Épp csak felocsúdtunk a SolarWinds történetből, máris itt az újabb nagyszabású eset. A Kaseya távmenedzsment szolgáltató elleni incidens rengeteg ügyfélnek okozott kellemetlen perceket, és kőkemény ransomware támadást.
Mint az közismert, azok a cégek, amelyek rendszereik kezeléséhez, frissítéséhez a Kaseya ügyfelei voltak, nehéz helyzetbe kerültek, ugyanis egy átfogó támadás miatt a REvil ransomware-banda, más néven Sodinokibi zsarolóvírus támadást hajtott végre és 70 millió dollárnak megfelelő kriptovalutát követel az üzemeltetőktől váltságdíjként.
A beszámolók szerint a háttérben megindulhatott valamilyen alkudozás az árról, egyes vélemények szerint a Reutersnek és a Krebs Stamos Groupnak sikerülhet lejjebb tornászni a kezdeti induló 70 milliós számot akár 50 millió környékére is egy univerzális dekódoló kulcsért.
Világszerte 800 és 1500 közötti vállalkozást érinthet az incidens. Az éppen július 4-ét ünneplő USA mellett több más európai ország, például Svédország is érintett, ott a Coop-szupermarketek százainak kellett bezárnia, mert a pénztárgépeik nem működtek.
Emellett Új-Zélandon 11 iskola és több óvoda hálózata is leállt, ezt a támadók állítólag véletlen balesetnek, nem szándékos járulékos kárnak minősítették.
A dlp.hu információi szerint magyar kompromittálódott szervereket is használhattak C&C szerverként a támadásban. Ami viszont annak fényében, hogy Magyarország évek óta rendszeresen előkelő helyet foglal el a botnet-tag zombigépek nemzetközi statisztikákban, sajnos nem annyira meglepő.
A Kaseya egy idő után ugyan hivatalosan is értesítette a lehetséges áldozatokat, ám a ransomware lefutási idejéhez képest ez biztosan késedelmes lehetett.
Az ESET telemetriai adatbázisa szerint a támadásban szereplő kártevő változat először július 2-án 15:22-kor volt megfigyelhető, ezt a vírusvariánst a védelem Win32/Filecoder.Sodinokibi.N trójaiként azonosítja és blokkolja.
Az észlelések több különböző térségből is mutattak aktív fertőzéseket, túlnyomó többségben az Egyesült Királyságból, Dél-Afrikából, Kanadából, Németországból, az Egyesült Államokból és Kolumbiából.
Az USA Colonial Pipeline vezetékére mért hasonló csapás esetében bár a vállalat május 7-én kifizette az 5 millió dollárnyi váltságdíjat, azonban a cserébe kapott visszafejtő eszköz olyannyira lassú volt, hogy helyette inkább a saját korábbi biztonsági mentéseikből állították helyre a rendszert. Ennek fényében nagyon is kérdéses, hogy a Kaseya esetében mi lesz a további fejlemény, de nyilván hamarosan, idővel majd ez is kiderül.
Az biztos, hogy a korábbi Colonial Pipeline, az ACER, a JBS húsüzem incidens és a mostani Kaseya elleni akció után ez egyértelmű hadüzenet, várhatóan egyre gyakoribb és erőteljesebb csapásmérésekkel.
