Tre dagar efter att ransomware-angripare började semesterhelgen genom att kompromissa med Kaseya VSA, har vi en tydligare uppfattning om hur omfattande effekten har varit. I en ny lösenkrav hävdar angriparna att de har äventyrat mer än 1 miljon datorer och kräver 70 miljoner dollar för att dekryptera de drabbade enheterna.
Kaseyas programvara används av Managed Service Providers för att utföra IT-uppgifter på distans, men den 2 juli distribuerade den Rysslandsbundna REvil ransomware-gruppen en skadlig programuppdatering som exponerade leverantörer som använder plattformen och deras klienter.
Nederländska institutet för utsatthet för utsatthet (DIVD) avslöjade att det verkar som om exploateringen som användes för överträdelsen var samma som de upptäckte och var i färd med att ta itu med när angriparna slog till. “Vi genomförde redan en bred undersökning av verktyg för säkerhetskopiering och systemadministration och deras sårbarheter”, skrev DIVD. ”En av de produkter vi har undersökt är Kaseya VSA. Vi upptäckte allvarliga sårbarheter i Kaseya VSA och rapporterade dem till Kaseya, som vi har haft regelbunden kontakt med sedan dess. ”
Vi förväntar oss att hela organisationens omfattning är högre än vad som rapporteras av något enskilt säkerhetsföretag.
På fredag sa Kaseyas VD Fred Vocolla att “Endast en mycket liten andel av våra kunder berördes – för närvarande uppskattas färre än 40 över hela världen.” Sophos VP Ross McKerchar sade i ett uttalande på söndag att ”Detta är en av de längst uppåtgående kriminella ransomware-attackerna som Sophos någonsin har sett. Vid denna tid visar våra bevis att mer än 70 hanterade tjänsteleverantörer påverkades, vilket resulterade i mer än 350 ytterligare påverkade organisationer. Vi förväntar oss att hela organisationens omfattning är högre än vad som rapporteras av något enskilt säkerhetsföretag. ”
Biträdande nationell säkerhetsrådgivare för cyber och framväxande teknik Anne Neuberger följde upp tidigare kommentarer av president Biden och sa “FBI och CISA kommer att nå ut till identifierade offer för att ge hjälp baserat på en bedömning av nationell risk.”
Huntress Labs deltar i svaret på attacken och har katalogiserat det mesta av tillgänglig information och sagt att attacken äventyrade över 1 000 företag som den spårar.
:no_upscale()/cdn.vox-cdn.com/u /chorus_asset/file/22700229/revil_blog.png "Kaseya ransomware-angripare kräver 70 miljoner dollar, hävdar att de har smittat över en miljon enheter")
REvil ransom kräva Sophos Kaseyas SaaS-molnservrar förblir offline
Sophos, Huntress och andra pekade på det här inlägget (ovan) på REvil's “Happy Blog” och hävdade att mer än en miljon enheter har infekterats och ställer en lösenkrav på $ 70 miljoner i Bitcoin för att låsa upp dem alla. REvil har kopplats till en massa incidenter med ransomware, inklusive en attack som involverade Kaseya i juni 2019, och en högprofilerad incident tidigare i år inriktad på köttleverantören JBS. Säkerhetsforskaren Marcus Hutchins uttryckte emellertid skepsis över gruppens påstående och antydde att de överskattade påverkan i hopp om att få en stor utbetalning från Kaseya eller någon annan. företag som är mest märkbart påverkade av attacken är Coop, en linje med över 800 livsmedelsbutiker i Sverige som stängde lördag när attacken stängde sina kassaregister. Enligt en anteckning på sin webbplats, butiker där kunder kan handla med Coops Scan & amp; Betal-mobilappen har öppnats igen medan andra platser förblir stängda. Experter har förutspått att det på tisdag när arbetare återvänder till kontor i USA kan det finnas fler offer upptäckta.
Tre dagar efter attacken förblir Kaseyas SaaS-molnservrar offline. Företaget säger att det kommer att tillhandahålla en uppdaterad tidslinje för serveråterställning i kväll, samt mer tekniska detaljer om attacken för att hjälpa återhämtningsinsatser från kunder och säkerhetsforskare.