Wszystko zaczęło się od ataku ransomware na amerykańską międzynarodową firmę IT o nazwie Kaseya. W miniony piątek Kaseya wydała oświadczenie, że jej klienci powinni natychmiastowo zamknąć VSA, czyli chmurę Kaseya, która służy do zarządzania i wysyłania aktualizacji oprogramowania do innych firm, ponieważ została zaatakowana.
Na co dokładnie zostało narażonych tysiące firm i ich klientów?
Ransomware to niebezpieczne złośliwe oprogramowanie, które blokuje użytkownikom dostęp do ich systemów, po czym wymusza opłatę najczęściej w postaci kryptowalut lub przelewu na kartę kredytową
w zamian za przywrócenie dostępu. Zazwyczaj dzieje się to poprzez wiadomości e-mailowe zawierające zainfekowane pliki. Dlatego Kaseya od piątku apeluje, by wszystkie serwery VSA pozostały offline i aby firmy, które dostały wiadomości od hakerów nie klikały żadnych linków. Co ciekawe to nie jest pierwszy, ale już trzeci ransomware atak na tę firmę. Bez wątpienia poprzednie ataki, które miały miejsce w styczniu i czerwcu 2019 roku nie dorównują mu w wielkości.
Efekt domina
Jesteśmy świadkami efektu domina w obrębie sieci powiązań Kaseya, który doprowadza do największego ataku ransomware, jaki widział świat.
W miniony piątek zaatakowana firma stwierdziła, że atak ograniczył się do niewielkiej liczby jej klientów. Jednakże eksperci ds. bezpieczeństwa uważają, że to jest skumulowany atak, który dotknął
i dotknie jeszcze tysiące firm. Biorąc pod uwagę międzynarodowy charakter firmy, liczbę i tempo, w jakim użytkownicy Kaseya, czyli biznesy, które świadczą zdalne usługi IT setkom mniejszych firm, zostali zainfekowani, można śmiało zacząć mówić o ataku w świecie IT porównywalnym do pandemii COVID-19. Wszystko zaczęło się od jednej międzynarodowej firmy, a ucierpiało już setki,
a teraz tysiące biznesów powiązanych ze sobą systemem dystrybucji…
Kto jest odpowiedzialny za atak?
„The Record” donosi, że odpowiedzialni za to wszystko są prawdopodobnie hakerzy, a raczej gang hakerów o nazwie REvil.
Ci cyberprzestępcy atakowali już nie raz, a celem ich ataków były największe międzynarodowe korporacje takie jak Apple czy Acer. Uważa się również, że to oni wymusili 11 milionów dolarów od JBS, największego na świecie zakładu przetwórstwa mięsnego.
Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) zajęła się tą sprawą, by jak najszybciej znaleźć sprawcę ataku i rozwiązać ten światowy problem.
Próby rozwiązania a skutki ataku
W sobotę CEO Kaseya oświadczył, że udało się znaleźć źródło ataku i trwają prace nad uaktualnieniem oprogramowania, które umożliwi ponowne działanie VSA i tysiąca firm powiązanych siecią biznesową z Kaseya. Korporacje te zgodnie z zaleceniami bezpieczeństwa musiały wstrzymać swoją działalność. Podobno FBI również pracuje nad rozwiązaniem tego kryzysu.
W sobotę CEO Kaseya potwierdził również, że około 40 ich międzynarodowych klientów ucierpiało z powodu ataku, co oznacza, że tak naprawdę ucierpiało wraz z nimi tysiące mniejszych firm, którym klienci Kaseya świadczyli swoje usługi. Te liczby obrazują z jakim potężnym problemem, na skalę międzynarodową, mamy do czynienia. Na przykład w Szwecji po ataku ransomware na firmę Visma EssCom, która zajmuje się serwerami, oprogramowaniami i świadczy usługi wielu szwedzkim przedsiębiorstwom, sieć sklepów spożywczych musiała zamknąć około 500 swoich lokali. Warto również dodać, że w zależności od rozmiaru biznesu, żądania okupu wynosiły 50 tysięcy dolarów od mniejszych przedsiębiorstw i 5 milionów dolarów od większych.
Podsumowanie
Ten potężny atak może spowodować nie tylko znaczne straty finansowe
w sektorach biznesowych, ale i również problemy polityczne z racji jego skali międzynarodowej. REvil ma rzekomo siedzibę w Rosji, co może wzmocnić napięcie między rządem Bidena a rządem Putina. Oby jak najszybciej udało się opanować tę niebezpieczną sytuację.
Update
Kaseya oświadczyła, że ich celem jest przywrócenie działalności online przed końcem 5 lipca. Aktualnie zmieniono tę datę na 6 lipca. Z najnowszych informacji wynika, że liczba firm tzn. bezpośrednich klientów Kaseya, którzy ucierpieli, zwiększyła się do 60. W poniedziałek 5 lipca Kaseya przyznała, że są świadomi, iż do tej pory mogło ucierpieć mniej niż 1500 biznesów niższego szczebla korzystających z usług tych 60 firm.
Status na 7 lipca 2021:
Tysiące firm na świecie wciąż pozostaje bez mechanizmów zarządzania systemami IT, a CEO Kaseya próbuje umniejszyć powagę zdarzenia, mówiąc, że to nie była kwestia czy, ale kiedy nastąpi tego typu atak. Podczas próby naprawy i przygotowania uaktualnienia VSA, napotkano na kolejny niezidentyfikowany problem, przez który Kaseya nadal nie wie kiedy uda im się opanować sytuacje. Żądania hakerów REvil-a, wynoszą 70 milionów dolarów w Bitcoinach za klucz deszyfrujący.
Film z 6 lipca z wypowiedzią CEO Kaseya: