В пятницу 2 июля стало известно об атаке на Kaseya, программное обеспечение для удаленного менеджмента IT-инфраструктуры. Злоумышленники взломали серверы, на которых работает решение Kaseya VSA, и, по неподтвержденной информации, зашифровали данные более чем тысячи организаций, использующих это ПО. Ответственна за атаку группировка REvil, требующая от жертв выкуп в размере от 50 тысяч до 5 миллионов долларов.
Очередная атака с вымогательством бьет в одно из самых слабых мест глобальной IT-инфраструктуры — относительно небольшие организации, полностью делегирующие администрирование и техподдержку стороннему поставщику. Злоумышленники как будто намеренно перешли к активной фазе в пятницу, а в США еще и перед длинными выходными. Масштаб и последствия атаки пока не до конца ясны, но пользователям Kaseya VSA в версии, устанавливаемой на стороне заказчика, пока рекомендуется выключить сервер целиком.
Источники:
— Официальное сообщение Kaseya.
— Пост в блоге компании Sophos с некоторыми индикаторами взлома. Подробное описание атаки от них же.
— Обсуждение на Reddit с данными сервис-провайдера Huntress Labs.
— Новость на The Record. Новость на Bleeping Computer с обсуждением суммы выкупа.
В официальном бюллетене представители Kaseya выразили готовность опубликовать полную информацию о расследовании инцидента, но так как сама компания узнала о взломе 2 июля, рассказывать пока особо нечего. Компания сообщает о 36 тысячах клиентов, потенциально подверженных атаке, но утверждает, что реальных жертв немного — около 40. На Reddit есть неподтвержденная информация о более чем тысяче пострадавших организаций (возможно, это просто разные способы подсчета — например, взлом небольшого числа провайдеров IT-услуг мог привести к компрометации их клиентов). Есть один публично подтвержденный случай — атака на шведскую сеть супермаркетов Coop:
В пятницу ей пришлось закрыть 800 магазинов по всей стране: вышли из строя кассовые аппараты, из-за чего работа розничной сети остановилась. Часть торговых точек открылась в воскресенье со временным решением — оплатой покупок через приложение на телефоне. По сообщению провайдера IT-услуг Huntress Labs, для взлома серверов использовалась SQL-инъекция. В Kaseya указывают на наличие уязвимости именно в устанавливаемых локально версиях ПО. Клиенты, которые используют облачную версию Kaseya VSA, не пострадали, но на всякий случай разработчики отключили и эту инфраструктуру.
По данным Sophos, после взлома запускается вредоносное ПО, маскирующееся под обновление Kaseya VSA. Эта маскировка — важное условие для успешной атаки, так как инструкция по внедрению ПО требует от клиентов добавить ряд исполняемых файлов в исключения защитных решений. В отличие от других кампаний, в проанализированном вредоносном коде нет функций, отвечающих за кражу данных — только шифрование с требованием выкупа.
Издание Bleeping Computer собрало информацию о сумме выкупа. Изначально сообщалось о минимальной сумме выкупа в 44 тысячи долларов, максимальное требование — 5 миллионов долларов для пострадавших поставщиков IT-сервисов. На самом деле организаторы атаки требуют по 44 тысячи за группу файлов с определенным расширением. Образцы переписки с киберпреступниками показывают, что для небольших организаций более вероятны требования в полмиллиона долларов за полную расшифровку всех данных.
Пользователям Kaseya VSA рекомендуют выключить сервер с установленным программным обеспечением до прояснения ситуации. Вендор приватно рассылает клиентам утилиту для проверки целостности ПО. К расследованию инцидента подключились правоохранительные органы США.
Что еще произошло
Еще одна головная боль для системных администраторов — уязвимость в службе печати, актуальная для всех версий Windows (CVE-2021-34527). Для уязвимости пока нет патча, при этом ее активно эксплуатируют. Есть временное решение — отключение службы Print Spooler. Для уязвимости появился публичный эксплойт, что, скорее всего, произошло в результате недопонимания между исследователями, обнаружившими проблему, и вендором.
Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли.
Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных.
