Новый вид программ-вымогателей поразил сотни компаний

Очевидная атака на цепочку поставок использовала программное обеспечение управления IТ Kaseya для одновременного шифрования «огромного» количества жертв, сообщает wired.

ВЕРОЯТНО неизбежно, что две доминирующие угрозы кибербезопасности этого времени – атаки на цепочки поставок и программы-вымогатели – объединятся, чтобы нанести серьезный ущерб.

Именно это и произошло в пятницу днем, когда печально известная преступная группировка REvil успешно зашифровала файлы сотен предприятий одним махом, очевидно, благодаря взломанному программному обеспечению для управления ИТ. И это только начало.

Ситуация все еще развивается, и некоторые детали – самое главное, как злоумышленники проникли в программное обеспечение – остаются неизвестными.

Но воздействие уже было серьезным и будет только ухудшаться, учитывая характер целей.

Рассматриваемое программное обеспечение, Kaseya VSA, популярно среди так называемых поставщиков управляемых услуг, которые предоставляют ИТ-инфраструктуру для компаний, что предпочитают передать такие вещи на аутсорсинг, чем запускать их самостоятельно.

Это означает, что если вы успешно взломаете MSP, у вас внезапно появится доступ к его клиентам.

В этом разница между взламыванием сейфов по отдельности и кражей отмычки управляющего банком.

На данный момент, по данным охранной компании Huntress, REvil взломал восемь MSP.

Трое, с которыми работает Huntress, напрямую составляют 200 компаний, которые в пятницу обнаружили, что их данные зашифрованы.

Не требуется особой экстраполяции, чтобы увидеть, насколько все станет хуже, особенно с учетом повсеместного распространения “Касеи”.

«Kaseya – это Coca-Cola удаленного управления», – говорит Джейк Уильямс, технический директор компании BreachQuest, занимающейся реагированием на инциденты.

«Поскольку у нас праздничные выходные, мы даже не узнаем, сколько пострадавших там, до вторника или среды следующей недели. Но это монументально».

Худший из обоих миров

MSP долгое время были популярной целью, особенно для хакеров из национальных государств.

Удар по ним – ужасно эффективный способ шпионажа, если вы можете это сделать.

Как было показано в обвинительном заключении Министерства юстиции в 2018 году, китайские элитные шпионы APT10 использовали компромисс MSP для кражи сотен гигабайт данных у десятков компаний.

REvil и раньше нацеливался на MSP, используя свой плацдарм в сторонней ИТ-компании, чтобы захватить сразу 22 муниципалитета Техаса в 2019 году.

Атаки на цепочки поставок также становятся все более распространенными, особенно в ходе разрушительной кампании SolarWinds в прошлом году, которая дала России доступ к многочисленным агентствам США и бесчисленному количеству других жертв.

Подобно атакам MSP, взлом цепочки поставок также имеет мультипликативный эффект; заражение одного обновления программного обеспечения может привести к сотням жертв.

Таким образом, вы можете начать понимать, почему атака цепочки поставок, нацеленная на MSP, имеет потенциально экспоненциальные последствия.

Добавьте к этому программу-вымогатель, наносящую вред системе, и ситуация станет еще более неприемлемой.

Это напоминает разрушительную атаку NotPetya, которая также использовала компромисс в цепочке поставок для распространения того, что сначала выглядело как программа-вымогатель, но на самом деле это была атака национального государства, совершенная Россией.

На ум приходит и более поздняя российская кампания.

«Это SolarWinds, но с программой-вымогателем, – говорит Бретт Кэллоу, аналитик угроз антивирусной компании Emsisoft.

«Когда один MSP скомпрометирован, это может затронуть сотни конечных пользователей. И в этом случае кажется, что несколько MSP были скомпрометированы, так что… »

Уильямс из BreachQuest говорит, что REvil, похоже, просит компании-жертвы предоставить эквивалент примерно 45 000 долларов в криптовалюте Monero.

Если они не заплатят в течение недели, спрос увеличится вдвое.

Сайт новостей безопасности BleepingComputer сообщает, что REvil запросил у некоторых жертв 5 миллионов долларов за ключ дешифрования, который разблокирует «все ПК вашей зашифрованной сети», который может быть нацелен именно на MSP, а не на их клиентов.

«Мы часто говорим о том, что MSP являются базой для многих малых и средних предприятий и организаций, – говорит Джон Хаммонд, старший исследователь безопасности в Huntress.

