Ba ngày sau khi những kẻ tấn công ransomware bắt đầu kỳ nghỉ cuối tuần bằng cách thỏa hiệp Kaseya VSA, chúng tôi có ý tưởng rõ ràng hơn về mức độ ảnh hưởng lan rộng của nó. Trong một yêu cầu đòi tiền chuộc mới, những kẻ tấn công tuyên bố đã xâm nhập hơn 1 triệu máy tính và yêu cầu 70 triệu USD để giải mã các thiết bị bị ảnh hưởng.
Phần mềm của Kaseya được các Nhà cung cấp dịch vụ được quản lý sử dụng để thực hiện các tác vụ CNTT từ xa, nhưng vào ngày 2 tháng 7, nhóm ransomware REvil có liên kết với Nga đã triển khai một bản cập nhật phần mềm độc hại làm lộ diện các nhà cung cấp sử dụng nền tảng và khách hàng của họ.
Viện công bố lỗ hổng bảo mật của Hà Lan (DIVD) tiết lộ rằng có vẻ như cách khai thác được sử dụng cho vi phạm giống với cách họ đã phát hiện và đang trong quá trình giải quyết khi những kẻ tấn công tấn công. “Chúng tôi đã tiến hành một cuộc điều tra rộng rãi về công cụ sao lưu và quản trị hệ thống cũng như các lỗ hổng của chúng,” DIVD viết. “Một trong những sản phẩm chúng tôi đang điều tra là Kaseya VSA. Chúng tôi đã phát hiện ra các lỗ hổng nghiêm trọng trong Kaseya VSA và báo cáo chúng cho Kaseya, người mà chúng tôi vẫn thường xuyên liên lạc kể từ đó ”.
Vào thứ Sáu, Giám đốc điều hành Kaseya, Fred Vocolla, nói rằng “Chỉ một tỷ lệ rất nhỏ khách hàng của chúng tôi bị ảnh hưởng – hiện tại ước tính khoảng dưới 40 người trên toàn thế giới”. Chủ tịch của Sophos Ross McKerchar cho biết trong một tuyên bố hôm Chủ nhật rằng “Đây là một trong những cuộc tấn công ransomware tội phạm có phạm vi ảnh hưởng xa nhất mà Sophos từng thấy. Tại thời điểm này, bằng chứng của chúng tôi cho thấy hơn 70 nhà cung cấp dịch vụ được quản lý đã bị ảnh hưởng, dẫn đến hơn 350 tổ chức bị ảnh hưởng thêm. Chúng tôi hy vọng phạm vi đầy đủ của các tổ chức nạn nhân sẽ cao hơn những gì được báo cáo bởi bất kỳ công ty bảo mật cá nhân nào ”.
Phó Cố vấn An ninh Quốc gia về Công nghệ Mạng và Mới nổi Anne Neuberger đã theo dõi các bình luận trước đó của Tổng thống Biden, cho biết “FBI và CISA sẽ tiếp cận với các nạn nhân được xác định để cung cấp hỗ trợ dựa trên đánh giá về rủi ro quốc gia.”
Huntress Labs đang tham gia phản ứng với cuộc tấn công và có lập danh mục hầu hết các thông tin có sẵn, nói rằng cuộc tấn công đã xâm phạm hơn 1.000 doanh nghiệp mà nó đang theo dõi.
Sophos, Huntress và những người khác đã chỉ vào bài đăng này (ở trên) trên “Happy Blog” của REvil, tuyên bố rằng hơn một triệu thiết bị đã bị nhiễm virus và đặt ra yêu cầu tiền chuộc là 70 triệu USD bằng Bitcoin để mở khóa tất cả chúng. REvil có liên quan đến một loạt các sự cố ransomware, bao gồm một cuộc tấn công liên quan đến Kaseya trong Tháng 6 năm 2019, và một sự cố nổi tiếng hồi đầu năm nhắm vào nhà cung cấp thịt JBS. Tuy nhiên, nhà nghiên cứu bảo mật Marcus Hutchins bày tỏ sự hoài nghi về tuyên bố của nhóm, cho thấy họ đang phóng đại tác động lên với hy vọng thu được một khoản tiền lớn từ Kaseya hoặc ai đó khác
Cho đến nay, một trong những công ty bị ảnh hưởng đáng kể nhất bởi cuộc tấn công là Coop, một chuỗi hơn 800 cửa hàng tạp hóa ở Thụy Điển đã đóng cửa hôm thứ Bảy khi cuộc tấn công đóng cửa máy tính tiền của họ. Theo một ghi chú trên trang web của nó, các cửa hàng nơi khách hàng có thể mua sắm bằng ứng dụng di động Scan & Pay của Coop đã mở cửa trở lại, trong khi các địa điểm khác vẫn đóng cửa. Các chuyên gia đã dự đoán rằng vào thứ Ba khi người lao động trở lại văn phòng ở Mỹ, có thể có thêm nhiều nạn nhân được phát hiện.
Ba ngày sau cuộc tấn công, các máy chủ đám mây SaaS của Kaseya vẫn ngoại tuyến. Các công ty nói nó sẽ cung cấp lịch trình cập nhật cho việc khôi phục máy chủ vào tối nay, cũng như các chi tiết kỹ thuật khác của cuộc tấn công để giúp đỡ các nỗ lực khôi phục của khách hàng và các nhà nghiên cứu bảo mật.
.
