Компания «Kaseya», разработчик ИТ-решений для управляемых услуг (MSP) и корпоративных клиентов, объявила о том, что стала жертвой кибератаки 2 июля, в выходные американского дня независимости.
Похоже, что злоумышленники осуществили атаку с использованием уязвимости в программном обеспечении VSA компании Kaseya против нескольких поставщиков услуг и их клиентов.
Атака напоминает фиаско с безопасностью компании SolarWinds, когда злоумышленникам удалось скомпрометировать программное обеспечение производителя и распространить вредоносное обновление среди тысяч клиентов. Однако нам еще предстоит выяснить, насколько масштабным окажется инцидент с шифровальщиком в Kaseya.
Вот все, что нам известно на данный момент. ZDNet будет обновлять эту статью по мере поступления новых сведений.
Что такое Kaseya?
Международная штаб-квартира Kaseya находится в Дублине, Ирландия, а штаб-квартира в США - в Майами, Флорида. Компания представлена в 10 странах.
Kaseya предоставляет ИТ-решения, включая VSA, унифицированный инструмент удаленного мониторинга и управления сетями и конечными устройствами. Кроме того, компания предлагает системы обеспечения соответствия, службы технической поддержки и платформу автоматизации профессиональных сервисов.
Программное обеспечение компании разработано с учетом потребностей предприятий и поставщиков управляемых услуг. Kaseya утверждает, что более 40 000 организаций по всему миру используют как минимум одно программное решение Kaseya. Будучи поставщиком технологий для MSP, которые обслуживают другие компании, Kaseya занимает центральное место в более широкой цепочке поставок программного обеспечения.
Что произошло?
2 июля в 14:00 генеральный директор Kaseya Фред Воккола объявил о «потенциальной атаке на VSA, которая была ограничена небольшим количеством локальных клиентов».
В то же время из осторожности Воккола призвал клиентов немедленно отключить свои серверы VSA.
«Очень важно, чтобы вы сделали это немедленно, потому что одно из первых действий злоумышленника - отключение административного доступа к VSA» - заявил руководитель. Клиенты были уведомлены о нарушении по электронной почте, телефону и через Интернет.
По мере того, как группа реагирования на инциденты Kaseya проводила расследование, поставщик также решил заблаговременно отключить свои серверы SaaS и вывести свои центры обработки данных в автономный режим.
К 4 июля компания пересмотрела свое мнение о серьезности инцидента, назвав себя «жертвой комплексной кибератаки». Для оказания помощи были привлечены эксперты по кибер-криминалистике из команды FireEye's Mandiant, а также другие компании по безопасности.
«Наши команды безопасности, поддержки, исследований и разработок, коммуникаций и работы с клиентами продолжают работать круглосуточно во всех регионах чтобы решить проблему и восстановить обслуживание наших клиентов» - заявили в Kaseya, добавив, что потребуется еще некоторое время, прежде чем дата-центры будут восстановлены.
Как только серверы SaaS начнут работать, Kaseya опубликует график распространения исправления безопасности для локальных клиентов.
Пояснение по атакам с шифровальщиков.
ФБР кратко описало инцидент как: «атака с использованием уязвимости в программном обеспечении Kaseya VSA против нескольких MSP и их клиентов».
Компания Huntress отследила 30 MSP, вовлеченных в атаку, и с «высокой степенью уверенности» считает, что атака была вызвана уязвимостью обхода аутентификации в веб-интерфейсе Kaseya VSA.
По данным компании по кибербезопасности, это позволило злоумышленникам обойти контроль аутентификации, получить аутентифицированную сессию, загрузить вредоносный код и выполнить команды с помощью SQL-инъекции, добившись выполнения кода в процессе.
«Часть функциональности VSA Server заключается в развертывании программного обеспечения и автоматизации ИТ-задач» - отметили в Sophos. «Как таковой, он имеет высокий уровень доверия к клиентским устройствам. Проникнув на VSA Server, любой подключенный клиент будет беспрекословно выполнять любую задачу, которую запросит VSA Server. Это, вероятно, одна из причин, по которой Kaseya стала мишенью».
Поставщик также предоставил глубокий технический анализ атаки.
Эксперт по безопасности Кевин Бомонт сообщил, что шифровальщик распространялся через автоматизированное вредоносное обновление программного обеспечения с помощью Kaseya VSA, получившее название «Kaseya VSA Agent Hot-fix».
«Это поддельное обновление развертывается по всей территории - в том числе на системах клиентов MSP - как поддельное обновление агента управления» - прокомментировал Бомонт. «На самом деле оно является вымогательским ПО REvil. Для ясности - это означает, что организации, не являющиеся клиентами Kaseya, все равно были зашифрованы».
По наводке RiskIQ компания Huntress расследует IP-адрес AWS, который мог быть использован в качестве отправной точки для атаки.
Кто пострадал?
В выходные компания Kaseya заявила, что клиенты SaaS «не подвергались риску», и, по текущим оценкам, пострадали менее 40 локальных клиентов по всему миру.
Однако следует отметить, что хотя небольшое количество клиентов Kaseya, возможно, было заражено напрямую через MSP, находящиеся дальше по цепочке клиенты SMB, полагающиеся на эти сервисы, могут пострадать в свою очередь.
Согласно сообщениям с мест, 800 магазинов сети супермаркетов Coop в Швеции были вынуждены временно закрыться, так как не могли открыть свои кассовые аппараты.
Компания Huntress сообщила в пояснении на Reddit, что примерно у 1 000 компаний были зашифрованы серверы и рабочие станции. Поставщик добавил, что есть основания предполагать, что «тысячи малых предприятий» могли пострадать.
«Это одна из самых масштабных кибер-атак с применением шифровальщика, которые когда-либо видела компания Sophos» - прокомментировал Росс МакКерчар, вице-президент Sophos. «На данный момент наши данные показывают, что более 70 поставщиков управляемых услуг подверглись воздействию, в результате чего пострадали еще более 350 организаций. Мы ожидаем, что полное количество пострадавших организаций будет больше, чем то, о котором сейчас сообщают отдельные компании по безопасности».
Что такое шифровальщики?
Шифровальщики - это тип вредоносного ПО, которое специализируется на шифровании файлов и дисков.
Став одной из самых серьезных проблем безопасности, с которыми сталкиваются современные предприятия, шифровальщики используются злоумышленниками по всему миру для захвата систем и нарушения работы компаний.
После того как система или сеть жертвы зашифрована, киберпреступники размещают записку с требованием выкупа в обмен на ключ дешифровки (который может сработать, а может и не сработать).
Современные операторы программ-шифровальщиков могут быть частью «Ransomware-as-a-Service (RaaS)» - криминальной партнерской программы, когда хакеры «подписываются» на доступ и использование определенного типа вредоносных программ. Еще одна развивающаяся тенденция - двойное вымогательство, при котором у жертвы во время рейда шифровальщика похищается информация. Если жертва отказывается платить, она может столкнуться с перспективой продажи или публикации своих данных в Интернете.
К распространенным и известным семействам программ-вымогателей относятся REvil, Locky, WannaCry, Gandcrab, Cerber, NotPetya, Maze и Darkside.
Кто несет ответственность?
Кибератака была приписана хакерской группе REvil/Sodinikibi, которая взяла на себя ответственность за нее на своем Darknet-сайте утечек «Happy Blog».
В обновленном за выходные сообщении операторы заявили, что заражено «более миллиона» систем.
REvil предложили якобы универсальный и, следовательно, способный разблокировать все зашифрованные системы ключ дешифровки, за «выгодную» цену в 70 миллионов долларов в крипто-валюте Bitcoin (BTC).
Ранее компания REvil была связана с атаками вымогателей на такие компании, как JBS, Travelex и Acer.
Условия оплаты выкупа.
В заметке с требованием выкупа утверждается, что файлы «зашифрованы и в настоящее время недоступны». Сообщается, что используется расширение файла .csruj. Операторы требуют оплату в обмен на ключ дешифрования, а также предлагают расшифровать один файл бесплатно, чтобы доказать, что ключ дешифрования работает.
Операторы добавляют (орфография сохранена):
«Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, помимо получения собственной выгоды. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах. Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что закрытый ключ есть только у нас. На практике - время гораздо ценнее денег».
Аналитик вредоносных программ компании Sophos Марк Ломан поделился в Твиттере скриншотом записки с требованием выкупа в размере 44 999 долларов США, размещенной на зараженной конечной точке.
