Technológia

A REvil legénysége 70 millió dollárt akar a Kaseya ransomware-lopásból

Világszerte több mint 1000 különböző szervezet – köztük sok kis- és középvállalkozás (kkv) – 48 órán keresztül továbbra is zárva van a kritikus informatikai rendszerek elől. REvil / Sodinokibi ransomware támadás az IT által kezelt szolgáltatók (MSP-k) ellen, amelyet a Kaseya VSA végpont-kezelő és hálózati megfigyelő szolgáltatásának kompromisszuma révén rendeztek.

Az ellátási lánc támadása július 2-án, pénteken bontakozott ki az Egyesült Államokban a július 4-i ünnepi hétvége előtt. Július 5-én, hétfőn, brit idő szerint hajnali 4 órától, A Kaseya VSA szoftveres szolgáltatásként (SaaS) adatközpontjai és az érintett ügyfél-helyszíni kiszolgálók offline állapotban maradtak azzal a jelenlegi céllal, hogy a következő 24 órán belül egy ideig újraindítsák az adatközpontokat, majd ezt követően a Kaseya megkezdi az ütemezés javításának folyamatát on-prem ügyfelek.

Körülbelül egy órával korábban a REvil üzemeltetői jóváhagyták a támadást a sötét internetes kiszivárogtatási oldalukon, a Happy Blog néven közzétett közleményben. A banda azt mondta, hogy egymillió rendszert fertőzött meg, és 70 millió dollár váltságdíjat követelt bitcoinban, hogy egyetemes dekódolót biztosítson. Szerinte ez lehetővé teszi mindenki számára, hogy kevesebb mint egy órán belül visszanyerje a rendszereihez és az adataihoz való hozzáférést, bár nem valószínű, hogy a folyamat ennyire zökkenőmentes lenne. Ha kifizetik, a váltságdíj valószínűleg a valaha volt legnagyobb összeg, amelyet egy váltságdíjas program legénysége kicsikart.

Kutatók a kis- és középvállalkozások kiber specialistájáról, Huntress-ről – az egyik első válaszadó a helyszínen péntek este – azt mondja, hogy jelenleg az Egyesült Államokban, Ausztráliában, Európában és Latin-Amerikában 30 olyan tengeri területvédelmi szakembert követnek nyomon, akik a támadás áldozatává váltak. Azt mondták, megerősítették, hogy a REvil kizsákmányolással jutott el Kaseya VSA szolgáltatásához SQL injekciós biztonsági rés és biztosak abban, hogy hitelesítési bypass-t használtak a szerverek eléréséhez.

A támadás magas szintű figyelmet is felkeltett, riasztásokkal különböző kormányzati szervektől világszerte, míg Joe Biden amerikai elnök, aki nemrégiben harcolt Vlagyimir Putyinnal Az a tény, hogy a ransomware bandáknak látszólag szabadon működhetnek Oroszországon belül büntetlenül, vizsgálatot hirdetett.

Az időzités minden

Ellenőrző pont Ian Porteous, az Egyesült Királyság és Írország biztonsági tervezésének regionális igazgatója szerint REvil egyértelmű választása volt a támadás időzítése, amely egybeesik az Egyesült Államok nagy ünnepeivel. “A hétvégét választották, mivel tudják, hogy a vállalati informatikai munkatársak offline állapotba kerülnek, és a vállalatok gyakran egy csontvázon dolgoznak, ahol a szemek nem figyelnek” – mondta.

„Ez néhány szempontból segíti a fenyegetés szereplőit – lehetővé teszi a ransomware teljes körű telepítését, mielőtt bárki észrevenné, és nagyobb pánikot vált ki a reagálási műveletek során, ha az áldozat környezetének kulcsszereplői nem tudnak reagálni, ami növeli a váltságdíj esélyét az igény fizetésre kerül. ”

Járulékos károk

Ennek eredményeként az is valószínű, hogy sok szervezet vagy csak most fedezte fel, vagy hamarosan felfedezi, hogy biztosítékká váltak egy olyan támadás következtében, amely csak kis számú MSP-t célzott meg, így az érintett vállalkozások tényleges száma szinte elkerülhetetlenül meg fog emelkedni a jelenlegi 1000 körüli becslésről.

A már megjelent vállalkozások között van Svéd szupermarket lánc Coop, amely maga nem a Kaseya ügyfele. A lánc kénytelen volt több száz fiókot bezárni Svédországban, miután az értékesítési pont rendszerei kudarcot vallottak, amikor szoftverszolgáltatóját kivonták a támadásból. Valamikor a lánc egyes üzlethelyiségeinél látták, hogy ingyen adnak friss termékeket a pazarlás elkerülése érdekében.

