Cel mai recent atac ransomware a afectat mii de companii din întreaga lume. În 2 iulie, hackerii au atacat compania americană de IT, Kaseya, și au blocat accesul la datele din rețeaua de computere, afectând zeci de mii de clienți.

Conform firmei de securitate Huntress Labs, grupul de hackeri ransomware, REvil, cu legături în Rusia, ar fi sursa atacului de vineri.

Kaseya este o companie cu sediul în Miami, care oferă servicii IT pentru întreprinderi mici și mijlocii, inclusiv instrumentul VSA pentru gestionarea rețelelor de servere, PC-uri și imprimante dintr-o singură sursă. Astfel, o parte dintre clienții Kaseya au descărcat fișierul care le-a blocat PC-urile, crezând că descărcau un update de securitate al companiei.

Cum s-a propagat atacul REvil în companii din toată lumea

Se pare că atacul este o combinație între un ransomware obișnuit și un atac de tipul „supply chain attack”, însă dus la un cu totul alt nivel. Pentru a-și propaga ransomware-ul către un număr mai mare de ținte, atacatorii au descoperit o vulnerabilitate în mecanismul de actualizare utilizat de compania de servicii IT Kaseya, care dezvoltă software utilizat pentru gestionarea rețelelor și dispozitivelor de afaceri, apoi vinde aceste instrumente către alte companii numite „managed service providers”. Acestea, contractează întreprinderi mici și mijlocii sau orice instituție care nu dorește să își gestioneze singură infrastructura IT. Prin însămânțarea ransomware-ului și utilizând mecanismul de distribuție de încredere al Kaseya, atacatorii au putut infecta infrastructura clienților Kaseya, pe măsură ce distribuiau în mod accidental malware către clienții lor.

Zeci de mii de companii afectate de atacul ransomware

Chiar dacă vineri se credea că au fost afectate puține companii (40 de firme), numărul era de fapt mult mai mare, deoarece o parte dintre clienții companiei americane sunt furnizori de tool-uri de securitate și tehnologie către alte sute de clienți. Compania susține că are mai mult de 40.000 de clienți. Astfel, atacul a paralizat companii de pe cinci continente.

Software-ul infectat a avut consecințe dezastruoase pentru unele companii: în Suedia, peste 800 de magazine ale celui mai mare lanț de supermarketuri și-au suspendat sâmbătă activitatea, iar școli și grădinițe din Noua Zeelandă au rămas offline.

Încă de vineri, Kaseya i-a sfătuit pe toți clienții să-și scoată serverele offline. Iar duminică după-amiază, Kaseya a anunțat că va încerca să repună serverele online peste noapte în Marea Britanie, Europa și Asia și apoi să facă același lucru în America de Nord luni după-amiază.

Răspunsul la atacul ransomware

Compania a lansat sâmbătă seara un instrument de detecție a compromisului („detection tool”) către aproape 900 de clienți care l-au solicitat. De asemenea, Kaseya a menționat duminică faptul că nu a primit noi rapoarte de compromis de sâmbătă. Compania lucrează atât cu FBI, cât și cu Agenţia americană pentru securitate cibernetică şi securitate a infrastructurii (CISA) pentru a investiga atacul și a monitoriza îndeaproape situația.

Negocierea cu hackerii

Hackerii care și-au asumat răspunderea pentru acest atac au cerut 70 de milioane de dolari în criptomonede pentru a înapoia toate datele afacerilor afectate, deși și-au exprimat dorința de a-și exprima cererile în conversațiile private cu un expert în securitate cibernetică și cu Reuters.

„Suntem întotdeauna gata să negociem”, a declarat luni un reprezentant al hackerilor pentru Reuters. Acesta a vorbit printr-o interfață de chat pe site-ul hackerilor, însă nu și-a furnizat numele.

CEO-ul Kaseya a vorbit cu reprezentanții Casei Albe din SUA, însă este rezervat în declarații atunci când vine vorba despre plata răscumpărării și a altor aspecte de acest gen: „Niciun comentariu cu privire la nimic în legătură cu negocierea în niciun fel cu teroriștii”.

Duminică după-amiază, Anne Neuberger, consilier adjunct pentru securitate națională pentru tehnologie cibernetică și emergentă, a declarat că Biden a „îndreptat resursele complete ale guvernului pentru a investiga acest incident”.

Atacul lansat vineri este considerat unul dintre cele mai mari și mai extinse de până acum. Iar acest incident de securitate cibernetică ne oferă o perspectivă asupra amploarei și pagubelor pe care le poate produce în lume. Tocmai de aceea, soluțiile de securitate cibernetică și vigilența sunt prioritare pentru mediul de business, care deține atât de multe date sensibile în mediul digital.

Vezi AICI un Checklist obligatoriu de respectat pentru orice companie în privința securității cibernetice [Sfaturi de la Sophos].

Surse utile:

https://www.reuters.com/technology/hackers-demand-70-million-liberate-data-held-by-companies-hit-mass-cyberattack-2021-07-05/

https://www.wired.com/story/revil-ransomware-supply-chain-technique/

https://www.cnet.com/news/ransomware-attack-on-kaseya-a-software-firm-threatens-businesses-worldwide/

• Despre
• Ultimele Postari

Gabriela

ONE-IT - Smart technologies, Cyber Security, Cloud, integrated IT solutions for business productivity.
Detalii despre noi: echipa One-IT

Ultimele postari ale lui Gabriela (vezi toate)

• Programul Digitalizarea ONG-urilor: schema de ajutor de minimis aprobată - 23 aprilie 2024
• Protejat: Evenimentul „Oportunități de digitalizare” – prezentări oferite de experții în digitalizare - 18 aprilie 2024
• Evenimentul „Oportunități de digitalizare” – inițiativa One-IT pentru dezvoltarea companiilor din nord-vest prin digitalizare - 18 aprilie 2024