Tre dage efter, at ransomware-angribere startede feriehelgen ved at gå på kompromis med Kaseya VSA, har vi en klarere idé om, hvor omfattende effekten har været. I et nyt løsesumskrav hævder angriberne, at de har kompromitteret mere end 1 million computere og kræver 70 millioner dollars for at dekryptere de berørte enheder.
Kaseyas software bruges af Managed Service Providers til at udføre it-opgaver eksternt, men den 2. juli implementerede den Rusland-linkede REvil ransomware-gruppe en ondsindet softwareopdatering, der udsatte udbydere, der bruger platformen og deres klienter.
Det hollandske institut for udsættelse af sårbarhed (DIVD) afslørede, at det ser ud til, at den udnyttelse, der blev brugt til bruddet, var den samme, som de opdagede, og var i færd med at adressere, da angriberne ramte. “Vi kørte allerede en bred undersøgelse af sikkerhedskopiering og systemadministrationsværktøjer og deres sårbarheder,” skrev DIVD. ”Et af de produkter, vi har undersøgt, er Kaseya VSA. Vi opdagede alvorlige sårbarheder i Kaseya VSA og rapporterede dem til Kaseya, som vi har været i regelmæssig kontakt med siden da. ”
Vi forventer, at det samlede omfang af ofreorganisationer er højere end det, der rapporteres af ethvert individuelt sikkerhedsfirma.
Fredag sagde Kaseyas administrerende direktør Fred Vocolla, at “Kun en meget lille procentdel af vores kunder blev berørt – i øjeblikket anslået til færre end 40 på verdensplan.” Sophos vicepræsident Ross McKerchar sagde i en erklæring søndag, at ”Dette er et af de længst nåede kriminelle ransomware-angreb, som Sophos nogensinde har set. På dette tidspunkt viser vores bevis, at mere end 70 administrerede tjenesteudbydere blev påvirket, hvilket resulterede i mere end 350 yderligere berørte organisationer. Vi forventer, at offerorganisationernes fulde rækkevidde er højere end det, der rapporteres af ethvert individuelt sikkerhedsfirma. “
Stedfortrædende national sikkerhedsrådgiver for cyber og nye teknologier Anne Neuberger fulgte op på tidligere kommentarer fra præsident Biden og sagde “FBI og CISA vil nå ud til identificerede ofre for at yde hjælp baseret på en vurdering af national risiko.”
Huntress Labs deltager i svaret på angrebet og har katalogiseret de fleste af de tilgængelige oplysninger og sagde, at angrebet kompromitterede over 1.000 virksomheder, som det sporer.
:no_upscale()/cdn.vox-cdn.com/u /chorus_asset/file/22700229/revil_blog.png "Kaseya ransomware-angribere kræver 70 millioner dollars, hævder at de har inficeret over en million enheder")
REvil løsesum kræve Sophos Kaseyas SaaS cloud-servere forbliver offline
Sophos, Huntress og andre pegede på dette indlæg (ovenfor) på REvil's “Happy Blog” og hævdede, at mere end en million enheder er blevet inficeret og stiller en løsesumskrav på $ 70 millioner i Bitcoin for at låse dem alle op. REvil har været knyttet til en række ransomware-hændelser, herunder et angreb, der involverede Kaseya i juni 2019, og en højt profileret hændelse tidligere på året rettet mod kødleverandøren JBS. Sikkerhedsforsker Marcus Hutchins udtrykte imidlertid skepsis over gruppens påstand og antydede, at de overvurderede virkningen i håb om at få en stor udbetaling fra Kaseya eller en anden
Indtil videre, en gang af virksomheder, der er mest påvirket af angrebet, er Coop, en linje med over 800 købmandsforretninger i Sverige, der lukkede lørdag, da angrebet lukkede sine kasseapparater. I henhold til en note på dens hjemmeside kan butikker, hvor kunder kan shoppe ved hjælp af Coops Scan & amp; Pay-mobilappen er åbnet igen, mens andre placeringer forbliver lukkede. Eksperter har forudsagt, at der tirsdag, når arbejdere vender tilbage til kontorer i USA, kan der blive opdaget flere ofre.
Tre dage efter angrebet forbliver Kaseyas SaaS-skyservere offline. Virksomheden siger, at den vil levere en opdateret tidslinje til servergendannelse i aften samt flere tekniske detaljer om angrebet for at hjælpe med at gendanne bestræbelser fra kunder og sikkerhedsforskere.