Успішна атака програми-вимагача на програмне забезпечення Kaseya Virtual Systems Administrator (VSA) впливає на велику кількість компаній, які використовують це програмне забезпечення. Коментар Марка Ломана, директора з розробки Sophos, щодо нещодавньої атаки програми-вимагача REvil на Kaseya.
«Відтоді, як стало відомо про останню атаку програм-вимагачів REvil, компанія Sophos провела численні розслідування та віднесла атаку до категорії «Розподіл ланцюга поставок». Зловмисники використовують постачальників керованих послуг (MSP) як «платформу розповсюдження», щоб націлитися на якомога більше компаній, незалежно від розміру чи галузі.
Програмне забезпечення-вимагач використовує MSP як платформу розповсюдження
Ми бачимо тут повторювану схему, оскільки зловмисники постійно адаптують свої методи, щоб максимізувати вплив, чи то фінансово, чи то для викрадення облікових даних та іншої конфіденційної інформації, яку вони могли б використати пізніше. В інших великомасштабних атаках, як-от WannaCry, які ми бачили в минулому, розповсюджувачем було саме програмне забезпечення-вимагач. У поточному випадку, незабаром після атаки, стало ясно, що партнер REvil Ransomware-as-a-Service (RaaS) використовував експлойт нульового дня для розповсюдження програм-вимагачів через програмне забезпечення Kaseya Virtual Systems Administrator (VSA). Як правило, це програмне забезпечення забезпечує високонадійний канал зв’язку, який надає MSP необмежений привілейований доступ, щоб допомогти багатьом підприємствам з їхнім ІТ-середовищем. Саме цю платформу тепер перепрофільовано як розповсюджувач програм-вимагачів».
викуп у мільйони
«Останнім часом деякі успішні групи програм-вимагачів вкрали мільйони доларів у вигляді викупу, що потенційно дозволило їм придбати дуже цінні експлойти нульового дня. Деякі експлойти, як правило, можливі лише на рівні національної держави, яка зазвичай розгортає ці інструменти спеціально для конкретної ізольованої атаки. У руках кіберзлочинців такий «преміальний експлойт» для вразливості глобальної платформи може вразити багато компаній одночасно та вплинути на наше повсякденне життя».
Базуючись на Sophos Threat Intelligence, REvil був особливо активним останніми тижнями, включаючи атаку на JBS, і наразі є домінуючою бандою програм-вимагачів, яка бере участь у справах захисного керованого реагування на загрози Sophos.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.