Эксперты «Лаборатории Касперского» опубликовали обзор киберугроз для геймеров. Интересный факт: резко выросло число срабатываний антивируса на вредоносное ПО «игровой тематики» в ноябре-декабре 2020 года, что, возможно, связано с выходом игры Cyberpunk 2077 и предположительно было вызвано активным поиском либо пиратских версий игры, либо неофициальных патчей для нее.
Очередная атака с вымогательством бьет в одно из самых слабых мест глобальной IT-инфраструктуры — относительно небольшие организации, полностью делегирующие администрирование и техподдержку стороннему поставщику. Злоумышленники как будто намеренно перешли к активной фазе в пятницу, а в США еще и перед длинными выходными. Масштаб и последствия атаки пока не до конца ясны, но пользователям Kaseya VSA в версии, устанавливаемой на стороне заказчика, пока рекомендуется выключить сервер целиком.
Источники:
— Официальное сообщение Kaseya.
— Пост в блоге компании Sophos с некоторыми индикаторами взлома. Подробное описание атаки от них же.
— Обсуждение на Reddit с данными сервис-провайдера Huntress Labs.
— Новость на The Record. Новость на Bleeping Computer с обсуждением суммы выкупа.
В официальном бюллетене представители Kaseya выразили готовность опубликовать полную информацию о расследовании инцидента, но так как сама компания узнала о взломе 2 июля, рассказывать пока особо нечего. Компания сообщает о 36 тысячах клиентов, потенциально подверженных атаке, но утверждает, что реальных жертв немного — около 40. На Reddit есть неподтвержденная информация о более чем тысяче пострадавших организаций (возможно, это просто разные способы подсчета — например, взлом небольшого числа провайдеров IT-услуг мог привести к компрометации их клиентов). Есть один публично подтвержденный случай — атака на шведскую сеть супермаркетов Coop:
В пятницу ей пришлось закрыть 800 магазинов по всей стране: вышли из строя кассовые аппараты, из-за чего работа розничной сети остановилась. Часть торговых точек открылась в воскресенье со временным решением — оплатой покупок через приложение на телефоне. По сообщению провайдера IT-услуг Huntress Labs, для взлома серверов использовалась SQL-инъекция. В Kaseya указывают на наличие уязвимости именно в устанавливаемых локально версиях ПО. Клиенты, которые используют облачную версию Kaseya VSA, не пострадали, но на всякий случай разработчики отключили и эту инфраструктуру.
По данным Sophos, после взлома запускается вредоносное ПО, маскирующееся под обновление Kaseya VSA. Эта маскировка — важное условие для успешной атаки, так как инструкция по внедрению ПО требует от клиентов добавить ряд исполняемых файлов в исключения защитных решений. В отличие от других кампаний, в проанализированном вредоносном коде нет функций, отвечающих за кражу данных — только шифрование с требованием выкупа.
Издание Bleeping Computer собрало информацию о сумме выкупа. Изначально сообщалось о минимальной сумме выкупа в 44 тысячи долларов, максимальное требование — 5 миллионов долларов для пострадавших поставщиков IT-сервисов. На самом деле организаторы атаки требуют по 44 тысячи за группу файлов с определенным расширением. Образцы переписки с киберпреступниками показывают, что для небольших организаций более вероятны требования в полмиллиона долларов за полную расшифровку всех данных.
Пользователям Kaseya VSA рекомендуют выключить сервер с установленным программным обеспечением до прояснения ситуации. Вендор приватно рассылает клиентам утилиту для проверки целостности ПО. К расследованию инцидента подключились правоохранительные органы США.
Что еще произошло
Еще одна головная боль для системных администраторов — уязвимость в службе печати, актуальная для всех версий Windows (CVE-2021-34527). Для уязвимости пока нет патча, при этом ее активно эксплуатируют. Есть временное решение — отключение службы Print Spooler. Для уязвимости появился публичный эксплойт, что, скорее всего, произошло в результате недопонимания между исследователями, обнаружившими проблему, и вендором.
Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли.
Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных.
Эксперты «Лаборатории Касперского» опубликовали обзор киберугроз для геймеров. Интересный факт: резко выросло число срабатываний антивируса на вредоносное ПО «игровой тематики» в ноябре-декабре 2020 года, что, возможно, связано с выходом игры Cyberpunk 2077 и предположительно было вызвано активным поиском либо пиратских версий игры, либо неофициальных патчей для нее.