Skoči na vsebino

Največji napad z izsiljevalskim virusom izkorišča Kaseya VSA platformo

2. julija 2021 se je pričel odvijati največji napad z izsiljevalsko škodljivo kodo (ransomware), ki ga je izvedla kriminalna združba REvil. Uporabili so 0-day ranljivost (CVE-2021-30116) v platformi za uporavljanje IKT virov ameriškega podjetja Kaseya. Čeprav je najprej kazalo, da gre za še enega v vrsti napadov na dobavno verigo (supply-chain attack), v podjetju trdijo, da sami niso bili zlorabljeni za vrivanje škodljive kode, temveč so napadalci neposredno napadli stranke z nameščenimi Kaseya VSA strežniki. Ker gre v veliko primerih za podjetja, ki uporabljajo z infrastrukturo, ki jo ponujajo svojim nadaljnjim strankam (MSP, Managed Service Providers), je potencialno število prizadetih žrtev lahko dokaj visoko. V Sloveniji SI-CERT še ni prejel prijave incidenta, povezanega s Kaseya ranljivostjo. Napad je bil tempiran na podaljšan vikend v ZDA ob prazniku neodvisnosti (4. julij).

Objava REvil skupine o “več kot milijon okuženih sistemih”

REvil je na svojem (sarkastično poimenovanem) “Happy Blog” sicer zapisal, da so okužili več kot milijon sistemov, vendar pa analitiki podjetja Huntress dvomijo o tako veliki številki in ocenjujejo, da se število okuženih sistemov giblje med 1.500 in 2.0001.

Napad nas je spomnil na SolarWinds (ki je prav tako napad na dobavno verigo), v zadnjem času pa smo bili tudi priča odmevnim napadom z izsiljevalskimi virusi na visoko-profilirane tarče, kot sta ameriški naftovod Collonial Pipeline in irski zdravstveni sistem (HSE, Health Service Executive). S tem, ko so ti napadi postali vprašanje nacionalne varnosti večjih držav, smo lahko opazili tudi premike pri odzivanju. Sredi maja 2021 so izginila sredstva iz kripto-denarnic skupine DarkSide, ki naj bi izvedla napad na Collonial Pipeline. Javno so priznali tudi, da so izgubili dostop do svoje strežniške infrastrukture, s katero so izvajali napade. Sredi julija pa je s spleta izginila tudi skupina REvil, skupaj s svojim “Happy Blog”. Med obema dogodkoma sta se na sestanku srečala predsednika ZDA in Ruske federacije, Joe Biden in Vladimir Putin. O trendih je seveda še prezgodaj govoriti.

V primeru suma na ranljivosti na vaši opremi, o tem obvestite SI-CERT (cert@cert.si) in stopite v kontakt s predstavnikom podjetja, ki vam bo dal natančna navodila za nadgradnjo in pregled sistemov. Splošna navodila za zaščito pred napadi z izsiljevalskimi virusi najdete v obvestilu SI-CERT / 2019-05 Napredni napadi z izsiljevalskimi virusi.


1 izjava na Huntress spletnem seminarju 6. julija 2021

Preberite tudi

DMCA: zahtevajte umik ukradenih vsebin s spleta

Kako doseči odstranitev ukradenih slik ali phishing strani, kadar se sporno spletno mesto nahaja v ZDA?
Več

SI-CERT TZ008 / Vektor okužbe: nelegalna programska oprema

Na SI-CERT redno obravnavamo primere okužb preko nelegalne programske opreme. Finančne posledice okužb so dostikrat precej višje kot nakup licence.
Več

Locked Shields 21

Vaja kibernetske varnosti Locked Shields, ki jo organizira Natov center odličnosti CCDCOE, je “največja in najbolj kompleksna mednarodna vaja kibernetske varnosti.” Deluje po načelu “Capture the Flag”, kjer se modre ekipe branijo …
Več