Платим блогерам
Блоги
Блогер
Сумма выкупа может достигать $5 млн

реклама

Очередные атаки приложений-вымогателей нацелены на организации на территории США. Источником является атака платформу Kaseya VSA, используемую для удаленного мониторинга и управления ИТ. Представители платформы утверждают, что из более чем 36000 клиентов пострадали менее 40. Однако, среди них могли быть крупные сервисы, а у них есть множество своих клиентов.

реклама

Представители Kaseya обнаружили проблему в пятницу и после этого перевели свои облачные сервисы в режим обслуживания. Была выпущена рекомендация по безопасности, в рамках которой всем клиентам с применением локального сервера VSA было рекомендовано временно выключить его. В рекомендации говорится, что одними из первых действий злоумышленников в подобных случаях является отключение административного доступа к VSA. Компания начала расследование, а также подключила ФБР и CISA.

Второе обращение компании утверждает, что отключение VSA является мерой предосторожности и что клиенты с применением серверов SaaS опасности не подвергались. Несмотря на это, сервисы пока не работают и это будет продолжаться до тех пор, пока представители Kaseya не решат, что угроза миновала.

Источником всех этих проблем может быть группа REvil, которая распространяет приложение-вымогатель через программное обновление. Применяется PowerShell для извлечения программы и подавления механизмов защитника Windows, вроде мониторинга в реальном времени, облачной проверки и контролируемого доступа к папкам. Последнее является функцией Microsoft как раз для защиты от приложений-вымогателей. Среди прочего в системы проникает старая версия защитника Windows, которую задействуют как доверенный исполняемый файл для запуска DLL с шифровальщиком.

Сейчас неизвестно, происходят ли кражи данных у жертв, прежде чем файлы зашифровываются. Так происходило в рамках прошлых атак. Масштаб нынешней атаки постоянно растёт. Время могло быть выбрано неслучайно. В воскресенье в США День Независимости и персонала для противостояния этой атаке должно быть минимум.

Фирма BleepingComputer поначалу заявила, что жертвами стали восемь MSP (Managed Service Provider). Компания Huntress Labs говорит о 200 пострадавших предприятиях, которые работали с тремя MSP. В реальности это количество больше и продолжает увеличиваться.

Сумма выкупа во всех случаях разная. Её запрашивают в криптовалюте Monero и она может начинаться от $45000 и достигать $5 млн. Сроки выплат, после которых сумма удваивается, также разные.

Власти США считают, что группа REvil связана с Россией. Ранее она получила выкуп в размере $11 млн от мясоперерабатывающих предприятий JBS и пыталась получить $50 млн от компании Acer.


Источник: techspot.com
+
Написать комментарий (0)

Популярные новости

Популярные статьи

Сейчас обсуждают