Ijesztő részletek szivárognak a Kaseya-támadásról
Egyre ijesztőbb részletek derülnek ki a Kaseya felhős platformján keresztül végrehajtott zsarolóvírus-támadásról, melynek az első becslésekhez képest jóval több áldozata lehet.
A július 4-i hétvégén - az amerikai nemzeti ünnepre időzítve - újabb, kifinomult kibertámadás ért egy amerikai szoftverszolgáltató céget, a Kaseya-t, mely pillanatok alatt az elmúlt évek legnagyobb, tömeges ransomware-támadásává nőtte ki magát. Az érintettek köre állítólag olyan széles, hogy a feltételezett elkövető, az orosz hátterű REvil az ilyenkor szokásos módszertől eltérően nem is vette fel minden áldozattal a kapcsolatot, helyette inkább 70 millió dollárt követel azért az univerzális kulcsért cserébe, mellyel a titkosított állományok visszafejthetők.
A múlt pénteken indult támadás az eddig feltárt adatok szerint legalább tizenhét országra terjedt ki, az első, hírekbe is bekerült áldozat a svéd Coop áruházlánc volt, melynek 800 üzletét kellett bezárni a hétvégére, a rendszerek működését pedig mostanáig sem sikerült teljesen helyreállítani. A svéd célpontok közt volt emellett egy gyógyszertár- és benzinkúthálózat, a svéd állami vasúttársaság és a köztelevízió is. A cégek közt emellett található nagy német és dán IT-szolgáltató is.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Bár az IT-outsourcing megoldásokban utazó Kaseya mintegy 37000 ügyfeléből a szolgáltató szerint csupán 50-60 lehetett érintett, ezek 70%-a menedzselt szolgáltatást nyújt, illetve nyújtott jellemzően kkv-k számára, így az automatizált frissítési rendszereken keresztül a zsarolóvírus könnyedén utat talált magának a több ezer feltételezett célpont felé.
Egyelőre nincs arra utaló jel, hogy a támadásnak magyar áldozatai is lennének - bár a Kaseya-nak vannak magyar ügyfelei is -, ám az Alverad Techology Focus blogposztja szerint abban részt vehettek magyar szerverek is.
A magyar szervereket feltehetőleg korábban kompromittálták és vezérlő szerverként (Command and Control -CnC) használták fel őket a támadás során.
A kiadott CnC szerver lista alapján az érintett magyar szerverek:
- https://iphoneszervizbudapest.hu
- https://hebkft.hu/
A blogposzt szerint a CnC listában szereplő szerverek esetében azt nem lehet tudni, hogy az incidenskezelők IP címet oldották vissza ezekre a domainekre, vagy a kommunikációban a konkrét URL és domai cím szerepelt.
A lista alapján az ugyanakkor biztosnak tűnik, hogy a két domain vagy az alattuk működő két IP címet kapcsolatba hozták az incidenssel, de például az iphoneszervizbudapest.hu domaint és további másik 500 domaint is a 185.43.206.2 - cpanel1.rackforest.hu szolgálja ki.
A REvil újabb támadását több biztonsági cég is rendkívül nagy horderejűnek minősítette, így a Sophos úgy véli, ez a valaha volt egyik legtávolabbra elérő zsarolóvírus, míg az ESET Nordics szerint a támadás eddig soha nem tapasztalt mértékű volt. A Kaspersky szakértői állítják, hasonló esetekben a váltságdíj kifizetése csak ideiglenes tűzoltás, ami ráadásul azt érzékelteti a támadókkal, hogy ez egy olyan "üzlet", ami busás haszonnal jár, nem utolsósorban a bevételekből újabb, nem publikus sérülékenységekhez kaphatnak hozzáférést a hackerek.