«Но если Касея – это то, что поражено, злоумышленники просто скомпрометировали все их базовые корабли».

Во всяком случае, это может быть удивительно, что хакеры, стоящие за этой атакой, вообще решили использовать программы-вымогатели, учитывая, насколько ценную добычу они создали для себя.

«Быстрое сжигание доступа для развертывания программ-вымогателей не кажется разумной идеей», – говорит исследователь безопасности, входящий в состав MalwareHunterTeam.

Группа национальных государств, например, сочла бы такой плацдарм бесценным для шпионажа.

Это красивый туннель, который нужно выкопать, чтобы сразу же его взорвать.

Плохие времена

До сих пор неясно, как произошла первоначальная компрометация, хотя пока она, похоже, затронула только те компании, которые используют Kesaya VSA в локальной среде, а не в виде программного обеспечения как услуги из облака.

«Мы расследуем потенциальную атаку на VSA, которая, по всей видимости, была ограничена только небольшим количеством наших локальных клиентов», – говорит Дана Лидхольм, старший вице-президент по корпоративным коммуникациям Kaseya.

«Мы активно отключили наши серверы SaaS из-за излишней осторожности».

Это совпадает с уведомлением, которое Kaseya опубликовала сегодня днем ​​для своих клиентов: «Мы находимся в процессе расследования основной причины инцидента с большой осторожностью, но мы рекомендуем вам НЕМЕДЛЕННО выключить сервер VSA, пока вы не получите дальнейшее уведомление от нас », – написали в компании.

«Очень важно, чтобы вы сделали это немедленно, потому что одно из первых действий злоумышленника – отключение административного доступа к VSA».

На момент написания этой статьи собственные VSA-серверы Касеи также были отключены.

В заявлении, отправленном по электронной почте в пятницу вечером, генеральный директор Kaseya Фред Воккола подтвердил, что клиенты SaaS компании «никогда не подвергались риску» и что он ожидает восстановления обслуживания в течение 24 часов.

Компания заявляет, что обнаружила источник уязвимости и уже работает над исправлением для локальных клиентов, которые могут стать потенциальными целями.

Он также назвал предполагаемое количество жертв в мире «менее 40», хотя, опять же, хакеры могут использовать даже горстку жертв MSP в качестве трамплина для достижения на порядок большего числа целей.

Независимо от того, как произошла эта первоначальная компрометация, злоумышленники смогли распространить свой пакет вредоносных программ среди MSP, который включает в себя саму программу-вымогатель, а также копию Защитника Windows и просроченный, но законно подписанный сертификат, который еще не был отозван.

Пакет предназначен для обхода проверок Windows на вредоносное ПО с помощью метода, называемого боковой загрузкой, который позволяет запускать программы-вымогатели.

Уведомление Агентства по кибербезопасности и безопасности инфраструктуры США, опубликованное поздно вечером в пятницу, также не пролило свет на основную причину.

«CISA принимает меры для понимания и устранения недавней атаки программ-вымогателей в цепочке поставок на Kaseya VSA и нескольких поставщиков управляемых услуг (MSP), которые используют программное обеспечение VSA», – написало агентство.

«CISA рекомендует организациям ознакомиться с рекомендациями Kaseya и немедленно следовать их указаниям по отключению серверов VSA».

Среди загадок – и та, которая, вероятно, никогда не будет разрешена удовлетворительно, – это то, почему REvil выбрал этот путь.

Если заплатит достаточное количество жертв, это принесет огромную прибыль.

Но, поразив сразу сотни компаний, они также привлекли к себе чрезмерное внимание, сродни атаке программы-вымогателя Darkside на Colonial Pipeline в прошлом месяце.

Также еще предстоит увидеть, какие пульсирующие эффекты может иметь шифрование этих сотен компаний, особенно когда атака была, вероятно, рассчитана на событие, во время которого большинство из них испытывают нехватку персонала в преддверии праздничных выходных 4 июля в США.

Короче говоря, это невероятно безрассудно даже для группы, известной своей не сдержанностью.

«Я уверен, что эти люди знали, что привлекают много-много клиентов, и что они не могли предсказать все последствия», – говорит Уильямс.

«Они знали, что бросают “тяжелые кубики”, и с таким количеством жертв нет никакого шанса, что это не приведет к обратным результатам».

Какую форму это примет, еще неизвестно. Но официально наступил следующий этап эволюции программ-вымогателей, и последствия будут экстремальными. Они уже есть.