Τρεις ημέρες μετά το σαββατοκύριακο , έχουμε μια σαφέστερη ιδέα για το πόσο εκτεταμένη είναι η επίδραση της επίθεσης Kaseya VSA. Σε μια νέα απαίτηση λύτρων, οι εισβολείς ισχυρίζονται ότι έχουν θέσει σε κίνδυνο περισσότερους από 1 εκατομμύριο υπολογιστές και απαιτούν 70 εκατομμύρια δολάρια για την αποκρυπτογράφηση των επηρεαζόμενων συσκευών.
Το λογισμικό της Kaseya χρησιμοποιείται από τους Managed Service Providers για την εκτέλεση εργασιών ΙΤ από απόσταση, αλλά στις 2 Ιουλίου, η συνδεδεμένη με τη Ρωσία ομάδα REVIL ransomware ανέπτυξε μια κακόβουλη ενημέρωση λογισμικού που εκθέτει τους παρόχους που χρησιμοποιούν την πλατφόρμα και τους πελάτες τους.
Το Dutch Institute for Vulnerability Disclosure (DIVD) αποκάλυψε ότι η εκμετάλλευση που χρησιμοποιήθηκε για την παραβίαση ήταν ίδια με την οποία ανακάλυψαν και ήταν στη διαδικασία αντιμετώπισης όταν χτύπησαν οι επιτιθέμενοι. «Είχαμε ήδη μια ευρεία έρευνα σχετικά με τα εργαλεία δημιουργίας αντιγράφων ασφαλείας και διαχείρισης συστήματος και τις ευπάθειές τους», έγραψε η DIVD. «Ένα από τα προϊόντα που ερευνήσαμε είναι το Kaseya VSA. Ανακαλύψαμε σοβαρές ευπάθειες στην Kaseya VSA και τις αναφέραμε στην Kaseya, με την οποία έχουμε τακτική επαφή από τότε. “
Την Παρασκευή, ο Διευθύνων Σύμβουλος της Kaseya Fred Vocolla είπε ότι «επηρεάστηκε μόνο ένα πολύ μικρό ποσοστό των πελατών μας – σήμερα εκτιμάται σε λιγότερα από 40 παγκοσμίως.» Ο εκπρόσωπος της Sophos Ross McKerchar δήλωσε ότι «είναι μια από τις πιο μακρινές εγκληματικές επιθέσεις ransomware που έχει δει ποτέ η Sophos. Προς το παρόν, τα στοιχεία μας δείχνουν ότι επηρεάστηκαν περισσότεροι από 70 πάροχοι διαχειριζόμενων υπηρεσιών, με αποτέλεσμα περισσότερους από 350 επιπλέον οργανισμούς να επηρεάζονται. Αναμένουμε ότι το πλήρες εύρος των οργανώσεων θυμάτων θα είναι υψηλότερο από αυτό που αναφέρεται από οποιαδήποτε μεμονωμένη εταιρεία ασφαλείας. “
Η αναπληρωτής σύμβουλος εθνικής ασφάλειας για κυβερνοχώρο και αναδυόμενες τεχνολογίες Anne Neuberger ακολούθησε προηγούμενα σχόλια του Προέδρου Μπάιντεν, λέγοντας: «Το FBI και η CISA θα απευθυνθούν σε αναγνωρισμένα θύματα για παροχή βοήθειας βάσει αξιολόγησης του εθνικού κινδύνου».
Η Huntress Labs συμμετέχει στην απάντηση στην επίθεση και έχει καταγράψει τις περισσότερες από τις διαθέσιμες πληροφορίες, λέγοντας ότι η επίθεση έθεσε σε κίνδυνο πάνω από 1.000 επιχειρήσεις που παρακολουθεί.
Οι Sophos, Huntress και άλλοι επισήμαναν αυτήν την ανάρτηση (παραπάνω) στο «Happy Blog» του REvil, υποστηρίζοντας ότι περισσότερες από ένα εκατομμύριο συσκευές έχουν μολυνθεί και θέτουν απαίτηση λύτρα ύψους 70 εκατομμυρίων δολαρίων σε Bitcoin για να ξεκλειδώσουν όλες αυτές. Το REvil έχει συνδεθεί με μια σειρά περιστατικών ransomware, συμπεριλαμβανομένης μιας επίθεσης που αφορούσε την Kaseya τον Ιούνιο του 2019, και ένα υψηλό προφίλ συμβάντος νωρίτερα φέτος με στόχο τον προμηθευτή κρέατος JBS. Ωστόσο, ο ερευνητής ασφάλειας Marcus Hutchins εξέφρασε σκεπτικισμό σχετικά με τον ισχυρισμό της ομάδας, υποδηλώνοντας ότι υπερεκτιμούν τον αντίκτυπο με την ελπίδα να εξαγάγουν μια μεγάλη πληρωμή από την Kaseya ή από κάποιον άλλο
Μέχρι στιγμής, μία από τις εταιρείες που επηρεάστηκαν πιο αισθητά από την επίθεση είναι η Coop, με περισσότερα από 800 παντοπωλεία στη Σουηδία που έκλεισαν το Σάββατο καθώς η επίθεση έκλεισε τα ταμειακά μηχανήματα. Σύμφωνα με σημείωμα στον ιστότοπό , έχουν ανοίξει ξανά καταστήματα όπου οι πελάτες μπορούν να κάνουν αγορές χρησιμοποιώντας την εφαρμογή Coop’s Scan & Pay για κινητά, ενώ άλλες τοποθεσίες παραμένουν κλειστές. Οι ειδικοί έχουν προβλέψει ότι την Τρίτη, όταν οι εργαζόμενοι επιστρέφουν στα γραφεία στις ΗΠΑ, ενδέχεται να υπάρχουν περισσότερα θύματα.
Τρεις ημέρες μετά την επίθεση, οι διακομιστές cloud SaaS της Kaseya παραμένουν εκτός σύνδεσης. Η εταιρεία αναφέρει ότι θα παρέχει ένα ενημερωμένο χρονοδιάγραμμα για την αποκατάσταση του διακομιστή σήμερα το απόγευμα, καθώς και περισσότερες τεχνικές λεπτομέρειες της επίθεσης για να βοηθήσει τις προσπάθειες ανάκτησης από τους πελάτες και την έρευνα ασφαλείας