Нова рансъмуер атака събори ключов ИТ доставчик

Рансъмуер атаките са сред най-ефективните оръжия на кибер-престъпниците
(снимка: CC0 Public Domain)

Американски кибер-полицаи са засекли мащабна нова рансъмуер атака, реализирана от същата група, която засегна доставчика на месо JBS Foods тази пролет. Сега злонамерения софтуер REvil е поразил широк кръг от компании за управление на ИТ и е компрометирал стотици техни корпоративни клиенти.

Кибер-престъпната банда се е насочила към ключов доставчик на софтуер, известен като Kaseya, чиито продукти се използват широко от компаниите за управление на ИТ, съобщи CNN Business, позовавайки се експерти по киберсигурност.

Новото нападение вече е унищожило поне дузина фирми за ИТ поддръжка, които разчитат на инструмента за дистанционно управление на Kaseya, наречен VSA, разкри Кайл Ханслован, главен изпълнителен директор на компанията за киберсигурност Huntress Labs. Поне в един от случаите, според Ханслован, нападателите вече са поискали откуп от 5 милиона долара.

Инцидентът засяга не само компаниите за управление на ИТ, но и техните корпоративни клиенти, които са им възложили своето ИТ управление, отбелязва Ханслован. Той е изчислил, че до 1000 малки и средни предприятия могат да бъдат засегнати от хакването.

През последните месеци киберпрестъпниците все по-често атакуват организации, които играят критична роля като икономически субекти.

„Ако използвате Kaseya VSA, затворете я още сега, веднага – докато не ви бъде казано да активирате отново и да инициирате [реакция на инцидент]”, обяви Кристофър Кребс, бивш директор на Агенцията за киберсигурност и сигурност на инфраструктурата при Министерството на националната сигурност на САЩ. Агенцията обяви, че работи за разбиране и решаване на проблема.

В публикация в блога си Kaseya казва, че е изключила своите облачни сървъри, докато разследва инцидента с VSA. „Разследваме потенциална атака срещу VSA, което показва, че е била ограничена само до малък брой наши локални клиенти”, поясняват от фирмата. „Проактивно изключихме нашите SaaS сървъри – от предпазливост”.

Новата атака използва тактика, подобна на тази при случая със SolarWinds, въпреки че сега злонамереният софтуер е използван за отвличане на мрежи на жертви, вместо за шпиониране.

Коментар