От масштабной атаки шифровальщика пострадало 1500 предприятий, подтвердила Kaseya

Продолжает развиваться ситуация вокруг взлома сервиса удалённого администрирования VSA компании Kaseya, который стал каналом распространения для шифровальщика-вымогателя. Сегодня Kaseya сообщила уточнённые данные о числе пострадавших: ими стали 60 её пользователей, предоставляющих через VSA услуги удалённого администрирования, и 1500 конечных клиентов, информационные системы которых они обслуживали.

CNN

Как сообщили в Kaseya, хакерская атака не имела продолжения. Вредонос внедрился в сети всех пострадавших компаний ещё в пятницу, и с тех пор никаких сообщений о новых компрометациях пользователей VSA не поступало. В конечном итоге пострадало от шифровальщика сравнительно небольшое число пользователей VSA — порядка 1500. Но последствия атаки ощутили многие, потому что она затронула широкий спектр бизнесов, начиная от шведских супермаркетов и заканчивая детскими садами в Новой Зеландии. Утешает тут разве только то, что всё могло быть гораздо хуже: суммарное число клиентов, использующих данное ПО оценивается числом от 800 тысяч до миллиона.

Kaseya пообещала скорое включение серверов на своей стороне — на данный момент её представители говорят о возобновлении работы и применении необходимых патчей в течение 24 часов. При этом серверы на стороне клиентов компания продолжает призывать держать в выключенном состоянии, но обещает выпустить специальные рекомендации для них в самое ближайшее время.

Расследование взлома позволило выявить, что атака чуть было не была предотвращена. Исследователи из Голландского института раскрытия уязвимостей ранее обнаружили в VSA несколько уязвимостей нулевого дня, в том числе и CVE-2021-30116, которая как раз и использовалась в атаке. Необходимый патч уже готовился в Kaseya — она планировала развернуть его после выходных.

Всё ещё остаётся непонятным, как Kaseya предлагает решать проблему тем клиентам, чьи данные оказались зашифрованы вредоносом. Хакерская группировка REvil, взявшая на себя ответственность за атаку, требует $70 млн за инструмент для расшифровки данных, но в частных беседах соглашается снизить стоимость выкупа до $50 млн.