В пятницу вечером в США была зарегистрирована крупная атака программы-вымогателя, которая парализовала сети как минимум 1000 различных компаний. Как предполагают исследователи безопасности, за атакой стоит группировка REvil, состоящая из русскоязычных хакеров.
Хакеры смогли внедриться в программное обеспечение для удалённого администрирования VSA (Virtual System Administrator) компании Kaseya и использовали его в качестве канала для распространения программы-вымогателя. Заразив широко используемое в IT-инфраструктуре ПО, они смогли добиться того, что вредоносный код распространяется вместе с автоматическими обновлениями VSA. Как написал в своём twitter-аккаунте Джон Хаммонд (John Hammond) из занимающейся кибербезопасностью фирмы Huntress Labs: «Kaseya обслуживает огромное количество компаний по всему миру, от средних до мелких, поэтому вредоносное ПО имеет потенциал разойтись повсеместно, вне зависимости от масштабов бизнеса. Из-за такого канала распространения это колоссальная и разрушительная атака».
Точных данных о количестве пострадавших пока нет. Сама Kaseya заявила, что от атаки пострадало «небольшое количество» пользователей. Тем не менее, она порекомендовала всем использующим уязвимое ПО компаниям незамедлительно отключить свои серверы.
Аналитик по кибербезопасности Бретт Кэллоу (Brett Callow) из фирмы Emsisoft прокомментировал, что он не видел атак программ-вымогателей такого масштаба: «Это что-то типа SolarWinds, только ещё и с вымогателем».
Эксперты обращают внимание и на то, что для атаки была специально подобрана особая дата — канун 4 июля, Дня независимости США, когда на рабочих местах находится минимальное количество IT-персонала.
В настоящее время уже известно как минимум о четырёх провайдерах IT-услуг, пострадавших от атаки. Через них были заражены тысячи компьютеров, данные на которых были зашифрованы вредоносном с целью получения выкупа. Как уточнил Хаммонд, он знает о 200 компаниях, потерявших доступ к информации в результате атаки. Сумма выкупа, которую требуют хакеры, начинается с $45 тыс.
«Основываясь на том, что мы узнали, мы почти уверены, что это REvil», — добавил Хаммонд в twitter. Эта группировка стала печально известна после атаки на крупнейшего в мире переработчика мяса JBS в мае. Стоит отметить, что REvil представляет собой довольно мощную команду, которая развивает сервис «вымогатель как услуга», то есть занимается разработкой вредоносного ПО, которое затем сдаётся в аренду третьим лицам.
Агентство по кибербезопасности и инфраструктурной безопасности США в пятницу вечером выступило с заявлением, что оно внимательно следит за ситуацией и работает с ФБР, чтобы собрать больше информации. На момент написания новости Kaseya продолжает оценивать ущерб, настоятельно не советует клиентам включать серверы, а при получении каких-либо сообщений от хакеров рекомендует не переходить по ссылкам.