A Kaseya három napja

2021. július 06. 17:09 - Csizmazia Darab István [Rambo]

Épp csak felocsúdtunk a SolarWinds történetből, máris itt az újabb nagyszabású eset. A Kaseya távmenedzsment szolgáltató elleni incidens rengeteg ügyfélnek okozott kellemetlen perceket, és kőkemény ransomware támadást.

Mint az közismert, azok a cégek, amelyek rendszereik kezeléséhez, frissítéséhez a Kaseya ügyfelei voltak, nehéz helyzetbe kerültek, ugyanis egy átfogó támadás miatt a REvil ransomware-banda, más néven Sodinokibi zsarolóvírus támadást hajtott végre és 70 millió dollárnak megfelelő kriptovalutát követel az üzemeltetőktől váltságdíjként.

A beszámolók szerint a háttérben megindulhatott valamilyen alkudozás az árról, egyes vélemények szerint a Reutersnek és a Krebs Stamos Groupnak sikerülhet lejjebb tornászni a kezdeti induló 70 milliós számot akár 50 millió környékére is egy univerzális dekódoló kulcsért.

Világszerte 800 és 1500 közötti vállalkozást érinthet az incidens. Az éppen július 4-ét ünneplő USA mellett több más európai ország, például Svédország is érintett, ott a Coop-szupermarketek százainak kellett bezárnia, mert a pénztárgépeik nem működtek.

Emellett Új-Zélandon 11 iskola és több óvoda hálózata is leállt, ezt a támadók állítólag véletlen balesetnek, nem szándékos járulékos kárnak minősítették.

A dlp.hu információi szerint magyar kompromittálódott szervereket is használhattak C&C szerverként a támadásban. Ami viszont annak fényében, hogy Magyarország évek óta rendszeresen előkelő helyet foglal el a botnet-tag zombigépek nemzetközi statisztikákban, sajnos nem annyira meglepő.

A Kaseya egy idő után ugyan hivatalosan is értesítette a lehetséges áldozatokat, ám a ransomware lefutási idejéhez képest ez biztosan késedelmes lehetett.

Az ESET telemetriai adatbázisa szerint a támadásban szereplő kártevő változat először július 2-án 15:22-kor volt megfigyelhető, ezt a vírusvariánst a védelem Win32/Filecoder.Sodinokibi.N trójaiként azonosítja és blokkolja.

Az észlelések több különböző térségből is mutattak aktív fertőzéseket, túlnyomó többségben az Egyesült Királyságból, Dél-Afrikából, Kanadából, Németországból, az Egyesült Államokból és Kolumbiából.

Az USA Colonial Pipeline vezetékére mért hasonló csapás esetében bár a vállalat május 7-én kifizette az 5 millió dollárnyi váltságdíjat, azonban a cserébe kapott visszafejtő eszköz olyannyira lassú volt, hogy helyette inkább a saját korábbi biztonsági mentéseikből állították helyre a rendszert. Ennek fényében nagyon is kérdéses, hogy a Kaseya esetében mi lesz a további fejlemény, de nyilván hamarosan, idővel majd ez is kiderül.

Az biztos, hogy a korábbi Colonial Pipeline, az ACER, a JBS húsüzem incidens és a mostani Kaseya elleni akció után ez egyértelmű hadüzenet, várhatóan egyre gyakoribb és erőteljesebb csapásmérésekkel.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása