Skoči na vsebino

Največji napad z izsiljevalskim virusom izkorišča Kaseya VSA platformo

2. julija 2021 se je pričel odvijati največji napad z izsiljevalsko škodljivo kodo (ransomware), ki ga je izvedla kriminalna združba REvil. Uporabili so 0-day ranljivost (CVE-2021-30116) v platformi za uporavljanje IKT virov ameriškega podjetja Kaseya. Čeprav je najprej kazalo, da gre za še enega v vrsti napadov na dobavno verigo (supply-chain attack), v podjetju trdijo, da sami niso bili zlorabljeni za vrivanje škodljive kode, temveč so napadalci neposredno napadli stranke z nameščenimi Kaseya VSA strežniki. Ker gre v veliko primerih za podjetja, ki uporabljajo z infrastrukturo, ki jo ponujajo svojim nadaljnjim strankam (MSP, Managed Service Providers), je potencialno število prizadetih žrtev lahko dokaj visoko. V Sloveniji SI-CERT še ni prejel prijave incidenta, povezanega s Kaseya ranljivostjo. Napad je bil tempiran na podaljšan vikend v ZDA ob prazniku neodvisnosti (4. julij).

Objava REvil skupine o “več kot milijon okuženih sistemih”

REvil je na svojem (sarkastično poimenovanem) “Happy Blog” sicer zapisal, da so okužili več kot milijon sistemov, vendar pa analitiki podjetja Huntress dvomijo o tako veliki številki in ocenjujejo, da se število okuženih sistemov giblje med 1.500 in 2.0001.

Napad nas je spomnil na SolarWinds (ki je prav tako napad na dobavno verigo), v zadnjem času pa smo bili tudi priča odmevnim napadom z izsiljevalskimi virusi na visoko-profilirane tarče, kot sta ameriški naftovod Collonial Pipeline in irski zdravstveni sistem (HSE, Health Service Executive). S tem, ko so ti napadi postali vprašanje nacionalne varnosti večjih držav, smo lahko opazili tudi premike pri odzivanju. Sredi maja 2021 so izginila sredstva iz kripto-denarnic skupine DarkSide, ki naj bi izvedla napad na Collonial Pipeline. Javno so priznali tudi, da so izgubili dostop do svoje strežniške infrastrukture, s katero so izvajali napade. Sredi julija pa je s spleta izginila tudi skupina REvil, skupaj s svojim “Happy Blog”. Med obema dogodkoma sta se na sestanku srečala predsednika ZDA in Ruske federacije, Joe Biden in Vladimir Putin. O trendih je seveda še prezgodaj govoriti.

V primeru suma na ranljivosti na vaši opremi, o tem obvestite SI-CERT (cert@cert.si) in stopite v kontakt s predstavnikom podjetja, ki vam bo dal natančna navodila za nadgradnjo in pregled sistemov. Splošna navodila za zaščito pred napadi z izsiljevalskimi virusi najdete v obvestilu SI-CERT / 2019-05 Napredni napadi z izsiljevalskimi virusi.


1 izjava na Huntress spletnem seminarju 6. julija 2021

Preberite tudi

Nova spletna serija “Klik”

Na SI-CERT smo posneli novo spletno video serijo "KLIK", v kateri izpostavimo človeški vidik in prevare predstavimo skozi zgodbe žrtev.
Več

Microsoftovi popravki november 2021

Microsoft je 9.11.2021 izdal popravke za 55 varnostnih ranljivosti v njihovi programski opremi, med drugim tudi za dve 0-day ranljivosti, ki se že aktivno izkoriščata v napadih.
Več

Ameriška CISA objavila obširen katalog ranljivih produktov

Ameriška agencija CISA je objavila obširen katalog varnostnih ranljivosti, ki se aktivno izkoriščajo na omrežju. Ta je koristen pripomoček vsem skrbnikom IKT sistemov pri preverjanju potencialnih ranljivosti.
Več