IT komplexitás

Charl van der Walt, a biztonsági kutatás vezetője Narancssárga kibervédelem, azt mondta, hogy a Kaseya-támadás számos különféle tényező együttes következménye, amelyek együttesen az ilyen eseményeket virtuális elkerülhetetlenné teszik. Közülük elmondta, hogy a legfontosabb az informatikai kölcsönös függőség – az informatikai rendszerek és azok felhasználói nem elszigetelten működnek, ezért az ilyen esetek megsértése vagy kompromisszuma soha nem korlátozódik az elsődleges célra – jelen esetben a Kaseya ügyfelei.

“Egyszerűen nem engedhetjük meg magunknak, hogy a saját biztonságunkat elkülönítsük vagy elkülönítsük technológiai termékeink vagy szolgáltatóink biztonságától, vagy számtalan más gazdasági egységtől vagy kormányzati szervtől, akikkel megosztjuk a technológiát” – mondta van der Walt. „Az alaptechnológiáktól, a gyártóktól, a protokolloktól vagy az alapvető internetes rendszerektől, például a DNS-től vagy a CDN-től való közös függőség ugyanolyan szorosan köti össze a vállalkozásokat, mint a szálas kapcsolatok és az IP-hálózatok. A vállalkozások pedig összekötik a tőlük függő beszállítókat, az iparágakat, amelyekhez tartoznak, az országokat, ahol működnek, és végül az egész globális gazdaságot.

„Jellegüknél fogva az ellátási lánc támadások hatalmas terjedelmet és terjedelmet biztosítanak a támadónak, még akkor is, ha több erőforrást és időt igényel az elkövetése. E támadások gyakorisága ezért nem olyan fontos, mint azok hatása. Tekintettel az ilyen támadásokat lehetővé tevő szisztémás erők tartósságára, arra számítunk, hogy mind gyakoriságukban, mind hatásukban növekedni fognak. ”

Hitesh Sheth, az elnök és vezérigazgató Vectra AIazt mondta, reméli, hogy a támadás vitát vált ki az informatikai szolgáltatások üzleti modelljét kibontó kiberbiztonsági kérdésekről. “Amikor vállalkozása olyan termékre támaszkodik, mint a Kaseya VSA, akkor csak olyan biztonságban van, mint a szolgáltatója” – mondta. „Amikor több vállalkozás kihelyezi a kritikus funkciókat a felhőbe, a Kaseya-ügy fokozott kockázatot sugall.

„Mennyit értenek ezek a vállalkozások az eladóik biztonsági helyzetéből? Kellő hangsúlyt fektetnek a gyors támadások felderítésére? A válaszok ugyanúgy számítanak az ügyfeleknek, mint maguknak a szolgáltatóknak – mert biztonsági hiba esetén az ügyfelek adják meg a váltságdíjat. “

Figyelmeztetés a közelmúlt történelméből

Szélesebb körben, mondta Sheth, a támadás egyértelmű mintát terjesztett elő, amelyet a vállalkozások „túl lassan ismertek fel”.

Mint a SolarWinds eseménynél, A REvil behatolt egy szolgáltatóhoz, amely hosszú céllistához kapcsolódott. ”- mondta. „Ez hatékony módszer arra, hogy egyetlen csapással több fürtöt okozzon. Mivel a SolarWinds annyira sikeres volt, látnunk kellett volna egy újraszámlálást.

– Több mint fél év telt el a SolarWinds-eset felfedezése óta. Azóta hány szisztematikus biztonsági audit történt a felügyelt szolgáltatók és a SaaS-gyártók részéről? Egy sikeres kibertámadás során ezek a szervezetek akaratlan terjesztési központokká válnak a pusztításhoz. Minden ilyen eset leckét ad – de figyelnünk kell. ”

Állítsd le

Addig is, abban az eltűnően valószínűtlen esetben, ha a szervezete a Kaseya VSA-t futtatja, azt azonnal le kell állítani, bár valószínűleg már késő – mondta Porteous, aki hozzátette: „EDR, NDR és egyéb biztonsági felügyeleti eszközökkel ellenőrizze az új fájlok legitimitása a környezetben július 2. óta; ellenőrizze a biztonsági termékek forgalmazóitól, hogy ellenőrizzék-e a REvil ransomware védelmét; és ha segítségre van szükség, hívjon szakértői csoportot, hogy segítsen igazolni a környezet helyzetét. ”