Tre dager etter at ransomware-angripere startet feriehelgen med å gå på kompromiss med Kaseya VSA, har vi en klarere ide om hvor utbredt virkningen har vært. I et nytt løsepengekrav hevder angriperne at de har kompromittert mer enn 1 million datamaskiner, og krever 70 millioner dollar for å dekryptere de berørte enhetene.
Kaseyas programvare brukes av Managed Service Providers for å utføre IT-oppgaver eksternt, men 2. juli distribuerte den russisk-tilknyttede REvil ransomware-gruppen en ondsinnet programvareoppdatering som utsetter leverandører som bruker plattformen og deres klienter.
Det nederlandske instituttet for sårbarhetsinformasjon (DIVD) avslørte at det ser ut til at utnyttelsen som ble brukt til bruddet var den samme de oppdaget og var i ferd med å ta tak i da angriperne slo til. “Vi kjørte allerede en bred etterforskning av verktøy for sikkerhetskopiering og systemadministrasjon og deres sårbarheter,” skrev DIVD. “Et av produktene vi har undersøkt er Kaseya VSA. Vi oppdaget alvorlige sårbarheter i Kaseya VSA og rapporterte dem til Kaseya, som vi har vært i regelmessig kontakt med siden den gang. ”
Vi forventer at hele omfanget av offerorganisasjoner vil være høyere enn det som rapporteres av ethvert sikkerhetsselskap.
Fredag sa Kaseya-sjef Fred Vocolla at “Bare en veldig liten prosentandel av våre kunder ble berørt – for tiden anslått til færre enn 40 over hele verden.” Sophos VP Ross McKerchar sa i en uttalelse søndag at “Dette er et av de lengst nådde kriminelle løsepengeangrepene som Sophos noensinne har sett. På dette tidspunktet viser bevisene at mer enn 70 administrerte tjenesteleverandører ble påvirket, noe som resulterte i mer enn 350 ytterligere berørte organisasjoner. Vi forventer at hele omfanget av offerorganisasjoner vil være høyere enn det som rapporteres av ethvert sikkerhetsselskap. ”
Nestleder nasjonal sikkerhetsrådgiver for cyber og framvoksende teknologi Anne Neuberger fulgte opp tidligere kommentarer fra president Biden og sa: “FBI og CISA vil nå ut til identifiserte ofre for å gi hjelp basert på en vurdering av nasjonal risiko.”
Huntress Labs deltar i svaret på angrepet og har katalogisert det meste av tilgjengelig informasjon og sier angrepet kompromitterte over 1000 virksomheter som det spores.
:no_upscale()/cdn.vox-cdn.com/u /chorus_asset/file/22700229/revil_blog.png "Kaseya ransomware-angripere krever $ 70 millioner, hevder de har smittet over en million enheter")
REvil løsepenger kreve Sophos Kaseyas SaaS-skyservere forblir frakoblet
Sophos, Huntress og andre pekte på dette innlegget (over) på REvil's “Happy Blog”, og hevdet at mer enn en million enheter har blitt infisert og setter en løsepengerkrav på $ 70 millioner i Bitcoin for å låse opp dem alle. REvil har vært knyttet til en rekke ransomware-hendelser, inkludert ett angrep som involverte Kaseya i juni 2019, og en høyt profilert hendelse tidligere i år rettet mot kjøttleverandøren JBS. Sikkerhetsforsker Marcus Hutchins uttrykte imidlertid skepsis til gruppens påstand og antydet at de overvurderer virkningen i håp om å hente ut en stor utbetaling fra Kaseya eller noen andre.
Så langt, en gang av selskaper som er mest påvirket av angrepet, er Coop, en linje med over 800 dagligvarebutikker i Sverige som stengte lørdag da angrepet stengte kassaapparatene. I følge et notat på nettstedet, butikker der kunder kan handle ved hjelp av Coops Scan & amp; Betal-mobilappen har åpnet igjen, mens andre steder forblir stengt. Eksperter har spådd at det på tirsdag når arbeidere vender tilbake til kontorer i USA, kan bli oppdaget flere ofre.
Tre dager etter angrepet forblir Kaseyas SaaS-skyservere frakoblet. Selskapet sier at det vil gi en oppdatert tidslinje for servergjenoppretting denne kvelden, samt mer tekniske detaljer om angrepet for å hjelpe gjenopprettingsarbeidet fra kunder og sikkerhetsforskere.