Фрэнк Баяк, Эрик Такер и Мэтт О’Брайен | Агентство новостей
ВАШИНГТОН. По словам исследователя кибербезопасности, чья компания занималась реагированием на инцидент, в пятницу в результате атаки вымогателя были парализованы сети как минимум 200 американских компаний.
Джон Хаммонд из охранной фирмы Huntress Labs сказал, что за атакой стоит REvil, главный русскоязычный синдикат программ-вымогателей. Он сказал, что злоумышленники напали на поставщика программного обеспечения под названием Kaseya, используя его пакет управления сетью в качестве канала для распространения программ-вымогателей через поставщиков облачных услуг. Другие исследователи согласились с оценкой Хаммонда.
«Касея работает с крупными предприятиями вплоть до малых предприятий по всему миру, поэтому, в конечном счете,[это]имеет потенциал распространения на бизнес любого размера и масштаба», — сказал Хаммонд в прямом сообщении в Twitter. «Это массивная и разрушительная атака на цепочку поставок». Такие кибератаки обычно проникают в широко используемое программное обеспечение и распространяют вредоносное ПО, пока оно автоматически обновляется.
Было не сразу ясно, сколько клиентов Cassis могут быть затронуты и кем они могут быть. В заявлении на своем веб-сайте Kaseya призвала клиентов немедленно выключить серверы, на которых запущено уязвимое программное обеспечение. Он сказал, что атака была ограничена «небольшим количеством» его клиентов.
Бретт Кэллоу, эксперт по программам-вымогателям из компании Emsisoft, занимающейся кибербезопасностью, сказал, что ему не было известно о каких-либо предыдущих атаках на цепочку поставок программ-вымогателей такого масштаба. Он сказал, что есть и другие, но довольно молодые.
«Это SolarWinds с программой-вымогателем», — сказал он. Он имел в виду российскую кампанию кибершпионажа, которая была обнаружена в декабре и распространилась путем заражения программного обеспечения для управления сетью, чтобы проникнуть в федеральные агентства США и десятки компаний.
Исследователь кибербезопасности Джейк Уильямс, президент Rendition Infosec, сказал, что он уже работал с шестью компаниями, пострадавшими от вымогателей. Он добавил, что это не случайно, что это произошло до выходных 4 июля, когда количество ИТ-персонала в целом было слабым.
«Я не сомневаюсь, что время здесь было выбрано намеренно», — сказал он.
Хаммонд из Huntress сообщил, что ему известно о четырех поставщиках управляемых услуг — компаниях, которые размещают ИТ-инфраструктуру для многих клиентов — которые были атакованы программой-вымогателем, которая шифрует сети, чтобы жертвы платили злоумышленникам. Он сказал, что тысячи компьютеров были заражены.
«В настоящее время у нас есть три партнера Huntress, затронутых почти 200 компаниями, работающими в сфере криптовалют, — сказал Хаммонд.
«Исходя из всего, что мы видим сейчас, мы твердо уверены, что это (и есть) Ревель / Суденикеби», — написал Хаммонд в Twitter. ФБР связывало того же поставщика программ-вымогателей с майской атакой на JBS SA, глобальную мясоперерабатывающую компанию.
Белый дом и Федеральное агентство по кибербезопасности и безопасности инфраструктуры не сразу ответили на сообщения с просьбой прокомментировать ситуацию.