Над 1000 компании потенцијални жртви на голем ransomware напад

Над 20 сервиси на Kaseya кои ги користат мали и средни компании се цел на сајбер напад. Проценката е дека последици од нападите чувствуваат над 1000 компании кои го користат софтверот на Kaseya. Од една од жртвите е побаран откуп од 5 милиони долари, пренесе Bleeping Computer.

Американската ИТ-компанијата Kaseya од Флорида е првата жртва на нападот, а потоа по услугите кои ги нуди нападот се прошири на други компании. Осомничена за нападот е руската криминална група REvil. Таа неодамна беше обвинета и за напад врз најголемиот светски снабдувач со месо, компанијата JBS. Групата која е лоцирана во Русија не се поврзува со властите во Москва.

REvil ја презема одговорноста за нападите со дополнителен податок дека од нивниот напад се зафатени над 1 милион системи. Во пораката го понудија универзалниот декриптор за цена од 70 милиони американски долари во биткоин.

„Во петок (7. 2. 2021) лансиравме напад на MSP провајдери. Над 1 милион системи се инфицирани. Ако некој сака да преговара за универзален декриптор цената е 70 милиони долари во биткоин и ќе објавиме декриптор кој ги декодира фајловите на сите жртви, па сите ќе може да се опорават од нападот за помалку од 1 час…“

Безбедносната компанија Huntress Labs откри дека од Kaseya нападот се проширил на клиентите на компанијата кои го користат нивниот софтвер. Kaseya на 2 јули ги предупреди своите клиенти веднаш да ги исклучат VSA серверите, се додека не добијат дополнително известување.

Безбедносните експерти од Huntress Labs и Sophos велат дека нападот ја користи функционалноста за автоматска надградба. Најпрво Kaseya VSA испраќа малициозен фајл agent.crt во c:\kworking фолдерот, овој фајл се дистрибуира како „Kaseya VSA Agent Hot-fix“. Со PowerShell команда се исклучуваат дел од безбедносните функционалности на Microsoft Defender. Потоа со помош на certutil.exe се декодира agent.crt и се креира agent.exe кој започнува да ги криптира податоците.

Најголем  број на жртвите се во САД, но нападот е глобален. Над 500 продавници на шведскиот ланец на супермаркети Coop останаа затворени откако престанаа да работат касите и продажните места за само-наплата. Coop не ги користи услугите на Kaseya, но еден од провајдерите на софтвер кој го користат ги користи.

Supply chain“-напад е техника во која напаѓачот го крие својот код или компонента во системот за дистрибуција на софтвер или хардвер во кој корисниците имаат доверба. Потоа напаѓачот користејќи еден извор може да ги зарази нивните клиенти преку мрежата за дистрибуција на софтверот и надградбите на софтверот.

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии