Очередная атака на цепочку поставок не заставила себя ждать: нападение на американскую ИТ-компанию Kaseya и последующее заражение ее клиентов вирусом-шифровальщиком потрясли последствиями весь цифровой мир. Заражению, по словам хакеров, подверглось не менее 1 миллиона систем. Изначально злоумышленники потребовали выкуп в 70 миллионов долларов США за универсальный декриптор. 

Kaseya предлагает ПО для удаленного мониторинга и управления состоянием ИТ и ИБ, используемое как внутренними ИТ-командами, так и обслуживающими клиентов MSP-провайдерами.

Основные подозреваемые – группировка REvil, которая, к слову, работает по модели Ransomware-as-a-Service («вымогательство как услуга»). Поэтому точнее будет сказать, что в кибератаке использовались именно их инструменты и инфраструктура. По данным нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure) и специалистов компании Huntress Labs, заражение клиентов Kaseya произошло через уязвимость аутентификации в веб-интерфейсе ПО Kaseya VSA, которая уже находилась в процессе исправления (CVE-2021-30116). 

Уязвимость позволила выполнить установку шифровальщика в сети клиентов Kaseya и вызвала массовое заражение компаний вымогательским ПО REvil. Так, крупнейшая сеть супермаркетов в Швеции Coop вынужденно приостановила работу 800 магазинов на полтора дня в связи с потерей работоспособности кассовых аппаратов из-за инцидента ИБ. Кроме того, объектами атаки в Швеции стали крупнейший железнодорожный оператор SJ, сеть аптек Hjärtat и бензозаправок St1, множество клиентов MSP-компании Visma EssCom, поставляющей ПО для кассовых аппаратов. Также пострадали голландский MSP-провайдер Velzart и его клиенты, немецкие и другие компании.

К расследованию инцидента ИБ уже подключены ЦРУ, АНБ, ФБР, а также ИБ-компании, включая FireEye. Kaseya выпустила патч для эксплуатировавшихся хакерами уязвимостей и утилиту Compromise Detection Tool для того, чтобы ее клиенты смогли проверить, подвергались ли они атаке.

Примечательно, что до момента выхода официального патча, как отметили аналитики Malwarebytes, ситуацией уже попробовали воспользоваться другие злоумышленники, которые провели фишинговую рассылку с фейковым обновлением для Kaseya VSA, содержащим загрузчик Cobalt Strike. 

Атака цепочки поставок через ПО Kaseya VSA не первая у этой компании. Ранее, в 2018-2019 годах, продукты Kaseya уже использовались для развертывания вирусов-вымогателей.

Но самое интересное заключается в том, что 14 июля, после переговоров между лидерами РФ и США, поддерживающая инфраструктура вымогательского ПО REvil пропала из сетевой видимости. Пока наиболее вероятным поводом для исчезновения является обеспокоенность хакеров повышенным вниманием к ним со стороны спецслужб. 

«Одна из причин успешности массовой атаки – запрос от производителя ПО на внесение рабочих папок и приложения в исключения антивирусов. Такие обращения можно увидеть, в том числе, в истории с Orion, SolarWinds. Следовать этому призыву по понятным причинам не стоит. Просто напомню, что даже если точкой входа была уязвимость нулевого дня, то скачиваемый пейлоад и дальнейшее шифрование данных может быть выполнено давно известным вирусом», – обращает внимание менеджер по развитию бизнеса группы компаний Angara Анна Михайлова.

Эксперты группы компаний Angara напоминают, что антивирусная защита является базовой минимальной функцией обеспечения информационной безопасности и пренебрегать ей нельзя. Кроме того, данные решения не являются ресурсно «тяжелыми» и имеют возможность запуска на широком спектре систем. В свою очередь, внесение исключений в защиту должно быть продуманным и взвешенным шагом. Если вы исключаете какой-либо раздел из защиты, необходимо оценивать риски использования этого ПО как точку применения злоумышленником для атаки. Как показывает опыт последних лет, атаки через цепочку поставок становятся все более реальными и частыми.

Антивирусные продукты, рекомендуемые к использованию:

  • Kaspersky Endpoint Security, 

  • Trend Micro Deep Security,

  • McAfee Endpoint Security.

Доверие клиентов к разработчикам ПО и сервисным организациям подвергается испытанию из-за продолжающегося потока атак на цепочку поставок. Снижение вероятности подобных атак возможно через взвешенный анализ рисков и обращение к проверенным провайдерам. 

Группа компаний Angara осуществляет постоянный оперативный мониторинг состояния защищенности внутренних систем и использует средства эшелонированной защиты внутренней инфраструктуры. В то же время мы используем безопасные каналы для передачи информации и всегда запрашиваем только минимально необходимый доступ к данным.