Jump to content

Атака программы-вымогателя Casey VSA

Edit links

2 июля 2021 года ряд поставщиков управляемых услуг (MSP) и их клиенты стали жертвами атаки программы-вымогателя , совершенной группой REvil . [1] вызвал массовые простои более 1000 компаний. [2] [3] Атака была осуществлена ​​путем эксплуатации уязвимости в VSA (Virtual System Administrator), пакете программного обеспечения для удаленного мониторинга и управления, разработанном Kaseya . [4] Двое подозреваемых были установлены, один осужден. [5] [6]

Сроки и влияние

[ редактировать ]

23 марта исследователь DIVD Витсе Бунстра обнаружил шесть уязвимостей нулевого дня в Kaseya VSA (Администратор виртуальных систем). [7] DIVD предупредил Kaseya и работал вместе с экспертами компании над устранением четырех из семи обнаруженных уязвимостей. Несмотря на усилия, Касея не смогла вовремя исправить все ошибки. [8]

DIVD написал KASEYA VSA, закулисный блог о поиске нулевых дней.

Источником вспышки было установлено в течение нескольких часов: пакет программного обеспечения VSA компании Kaseya. [1] обхода аутентификации Уязвимость в программном обеспечении позволила злоумышленникам скомпрометировать VSA и распространить вредоносную полезную нагрузку через хосты, управляемые программным обеспечением. [9] увеличивая дальность атаки. [10] В ответ компания отключила свои облачные серверы VSA и SaaS- серверы и выпустила рекомендации по безопасности для всех клиентов, в том числе для тех, у кого локально . VSA развернута [11]

В первоначальных сообщениях о компаниях, пострадавших от инцидента, упоминается норвежский разработчик финансового программного обеспечения Visma , который управляет некоторыми системами шведской сети супермаркетов Coop . [12] Сеть супермаркетов была вынуждена закрыть свои 800 магазинов почти на неделю, некоторые из них расположены в небольших деревнях, где нет других продовольственных магазинов. Выкуп они не платили, а пересобирали свои системы с нуля, дождавшись обновления от Касеи. [13]

Банда вымогателей REvil официально взяла на себя ответственность за атаку и заявила, что во время инцидента зашифровала более миллиона систем. Первоначально они запросили выкуп в размере 70 миллионов долларов за выпуск универсального дешифратора, позволяющего разблокировать все затронутые системы. [14] 5 июля Касея сообщил, что в результате атаки пострадали от 800 до 1500 предприятий перерабатывающей отрасли. [15]

Маркус Хатчинс раскритиковал оценку того, что воздействие атаки Kaseya было больше, чем WannaCry , сославшись на трудности с измерением точного воздействия. [16]

После телефонного разговора между президентом США Джо Байденом и президентом России Владимиром Путиным 9 июля 2021 года Байден заявил прессе: «Я очень ясно дал ему понять, что Соединенные Штаты ожидают, когда с его территории начнется операция по вымогательству, хотя это не так». спонсируемые государством, мы ожидаем, что они будут действовать, если мы предоставим им достаточно информации, чтобы действовать в отношении того, кто это такой». Позже Байден добавил, что Соединенные Штаты отключат серверы группы, если Путин этого не сделает. [17] [18]

13 июля 2021 года веб-сайты REvil и другая инфраструктура исчезли из Интернета. [19]

23 июля 2021 года Kaseya объявила, что получила универсальный инструмент для дешифрования файлов, зашифрованных с помощью REvil, от неназванной «доверенной третьей стороны» и помогает жертвам восстановить свои файлы. [20]

8 октября 2021 года гражданин Украины Ярослав Васинский был арестован в Польше в связи с атакой программы-вымогателя и ожидает экстрадиции в США. [5]

8 ноября 2021 года Министерство юстиции США обнародовало обвинительные заключения против Ярослава Васинского, который все еще находился под стражей в Польше, и еще одного подозреваемого — гражданина России Евгения Полянина. Васинскому было предъявлено обвинение в проведении атак с использованием программ-вымогателей против нескольких жертв, включая Касею, и ему грозит максимальное наказание в виде 115 лет тюремного заключения. [5] [21] Полянину было предъявлено обвинение в проведении атак с использованием программ-вымогателей против многочисленных жертв, включая техасские предприятия и государственные учреждения, и ему грозило максимальное наказание в виде 145 лет тюремного заключения. [5]

3 марта 2022 года Ярослав Васинский был экстрадирован в США и предстал перед судом в Техасе. через несколько дней [21]

1 мая 2024 года Ярослав Васинский был приговорен к 13 годам и семи месяцам тюремного заключения и выплате более 16 миллионов долларов в качестве компенсации за «его роль в проведении более 2500 атак с использованием программ-вымогателей и требовании выкупа на сумму более 700 миллионов долларов». [6]

По состоянию на 23 июня 2024 года Евгений Полянин все еще находился в розыске ФБР и предположительно проживал в России. [22]

