Как мы уже рассказывали ранее, в конце прошлой недели от масштабной атаки шифровальщика REvil (Sodinokibi) пострадал поставщик MSP-решений Kaseya. Хакеры использовали 0-day уязвимость в продукте компании (VSA) и атаковали клиентов Kaseya. Проблема заключается в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей.

Этот инцидент может стать крупнейшей вымогательской атакой в истории. Дело в том, что в отличие от атак WannaCry, NotPetya и Bad Rabbit, которые были более масштабными, те инциденты были связаны с «правительственными» хакерами, а не с финансово ориентированными группировками, каковой является REvil.

Пострадавшие компании получили записки с требованием выкупа в размере 50 000 долларов США (если зараженные машины не присоединены к домену) или 5 000 000 долларов США (если компьютер присоединен к домену, то есть является частью большой корпоративной сети).

Кроме того, операторы  REvil потребовали выкуп в размере 70 миллионов долларов США, и тогда пообещали опубликовать универсальный дешифратор, который может разблокировать все компьютеры, пострадавшие после взлома Kaseya. В настоящее время хакеры "снизили планку" до 50 миллионов долларов.

Вскоре после инцидента генеральный директор компании Фред Воккола (Fred Voccola) поспешил заверить СМИ, атака затронула менее 40 клиентов Kaseya из 36 000. Теперь в компании уточняют, что речь идет уже о 60 пострадавших, то есть MSP-провайдерах, через которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей. Ниже можно увидеть официальное заявление главы компании.

Напомню, что атаки REvil на серверы Kaseya VSA привели к проблемам в самых неожиданных местах, включая сеть супермаркетов Coop в Швеции, детские сады в Новой Зеландии и некоторые административные учреждения в Румынии. В настоящее время пять MSP публично признали, что подверглись атаке шифровальщика, это компании VelzArt, Hoppenbrouwers, Visma EssCom, Synnex и Avtex.

Интересно, что в Kaseya отказываются рассматривать случившееся как атаку на цепочку поставок. Так, в компании настаивают, что злоумышленники эксплуатировали уязвимость CVE-2021-30116 в VSA напрямую, но не вмешивались в кодовую базу с целью распространения малвари.

«Злоумышленники смогли использовать уязвимость нулевого дня в продукте VSA, чтобы обойти аутентификацию и запустить произвольное выполнение команд. Это позволило им использовать стандартные функции продукта VSA для развертывания программ-вымогателей на эндпоинтах. Нет никаких свидетельств того, что кодовая база VSA Kaseya была изменена», — заявляют в компании.

Эксперты «Лаборатории Касперского» уже подготовили свой анализ случившегося. Они пишут, что только в 2020 году операторы REvil заработали более 100 миллионов долларов и являются одной из наиболее активных хак-групп в своей области.

Специалисты рассказывают, что злоумышленники развернули вредоносный дроппер через скрипт PowerShell, который, в свою очередь, был выполнен через агент вендора:

Этот скрипт отключал функции Microsoft Defender, а затем использовал служебную программу certutil.exe для декодирования вредоносного исполняемого файла (agent.exe), который внедрял в систему настоящий бинарник Microsoft (MsMpEng.exe, более старая версия Microsoft Defender) и вредоносную библиотеку (mpsvc.dll), которая и была шифровальщиком REvil. Затем эта библиотека загружала легитимный MsMpEng.exe, используя метод «боковой загрузки» (side-loading) DLL.

По данным «Лаборатории Касперского», уже было зафиксировано более 5000 попыток атак в 22 странах.

 

Оставить мнение