Удар мощнее бомбы: хакерская группировка REvil атаковала сотни компаний из 17 стран

Вечером 2 июня хакерская группировка REvil внедрила программу-вымогателя в ПО для удаленного администрирования VSA (Virtual System Administrator) компании Kaseya (США). Компания сообщила, что атака затронула 40 ее клиентов. В итоге, оказалось, что масштабы киберпреступления куда больше.

Об этом сообщает издание hothardware.com.

Через два дня Kaseya представила обновленную информацию о работе над восстановлением своих серверных ферм и сообщила о том, что локальные серверы VSA должны оставаться в автономном режиме до дальнейших распоряжений.

На Reddit компания Huntress Labs, занимающаяся кибербезопасностью, сообщила, что атакам подверглись 30 ИТ-компаний из США, Австралии, ЕС и Латинской Америки. Джон Хаммонд, эксперт по компьютерной безопасности, работающий в Huntress Labs, написал: "ПО от Kaseya установлено многими компаниями по всему миру, поэтому программа-вредитель опасна для всех клиентов Kaseya. Это очень масштабная атака".

Впоследствии стало известно, что в опасности оказались более 1000 предприятий, являющихся клиентами аутсорсинговых ИТ-компаний. К примеру, шведской сети супермаркетов Coop пришлось закрыть 500 магазинов из-за того, что кассовые аппараты прекратили работать.

По словам Хаммонда, как минимум 200 компаний, утративших доступ к своим серверам, а значит и информации, получили требования от хакеров-шантажистов о выплате выкупа в $45 тыс. Специалист полагает, что за атакой стоит группировка REvil, которую подозревают в связях с российским правительством. Учитывая тот факт, что атака была произведена накануне 4 июля, когда в США отмечают День независимости, это вполне вероятно.

И действительно, вечером 4 июля REvil опубликовала в своем блоге сообщение об атаке на ПО Kaseya. Злоумышленники сообщили, что атака, начатая 2 июля, дала возможность зашифровать "более миллиона систем". Также они написали, что предложили пострадавшим компаниям купить у них "универсальный дешифратор" за 70 миллионов долларов в Биткойнах, или примерно 2049 монет по текущей рыночной оценке. К сожалению, группа не сообщила никаких подробностей об атаке или о своих планах. 

Агентство кибербезопасности и инфраструктуры (CISA) и Федеральное бюро расследований рекомендуют не платить преступникам выкуп. 

Некоторые эксперты полагают, что данная атака со стороны российских хакеров — это, своего рода, проверка на прочность президента Джо Байдена, который во время женевской встречи с Путиным однозначно дал понять, что будет принимать жесткие меры против российского государства, допускающего массивные атаки на госслужбы, частные компании и инфраструктуру США.

Рекомендуем ознакомиться с нашим материалом о том, как спецслужбы США вычисляют русских хакеров.