07.07.2021 | MSP-провайдер Kaseya исключил теорию об атаке на цепочку поставок |
Американская технологическая компания Kaseya, на минувшей неделе ставшая жертвой кибератаки с использованием вымогательского ПО REvil, исключила возможность несанкционированного вмешательства в ее кодовую базу с целью распространения вредоносного ПО. Как первоначально предполагали ИБ-эксперты, вымогательская группировка могла получить доступ к серверной инфраструктуре Kaseya и злоупотребить ею для развертывания вредоносного обновления на серверах VSA на стороне клиента, аналогично разрушительной атаке на цепочку поставок SolarWinds. «Злоумышленники смогли использовать уязвимости нулевого дня в продукте VSA для обхода аутентификации и запуска произвольного выполнения команд. Это позволило киберпреступникам использовать стандартные функции продукта VSA для развертывания программ-вымогателей на конечных точках. Нет никаких свидетельств того, что кодовая база VSA Kaseya была злонамеренно изменена», — пояснили представители компании Kaseya. По словам генерального директора компании Фреда Воккола (Fred Voccola), из-за атаки операторов вымогателя были прекращены бизнес-операции от 800 до 1,5 тыс. предприятий по всему миру, включая стоматологические кабинеты, архитектурные бюро, центры пластической хирургии и библиотеки. Одна из крупнейших в Швеции сетей супермаркетов Coop была вынуждена закрыть порядка 800 магазинов по всей стране из-за атаки REvil на Kaseya. Сотрудники магазинов не смогли обрабатывать платежи из-за потери работоспособности кассовых аппаратов и станций самооблуживания. Группировка REvil потребовала $70 млн в биткойнах за универсальный декриптор для разблокировки всех зашифрованных систем пострадавших компаний. Вскоре требования были снижены до $50 млн. |
Проверить безопасность сайта