Джон Хаммонд, старший исследователь безопасности в Huntress, сообщил ZDNet, что компания уже видела требования о выкупе в размере до 5 миллионов долларов.
Кевин Бомонт говорит, что, к сожалению, он наблюдал, как жертвы «имели печальный опыт переговоров» с операторами программ-вымогателей.
Фабиан Восар, технический директор Emsisoft, также объяснил в Twitter, почему использование ключа, полученного одной организацией, заплатившей деньги, вряд ли может стать действенным способом разблокировки всех жертв.
«REvil абсолютно точно имеет возможность расшифровать только одну жертву без того, чтобы купленные инструменты расшифровки были применимы для других жертв, пораженных тем же публичным ключом кампании» - отметил эксперт по безопасности.
Реакция
Во время обнаружения взлома компания Kaseya уведомила правоохранительные органы и агентства кибербезопасности, включая Федеральное бюро расследований (ФБР) и Агентство кибербезопасности и защиты инфраструктуры США (CISA).
ФБР и CISA выпустили совместное заявление по поводу инцидента безопасности и призывают клиентов запустить инструмент, предоставленный Kaseya, чтобы определить риск заражения, а также по возможности включить и применить многофакторную аутентификацию на корпоративных учетных записях.
Белый дом просит организации сообщать в центр жалоб на преступления в интернете (IC3), если они подозревают, что были скомпрометированы.
В субботу президент США Байден заявил, что он поручил федеральным разведывательным службам провести расследование.
«Атака на платформу MSP (которая управляет множеством клиентов одновременно) была очень хорошо продумана и спланирована» - сообщил ZDNet Амит Барекет, генеральный директор Perimeter 81. «Уникально то, что хакеры становятся все более стратегически мыслящими и нацеливаются на платформы, через которые одним ударом проникают во многие компании. Удаленный мониторинг и управление - это, по сути, ключ ко многим и многим компаниям, что для злоумышленников равносильно «Святому Граалю».
Планы восстановления
По состоянию на 4 июля Kaseya заявляет, что компания перешла от анализа первопричины атаки к планам восстановления и исправления, а именно:
- Сообщений о поэтапном плане восстановления сначала SaaS, а затем локальных клиентов.
- Публикации краткого описания атаки и того, что мы сделали для ее смягчения.
- Некоторые малоиспользуемые функции устаревшей VSA будут удалены в рамках этого выпуска из соображений осторожности. Конкретный список функций и их влияние на возможности VSA будут указаны позднее.
- Будут реализованы новые меры безопасности, включая усиленный мониторинг безопасности SaaS-серверов компанией FireEye и включение расширенных возможностей WAF.
- Успешно завершено внешнее сканирование уязвимостей, проверены базы данных SaaS на наличие признаков компрометации, а также приглашены внешние эксперты по безопасности для проверки кода, чтобы обеспечить успешный перезапуск сервиса.
Центры обработки данных будут восстанавливаться начиная с ЕС, затем в Великобритании, АТР, а затем североамериканские системы.
Что могут сделать клиенты?
Компания Kaseya выпустила инструмент для выявления индикаторов компрометации, который можно загрузить через Box. В нем есть два скрипта PowerShell: один для использования на сервере VSA, а другой разработан для сканирования конечных точек.
Сценарии самооценки следует запускать в автономном режиме.
Однако сценарии предназначены только для обнаружения потенциального риска атаки и не являются исправлениями безопасности. Kaseya будет выпускать исправления так быстро, как только сможет, а пока клиентам просто нужно подождать.
«Все локальные серверы VSA должны продолжать оставаться в автономном режиме до получения дальнейших инструкций от Kaseya о том, когда будет безопасно восстановить работу» - заявили в компании. «Перед перезапуском VSA необходимо будет установить исправление».
Cado Security предоставила репозиторий на GitHub для пострадавших, в котором размещены образцы вредоносного ПО, индикаторы заражения и правила Yara.
Компания Kaseya также предупредила, что «клиенты, столкнувшиеся с шифровальщиками и получившие сообщение от злоумышленников, не должны переходить по ссылкам - они могут быть использованы в качестве еще одного вектора кибер-атаки».
Перевод выполнен со статьи: https://www.zdnet.com