Kaseya i REvil - ataków należy spodziewać się w weekendy i święta
Weekendowy atak na na firmę Kaseya był jednym z najbardziej dotkliwych ataków ransomware w historii. Poszkodowanych mogło zostać ponad 70 dostawców usług zarządzanych – MSP (ang. Managed Service Providers) – korzystających z platformy Kaseya Virtual Systems Administrator Wśród ofiar jest ponad 1000 firm z co najmniej 17 krajów. Cyberprzestępcy z grupy REvil mieli żądać 70 mln dolarów okupu. Nie przez przypadek na atak wybrano weekend 4 lipca.
- Cyberatak na firmę Kaseya to jeden z najbardziej dotkliwych ataków ransomware, jakie kiedykolwiek widzieliśmy. Zebrane przez nas dowody wskazują, że poszkodowanych mogło zostać ponad 70 dostawców usług zarządzanych - MSP (ang. Managed Service Providers), korzystających z platformy Kaseya Virtual Systems Administrator. Cyberprzestępcy z grupy REvil użyli jej do dystrybucji złośliwego oprogramowania, by uderzyć w jak największą liczbę firm. Obecnie szacuje się, że atak objął ponad 350 organizacji będących klientami MSP. Są to firmy z całego świata: głównie z USA, Niemiec i Kanady. Spodziewamy się, że faktyczna liczba firm dotkniętych atakiem ostatecznie okaże się większa - opisuje atak Grzegorz Nocoń, inżynier systemowy w firmie Sophos
Rok 2021 jest już rekordowy pod względem ilości cyberataków. Z danych udostępnionych przez firmę Check Point Software wynika, że w regionie EMEA (Europa, Bliski Wschód, Afryka) odnotowano aż 93% wzrost ataków ransomware i 97% wzrost wszystkich ataków cybernetycznych względem ubiegłego roku. Po głośnych atakach Sunburst, Hafnium (ataki na Microsoft Exchange) i na Colonial Pipeline, hakerzy zaatakowali 4 lipca firmę Kaseya, wykorzystując jej usługi do rozprzestrzeniania jednego z największych w historii ataków ransomware. - Cyberofensywa na firmę Kaseya zaskutkowała rekordową liczbą ofiar oprogramowania ransomware. Pokrzywdzonymi są głównie spółki amerykańskie, choć wśród ofiar znajdują się również europejskie firmy. - mówi Wojciech Głażewski, dyrektor polskiego oddziału Check Point Software Technologies. Weekendowy atak ransomware przeprowadzony przez rosyjskojęzyczną grupę REvil, stanowi zdaniem ekspertów katastrofalne połączenie najgłośniejszych trendów cyberataków w 2021 roku, czyli ataków w łańcuchu dostaw i oprogramowania ransomware.
Stojąca za atakiem grupa REvil jest twórcą jednej z najbardziej znanych rodzin oprogramowania ransomware na świecie, odpowiedzialnej za dziesiątki poważnych naruszeń odnotowywanych od 2019 roku. Grupa w ostatnim czasie była również niezwykle aktywna - w okresie dwóch miesięcy eksperci udokumentowali tygodniowo średnio 15 ataków dokonanych przez REvil.
Jak atakują cyberprzestępcy?
Jednym z kluczowych czynników sukcesu REvil jest wykorzystanie techniki Double Extortion (podwójne wymuszenie), w której cyberprzestępcy oprócz szyfrowania plików kradną dane. Oznacza to, że przestępcy żądają okupu nie tylko za odszyfrowanie danych, ale również wymagają opłaty za nieujawnienie wykradzionych dokumentów. REvil jest również znany ze współpracy z hakerami stowarzyszonymi, co pozwala na połączenie sił z zaawansowanymi hakerami, którzy są odpowiedzialni za włamywanie się do nowych celów, eksfiltrację danych i szyfrowanie sieci. W tego typu kooperacjach REvil dostarcza oprogramowanie ransomware, stronę do publikacji wycieków, a nawet odpowiada za kwestie finansowe przedsięwzięcia. W kwietniu 2021 r. REvil zademonstrowało użycie techniki, którą nazywamy potrójnym wymuszeniem.
Cybergang z powodzeniem włamał się do Quanta Computer, znanego tajwańskiego producenta oryginalnych projektów notebooków (ODM) i ważnego partnera biznesowego Apple. Po ataku ransomware zażądano zapłaty około 50 milionów dolarów wraz z ostrzeżeniem, że suma zostanie podwojona, jeśli nie zostanie zapłacona na czas. Ponieważ firma odmówiła komunikowania się z cyberprzestępcami, dokonali oni bezpośredniego wymuszenia na firmie Apple, żądając, aby odkupiła plany ich produktów znalezionych w sieci Quanta Computer. Ledwie tydzień później REvil w usunął opublikowane wcześniej rysunki techniczne produktów Apple ze strony publikującej wycieki danych.
Kaseya - jak przeprowadzono atak?
- Hakerzy nie bez powodu wybrali ten weekend i tę metodę. Dzięki atakowi na jednego dostawcę usług uzyskali dostęp do ponad tysiąca firm. 4 lipca jest Dniem Niepodległości Stanów Zjednoczonych, a co za tym idzie wielu pracowników działów IT przechodzi w tryb offline. Pozwoliło to na pełne wdrożenie ransomware, zanim ktokolwiek zauważył proces włamania, a jednocześnie doprowadziło to do większej paniki w momencie wykrycia ataku. - wyjaśnia Wojciech Głażewski. Aby włamać się do lokalnych serwerów Kaseya VSA, REvil wykorzystał lukę zero-day, która została wcześniej ujawniona firmie Kaseya przez badaczy bezpieczeństwa z Holenderskiego Instytutu Ujawniania Podatności. Firma opracowywała poprawkę, jednak nie zdążyła jej zaimplementować i udostępnić klientom.
W tym wypadku rosyjskojęzyczny gang hakerów był o krok przed Kaseyą, wykorzystując podatność do przeprowadzenia ataku. Ze wstępnych informacji wynika, że skierowane do ofiar żądanie okupu wahało się od 45 tys. do 5 mln dolarów.
- Atak ten powinien być alarmem dla wszystkich firm. Uważam, że w najbliższym czasie możemy się spodziewać większej liczby ataków w święta i weekendy. Hakerzy liczą, że w ten sposób uśpią czujność ekspertów IT odpowiadających za cyberbezpieczeństwo. - podsumowuje dyrektor polskiego oddziału Check Point Software.