Kaseya hack tràn ngập hàng trăm công ty bằng ransomware – TechCrunch

Vào thứ Sáu, một cơn lũ ransomware đã tấn công hàng trăm công ty trên khắp thế giới. Chuỗi cửa hàng tạp hóa, đài truyền hình công cộng, trường học và hệ thống đường sắt quốc gia đều bị tấn công bởi phần mềm độc hại mã hóa tệp, gây gián đoạn và buộc hàng trăm doanh nghiệp phải đóng cửa.

Các nạn nhân có điểm chung: một phần mềm quản lý mạng và điều khiển từ xa được phát triển bởi công ty công nghệ Kaseya của Mỹ. Công ty có trụ sở chính tại Miami sản xuất phần mềm được sử dụng để quản lý từ xa các mạng và thiết bị CNTT của công ty. Phần mềm đó được bán cho các nhà cung cấp dịch vụ được quản lý – các bộ phận CNTT được thuê ngoài hiệu quả – sau đó họ sử dụng để quản lý mạng của khách hàng, thường là các công ty nhỏ hơn.

Nhưng các tin tặc liên kết với nhóm ransomware-as-a-service REvil có liên kết với Nga được cho là đã sử dụng một lỗ hổng bảo mật chưa từng thấy trong cơ chế cập nhật của phần mềm để đẩy ransomware cho khách hàng của Kaseya, từ đó lây lan sang khách hàng của họ. . Nhiều công ty cuối cùng là nạn nhân của cuộc tấn công có thể không biết rằng mạng của họ đã bị phần mềm của Kaseya theo dõi.

Kaseya đã cảnh báo khách hàng vào thứ Sáu rằng “NGAY LẬP TỨC” hãy đóng các máy chủ tại chỗ của họ và dịch vụ đám mây của nó – mặc dù không được cho là bị ảnh hưởng – đã được chuyển sang chế độ ngoại tuyến như một biện pháp phòng ngừa.

“[Kaseya] cho thấy một cam kết thực sự để làm điều đúng đắn. Thật không may, chúng tôi đã bị REvil đánh bại trong nước rút cuối cùng ”. Nhà nghiên cứu bảo mật Victor Gevers

John Hammond, nhà nghiên cứu bảo mật cấp cao tại Huntress Labs, một công ty phát hiện mối đe dọa là một trong những người đầu tiên tiết lộ cuộc tấn công, cho biết khoảng 30 nhà cung cấp dịch vụ được quản lý đã bị tấn công, cho phép ransomware lây lan tới “hơn” 1.000 doanh nghiệp ”. Công ty bảo mật ESET cho biết họ biết các nạn nhân ở 17 quốc gia, bao gồm Anh, Nam Phi, Canada, New Zealand, Kenya và Indonesia.

Vào tối thứ Hai, Kaseya cho biết trong một bản cập nhật rằng khoảng 60 khách hàng của Kaseya đã bị ảnh hưởng và đưa số nạn nhân xuống dưới 1.500 công ty.

Bây giờ nó trở nên rõ ràng hơn về cách các tin tặc thực hiện một trong những cuộc tấn công ransomware lớn nhất trong lịch sử gần đây.

Các nhà nghiên cứu Hà Lan cho biết họ đã tìm thấy một số lỗ hổng zero-day trong phần mềm của Kaseya như một phần của cuộc điều tra về tính bảo mật của các công cụ quản trị viên dựa trên web. (Zero-days được đặt tên như vậy vì nó cho các công ty không có ngày để khắc phục sự cố.) Các lỗi đã được báo cáo cho Kaseya và đang trong quá trình sửa khi tin tặc tấn công, Victor Gevers, người đứng đầu nhóm các nhà nghiên cứu, cho biết. trong một bài đăng trên blog.

Giám đốc điều hành của Kaseya, Fred Voccola nói với The Wall Street Journal rằng hệ thống công ty của họ không bị xâm phạm, cho phép các nhà nghiên cứu bảo mật tin tưởng hơn vào lý thuyết hoạt động của các nhà nghiên cứu bảo mật rằng các máy chủ do khách hàng của Kaseya điều hành đã bị xâm nhập riêng lẻ bằng cách sử dụng một lỗ hổng chung.

Công ty cho biết tất cả các máy chủ chạy phần mềm bị ảnh hưởng nên ở chế độ ngoại tuyến cho đến khi bản vá sẵn sàng. Voccola nói với tờ báo rằng họ hy vọng các bản vá lỗi sẽ được phát hành vào cuối thứ Hai.

Cuộc tấn công bắt đầu vào cuối buổi chiều thứ Sáu, ngay khi hàng triệu người Mỹ đang đăng nhập vào ngày cuối tuần dài ngày 4 tháng Bảy. Adam Meyers, Phó chủ tịch cấp cao về tình báo của CrowdStrike, cho biết cuộc tấn công đã được hẹn giờ cẩn thận.

“Đừng nhầm, thời điểm và mục tiêu của cuộc tấn công này không phải ngẫu nhiên. Nó minh họa những gì chúng tôi định nghĩa là một cuộc tấn công Big Game Hunting, được thực hiện nhằm vào mục tiêu nhằm tối đa hóa tác động và lợi nhuận thông qua chuỗi cung ứng trong kỳ nghỉ cuối tuần khi khả năng phòng thủ của doanh nghiệp gặp khó khăn, ”Meyers nói.

Một thông báo được đăng vào cuối tuần trên một trang web tối do REvil điều hành đã tuyên bố nhận trách nhiệm về vụ tấn công và nhóm ransomware sẽ phát hành công khai một công cụ giải mã nếu nó được trả 70 triệu đô la bằng bitcoin.

“Hơn một triệu hệ thống đã bị nhiễm”, nhóm tuyên bố trong bài đăng.

Bạn cũng có thể thích

Menu