Масштабная атака программы-вымогателя затронула сотни американских компаний
В пятницу вечером в США была зарегистрирована крупная атака программы-вымогателя, которая парализовала сети как минимум 200 различных компаний. Как предполагают исследователи безопасности, за атакой стоит группировка REvil, состоящая из русскоязычных хакеров.
![Масштабная атака программы-вымогателя затронула сотни американских компаний](https://novostey.com/i4/2021/07/04/b1ac084241a80af28a48cd9fc305e2d3.jpg)
axel.org
Хакеры смогли внедриться в программное обеспечение для удалённого администрирования VSA компании Kaseya и использовали его в качестве канала для распространения программы-вымогателя. Заразив широко используемое в IT-инфраструктуре ПО, они смогли добиться того, что вредоносный код распространяется вместе с автоматическими обновлениями VSA. Как написал в своём twitter-аккаунте Джон Хаммонд (John Hammond) из занимающейся кибербезопасностью фирмы Huntress Labs: «Kaseya обслуживает огромное количество компаний по всему миру, от средних до мелких, поэтому вредоносное ПО имеет потенциал разойтись повсеместно, вне зависимости от масштабов бизнеса. Из-за такого канала распространения это колоссальная и разрушительная атака».
Точных данных о количестве пострадавших пока нет. Сама Kaseya заявила, что от атаки пострадало «небольшое количество» пользователей. Тем не менее, она порекомендовала всем использующим уязвимое ПО компаниям незамедлительно отключить свои серверы.
![Масштабная атака программы-вымогателя затронула сотни американских компаний](https://novostey.com/i4/2021/07/04/88ef2dddcf19b6b05117cbd14244227b.jpg)
Kaseya
Аналитик по кибербезопасности Бретт Кэллоу (Brett Callow) из фирмы Emsisoft прокомментировал, что он не видел атак программ-вымогателей такого масштаба: «Это что-то типа SolarWinds, только ещё и с вымогателем».
Эксперты обращают внимание и на то, что для атаки была специально подобрана особая дата — канун 4 июля, Дня независимости США, когда на рабочих местах находится минимальное количество IT-персонала.
В настоящее время уже известно как минимум о четырёх провайдерах IT-услуг, пострадавших от атаки. Через них были заражены тысячи компьютеров, данные на которых были зашифрованы вредоносном с целью получения выкупа. Как уточнил Хаммонд, он знает о 200 компаниях, потерявших доступ к информации в результате атаки. Сумма выкупа, которую требуют хакеры, начинается с $45 тыс.
«Основываясь на том, что мы узнали, мы почти уверены, что это REvil», — добавил Хаммонд в twitter. Эта группировка стала печально известна после атаки на крупнейшего в мире переработчика мяса JBS в мае. Стоит отметить, что REvil представляет собой довольно мощную команду, которая развивает сервис «вымогатель как услуга», то есть занимается разработкой вредоносного ПО, которое затем сдаётся в аренду третьим лицам.
Агентство по кибербезопасности и инфраструктурной безопасности США в пятницу вечером выступило с заявлением, что оно внимательно следит за ситуацией и работает с ФБР, чтобы собрать больше информации. На момент написания новости Kaseya продолжает оценивать ущерб, настоятельно не советует клиентам включать серверы, а при получении каких-либо сообщений от хакеров рекомендует не переходить по ссылкам.