Хакеры атаковали платформу удаленного управления ИТ Kaseya
Широкомасштабная кибератака с использованием программ-вымогателей проведена против платформы удаленного управления ИТ Kaseya и затронула многих ее клиентов, сообщило агентство по кибербезопасности США (CISA) 2 июля журналистам.
Агентство по кибербезопасности и безопасности инфраструктуры США заявило также, что оно «принимает меры для понимания и устранения недавней атаки вымогателей на Kaseya» и компании, использующие ее программное обеспечение.
Kaseya — платформа, позволяющая осуществлять удаленное управление компьютерными сетями. В частности, многие компании используют эту платформу для организации цепочек поставок, особенно от мелких производителей более крупным. При этом ПО для организации цепочек поставок создает не платформа, а другие IT-компании.
Так, Bloomberg сообщил, что пострадали два поставщика управления удаленными услугами, работавших на этой платформе: Synnex Corp. и Avtex LLC, а на самом деле пострадавших поставщиков около восьми. Однако, поскольку они поставляют услуги десяткам компаний, причем платформа считалась безопасной, то оказались зараженными компьютеры всех их клиентов.
Kaseya отключила свой облачный сервис для прекращения распространения вируса. Джон Хаммонд из фирмы Huntress Labs, занимающейся кибербезопасностью, сказал, что пострадали тысячи компьютеров. «В настоящее время у нас есть три партнера Huntress, услугами которых пользуются примерно 200 компаний, чьи данные оказались зашифрованы», — сказал он, назвав это «колоссальной и разрушительной атакой на цепочку поставок».
Бретт Кэллоу, эксперт по программам-вымогателям в Emsisoft, сказал AP, что ему ничего не было известно о каких-либо предыдущих атаках программ-вымогателей на цепочку поставок такого масштаба, назвав их «SolarWinds с помощью программ-вымогателей».
Правительство США обвинило Россию в прошлогоднем взломе SolarWinds — Москва отрицала какую-либо причастность, называя такие инсинуации «абсурдными» и «жалкими».
Взлом Kaseya чудесным образом случился на следующий день после того, как Агентство национальной безопасности США, CISA, ФБР и Национальный центр кибербезопасности Великобритании опубликовали совместное консультативное сообщение по кибербезопасности, в котором заявили: «Российское ГРУ проводит глобальную… кампанию по компрометации корпоративных и облачных сред».
И вот не прошло и суток, как в США уже знают: атака — дело рук REvil, группы хакеров, которую многие американские исследователи назвали «Русскоязычные». «Судя по всему, что мы видим сейчас, мы твердо верим, что это REvil / Sodinikibi», — сказал Хаммонд.
REvil — это группа хакеров, которую ФБР обвинило в майской атаке программ- вымогателей на JBS — бразильский мясоперерабатывающий конгломерат, который нарушил переработку и поставки мяса в США, Канаде и Австралии. 10 июня JBS признала, что заплатила хакерам выкуп в размере $11 млн, чтобы восстановить работу и предотвратить сбои в работе в будущем.
Утром 2 июня посольство России в Вашингтоне выступило с заявлением, в котором отметило, что «постоянные атаки на критически важные объекты инфраструктуры в России» исходят с территории США, и выразило надежду, что американцы «откажутся от практики необоснованных обвинений и сосредоточатся на профессиональной работе с российскими экспертами в целях укрепления международной информационной безопасности».