено уязвимое программное обеспечение, должны оставаться в автономном режиме до тех пор, пока не будет готов патч. Voccola сообщила газете, что ожидает выпуска исправлений к вечеру понедельника.

Атака началась поздно вечером в пятницу, когда миллионы американцев выходили из системы в долгие выходные 4 июля. Адам Мейерс, старший вице-президент CrowdStrike по разведке, сказал, что атака была тщательно рассчитана по времени.

«Не заблуждайтесь, время и цель этой атаки не случайны. Это иллюстрирует то, что мы определяем как атака охоты на крупную дичь, направленную против цели, чтобы максимизировать воздействие и прибыль через цепочку поставок во время праздничных выходных, когда защита бизнеса не работает », – сказал Мейерс. Темный веб-сайт, управляемый REvil, взял на себя ответственность за атаку, и что группа вымогателей публично выпустит инструмент дешифрования, если ему заплатят 70 миллионов долларов в биткойнах.

«Более миллиона систем были заражены», – сказала группа. утверждения в сообщении.