Ataki typu ransomware (zbitka słów ransom "okup" i software "oprogramowanie") blokują dostęp do systemu komputerowego lub uniemożliwiają odczyt zapisanych w nim danych często poprzez techniki szyfrujące. Sprawcy takich ataków żądają zazwyczaj okupu za przywrócenie stanu poprzedniego.
Według firmy Huntress Labs Inc. specjalizującej się w bezpieczeństwie cybernetycznym hakerzy uderzyli w dostawców usług zarządzanych (MSP), którzy często zapewniają wsparcie w zakresie informatyki (IT) dla małych i średnich firm. Poprzez ataki na dostawcę usług zarządzanych, włamywacze mogą następnie uzyskać dostęp i infiltrować sieci komputerowe ich klientów.
Atak przypisuje się hakerom z grupy "REvil".
"Z tego, co wiemy teraz, jest osiem partnerów MSP, którzy zostali narażeni. Ich klienci pochodzą z co najmniej 200 firm, których dane w wyniku włamania zostały zaszyfrowane i stoją one w obliczu żądania zapłaty okupu" – mówił cytowany przez Bloomberga ekspert John Hammond z Huntress Labs, nie identyfikując wprost dostawców usług zarządzanych.
Liczba ofiar ataku wzrośnie
Spodziewa się, że liczba ofiar "znacznie wzrośnie" w miarę odkrywania kolejnych włamań.
Andrew Howard, dyrektor generalny szwajcarskiej firmy Kudelski Security uznał incydent za jeden a ataków o największym zasięgu przeprowadzonych przez podmioty niebędące państwami narodowymi. Ocenił, że został zaplanowany wyłącznie w celu wyłudzenia pieniędzy.
Bloomberg przytacza wypowiedź Jake Williamsa, głównego specjalisty ds. technologii w BreachQuest. Jest on zaznajomiony z wieloma atakami typu ransomware. Przypomniał on, że hakerzy żądali w takich przypadkach okupu w wysokości co najmniej 45 tys. dolarów USA. Jednak w przeszłości - jak podkreślił - grupy ransomware wymuszały jedną dużą płatność od dostawcy usług zarządzanych, a nie od wszystkich jego klientów. REvil szyfruje natomiast dane setek klientów MSP i żąda oddzielnie zapłaty od każdego z nich.
"Nie ma możliwości, by mieli odpowiednią przepustowość dla obsłużenia każdego indywidualnego przypadku w tym samym czasie. (…) Jeśli nadal będą postępować w ten sposób, rozwiązanie problemu zajmie tygodnie" – przewiduje Williams.
Bloomberg podkreśla, że naukowcy zajmujący się bezpieczeństwem cybernetycznym wskazali na firmę Kaseya, która tworzy oprogramowanie wykorzystywane przez dostawców usług zarządzanych, jako główny cel ataku. Kaseya w piątek doradziła swoim klientom wyłączenie oprogramowania Virtual System Administrator z powodu potencjalnego zagrożenia.
Badanie przyczyn
"Jesteśmy w trakcie badania przyczyny incydentu, ale zalecamy natychmiastowe wyłączenie serwera VSA do czasu otrzymania od nas dalszych informacji" - przekazały władze spółki Kaseya.
Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) potwierdziła, że doszło do włamań.
"CISA podejmuje działania, by zrozumieć i zająć się niedawnym atakiem typu ransomware na firmę Kaseya VSA i wielu dostawców usług zarządzanych (MSP), którzy wykorzystują oprogramowanie VSA" - oświadczyła agencja.
W opinii Allana Liska, starszego analityka zagrożeń w firmie Recorded Future Inc. zajmującej się bezpieczeństwem cybernetycznym, na którego powołuje się Bloomberg, to już trzeci raz, kiedy REvil obrał za cel firmę Kaseya.
REvil stał również za majowym atakiem ransomware na dostawcę mięsa JBS SA. Firma poinformowała, że ostatecznie zapłaciła 11 milionów dolarów okupu.
PAP/dad