Атака шифровальщика на ПО для удаленного администрирования VSA уже коснулась тысяч компаний

5 июль, 2021 - 14:05

Атака шифровальщика на ПО для удаленного администрирования VSA уже коснулась тысяч компаний в 17 странах

Шифровальщик-вымогатель, широко распространившийся через инфраструктуру решения для удаленного администрирования Virtual System Administrator (VSA) компании Kaseya, внедрился в сети тысяч организаций в 17 странах. Вирус рассылался пользователям VSA вместе с автоматическим обновлением программы. Эксперты полагают, что хакеры использовали для внедрения своего вредоноса уязвимость «нулевого дня».

Предполагается, что атака проведена русскоязычной группировкой REvil и отличается широким размахом. Зловред проникает в сети компаний, шифрует все данные и требует от жертв выкуп за доступ к ключу шифрования. Например, согласно данным Bloomberg   ритейл-сеть Coop из Швеции подверглась массированной атаке - более восьмиста ее магазинов блокированы уже второй день, шифровальщик проник в кассовые аппараты компании.

По предварительным оценкам, среди пострадавших организаций в основном небольшой бизнес вроде частных клиник, библиотек, дизайнерских фирм и т.п. Шифровальщик уже выявлен как минимум в 17 странах, помимо США, атака зафиксирована в Великобритании, Южной Африке, Канаде, Аргентине, Мексике, Индонезии, Новой Зеландии и даже в Кении. Однако реальный масштаб бедствия может быть еще шире.

Сумма выкупа разнится. С некоторых компаний хакеры требуют 5 млн долл., с других – 500 тыс. долл. Самый маленький выкуп, про который известно на данный момент, – 45 тыс. долл.

Всего VSA используют около 37 тыс. клиентов, причем Kaseya утверждает, что шифровальщик успел распространиться только на 50-60 целей. Однако проблема в том, что 70% из них – это компании, которые занимаются удаленным администрированием ИТ-инфраструктуры своих заказчиков, с использованием ПО VSA. И уже через них шифровальщик смог распространиться максимально широко.

Kaseya выпустила специальную утилиту для проверки уязвимости сетей. Ее, по данным компании, уже запросили около 900 клиентов. Исправление для уязвимости, через которую вирус-шифровальщик атакует сети компаний, должно быть выпущено в течение ближайших дней. А пока Kaseya рекомендует своим клиентам не включать серверы.