Ссылки

[ редактировать ]
В Викиновостях есть связанные новости:
  1. ^ Jump up to: а б «Кибератака на американскую компанию угрожает множеству предприятий» . Ле Монд (на французском языке). 3 июля 2021 года. Архивировано из оригинала 11 ноября 2021 года.
  2. ^ Лили Хэй Ньюман (04 июля 2021 г.). «Как программа-вымогатель REvil уничтожила тысячи предприятий одновременно» . Проводной . Архивировано из оригинала 10 ноября 2021 г. Проверено 12 ноября 2021 г.
  3. ^ Макмиллан, Роберт (04 июля 2021 г.). «Атака программ-вымогателей, затронувшая, вероятно, тысячи целей, затягивается» . Уолл Стрит Джорнал . ISSN   0099-9660 . Архивировано из оригинала 28 сентября 2021 г. Проверено 7 июля 2021 г.
  4. ^ Осборн, Чарли (23 июля 2021 г.). «Атака программы-вымогателя Kaseya: все, что мы знаем на данный момент» . ЗДНет . Архивировано из оригинала 16 августа 2021 г. Проверено 12 ноября 2021 г.
  5. ^ Jump up to: а б с д «Украинец арестован и обвинен в атаке с помощью программы-вымогателя на Касею» . Министерство юстиции США . 8 ноября 2021 года. Архивировано из оригинала 11 ноября 2021 года . Проверено 12 ноября 2021 г.
  6. ^ Jump up to: а б «Аффилированное лицо Sodinokibi/REvil осуждено за участие в схеме вымогательства на сумму 700 миллионов долларов» . Управление по связям с общественностью Министерства юстиции США. 01.05.2024 . Проверено 23 июня 2024 г.
  7. ^ Бунстра, Витце. «Отчет ДИВД-2021-00002 - КАСЕЯ ВСА» . ДИВД .
  8. ^ «Неустраненная ошибка, лежащая в основе распространения программ-вымогателей REvil» . Проводной . 8 июля 2021 г. Проверено 7 апреля 2022 г.
  9. ^ Хаммонд, Джон. «Быстрое реагирование: массовый инцидент с программой-вымогателем MSP» . Охотница . Архивировано из оригинала 26 октября 2021 г. Проверено 24 июля 2021 г.
  10. ^ Геррит Де Винк; Аарон Грегг; Рэйчел Лерман (6 июля 2021 г.). «Атака программ-вымогателей поразила от 800 до 1500 предприятий, — сообщает компания, находящаяся в центре взлома. Программное обеспечение Kaseya затронуло сотни тысяч фирм, но компания заявляет, что подавляющее большинство из них не пострадало» . Вашингтон Пост . Проверено 6 июля 2021 г.
  11. ^ Джайлз, Мартин (3 июля 2021 г.). «Новая волна программ-вымогателей была вызвана кибератакой на провайдера технологий Kaseya» . Форбс . Архивировано из оригинала 23 сентября 2021 года.
  12. ^ Тайди, Джо (3 июля 2021 г.). «Шведские супермаркеты Coop закрылись из-за кибератаки с использованием программы-вымогателя в США» . Новости Би-би-си . Архивировано из оригинала 5 октября 2021 года.
  13. ^ Грейг, Джонатан (26 июля 2021 г.). «Касея отрицает, что заплатила выкуп за декриптор, и отказывается комментировать соглашение о неразглашении» . ЗДНет . Архивировано из оригинала 3 октября 2021 года . Проверено 12 ноября 2021 г.
  14. ^ Тунг, Лиам (5 июля 2021 г.). «Атака программы-вымогателя Kaseya: США начинают расследование, поскольку банда требует гигантской выплаты в 70 миллионов долларов» . ЗДНет . Архивировано из оригинала 9 октября 2021 года.
  15. ^ Саттер, Рафаэль (5 июля 2021 г.). «До 1500 предприятий пострадали от атаки программ-вымогателей, - говорит генеральный директор американской фирмы» . Рейтер . Архивировано из оригинала 11 ноября 2021 года.
  16. ^ Хатчинс, Маркус. «Твиттер» . Твиттер . Проверено 13 июля 2021 г. Причина, по которой некоторые люди думают, что REvil был больше, чем WannaCry, заключается в том, что WannaCry был настолько большим, что никто никогда не мог оценить его количественно. Лучшие показатели, которые у нас есть, — это уникальные IP-адреса, но в компаниях есть десятки, сотни или тысячи компьютеров за одним IP-адресом из-за NAT .
  17. ^ «Байден говорит Путину, что Россия должна бороться с киберпреступниками» . АП НОВОСТИ . 9 июля 2021 г.
  18. ^ Сэнгер, Дэвид Э. (13 июля 2021 г.). «Самая агрессивная в России группа вымогателей исчезла. Непонятно, кто их вывел из строя» . Нью-Йорк Таймс .
  19. ^ Бизнес, Брайан Фанг, Закари Коэн и Женева Сэндс, CNN (13 июля 2021 г.). «Группа программ-вымогателей, атаковавшая поставщика мяса, загадочным образом исчезла из Интернета» . CNN . {{cite web}}: |last= имеет общее имя ( справка ) CS1 maint: несколько имен: список авторов ( ссылка )
  20. ^ «Ключ программы-вымогателя для разблокировки данных клиентов от атаки REvil» . Новости Би-би-си . Би-би-си . 23 июля 2021 г. . Проверено 23 июля 2021 г.
  21. ^ Jump up to: а б «Обвиняемый в использовании программы-вымогателя Sodinokibi/REvil экстрадирован в США и привлечен к ответственности в Техасе» . Управление по связям с общественностью Министерства юстиции США. 09.03.2022 . Проверено 23 июня 2024 г.
  22. ^ "YEVGENIY IGOREVICH POLYANIN" . FBI. 2024-06-23 . Retrieved 2024-06-23 .
Retrieved from "https://en.wikipedia.org/w/index.php?title=Kaseya_VSA_ransomware_attack&oldid=1232788786"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 4f2ddf3e233f5f094197debb1ea8b286__1720185000
URL1:https://arc.ask3.ru/arc/aa/4f/86/4f2ddf3e233f5f094197debb1ea8b286.html
Заголовок, (Title) документа по адресу, URL1:
Kaseya VSA ransomware attack - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)