Хакер #305. Многошаговые SQL-инъекции
Представители компании Kaseya, чьи клиенты недавно пострадали от атак шифровальщика REvil, сообщили, что в распоряжении компании появился универсальный инструмент для дешифрования данных. Эффективность инструмента уже подтвердили специалисты ИБ-компании Emsisoft.
«Вчера мы получили дешифратор от доверенной третьей стороны и успешно использовали его на пострадавших клиентах. Мы предоставляем техническую поддержку по использованию дешифратора», — пишет Дана Лидхольм, старший вице-президент по корпоративному маркетингу в Kaseya.
Напомню, что в начале июля клиенты поставщика MSP-решений Kaseya пострадали от масштабной атаки шифровальщика REvil (Sodinokibi). Тогда хакеры использовали 0-day уязвимости в продукте компании (VSA) и через них атаковали клиентов Kaseya. В настоящее время для этих уязвимостей уже выпущены патчи.
Основная проблема заключалась в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.
После этой атаки операторы REvil потребовали выкуп в размере 70 миллионов долларов США, и тогда пообещали опубликовать универсальный дешифратор, который может разблокировать все компьютеры. Вскоре группировка «снизила планку» до 50 миллионов долларов.
Однако в итоге хакерская группа полностью «исчезла с радаров», а сайты и вся инфраструктура вымогателя REvil в целом ушли в оффлайн без объяснения причин. Речь идет о целой сети обычных и даркнет-сайтов, которые используются для переговоров о выкупе, слива похищенных у жертв данных и внутренней инфраструктуры вымогателя. С 13 июля 2021 года все они по какой-то причине не работают. В результате многие компании остались без возможности восстановить свои данные, даже если они были готовы заплатить хакерам выкуп.
Пока в Kaseya отказываются сообщать, откуда взялся этот инструмент для расшифровки данных, но в компании заверили, что он универсален и подойдет для всех пострадавших MSP и их клиентов.