В пятницу, 2 июля, в результате кибератаки подверглись риску компьютерные системы от 800 до 1500 компаний по всему миру. Эксперты в области безопасности считают, что эта кибератака могла быть самой масштабной хакерской атакой с применением вируса-вымогателя. Используя этот вирус, злоумышленники блокируют работу систем до тех пор, пока не будет уплачен выкуп.
«На сегодняшний день это худший инцидент с применением программы-вымогателя, но, если мы не примем меры, худшее нас ждет впереди», — сказал Кайл Ханслован (Kyle Hanslovan), глава компании Huntress Labs, специализирующейся на кибербезопасности.
Хакеры сумели взломать системы компании Kaseya, которая находится в Майами и занимается разработкой программного обеспечения. Эта компания предоставляет свои технологические услуги десяткам тысяч организаций по всему миру. Многие из ее клиентов — это так называемые провайдеры услуг внешнего управления, то есть компании, предоставляющие технологическую поддержку другим компаниям.
«Это кошмар, — сказал Фред Воккола (Fred Voccola), глава компании Kaseya, в своем видео-обращении к клиентам, опубликованном во вторник, 6 июля. — Если бы я был на вашем месте, я бы очень сильно расстроился — на то есть все основания».
По его словам, в попытке решить эту проблему Kaseya сотрудничает с ФБР, Министерством внутренней безопасности и Белым домом.
По словам Вокколы, в результате атаки хакеров непосредственным образом были скомпрометированы системы около 50 прямых клиентов Kaseya, в том числе десятки провайдеров услуг внешнего управления.
В воскресенье, 4 июля, группа хакеров REvil, базирующаяся в России, взяла на себя ответственность за эту хакерскую атаку, похваставшись ей на собственном сайте — под названием Happy Blog — в даркнете. Как сообщила фирма Huntress Labs, у некоторых жертв хакеры потребовали выкуп в размере 5 миллионов долларов.
Бретт Кэллоу (Brett Callow), аналитик в фирме Emsisoft, специализирующейся на обеспечении кибербезопасности, отметил, что хакеры REvil также требовали криптовалюту на сумму в 45 тысяч долларов за каждую компьютерную систему, работу которой и жертвы хотели восстановить.
Хакеры REvil также сообщили, что, если им заплатят 70 миллионов долларов в биткоинах, они опубликуют свой инструмент, чтобы все пострадавшие компании смогли вернуть утерянные данные.
«Если такая сделка вас заинтересует, свяжитесь с нами», — написала эта хакерская группа, добавив, что она предоставила пострадавшим способ связаться с ней.
Джек Кейбл (Jack Cable), эксперт по кибербезопасности в Krebs Stamos Group, рассказал, что он сумел связаться с хакерами REvil в выходные и что эта группировка выразила готовность вступить в переговоры. По словам Кейбла, хакеры предложили уменьшить сумму выкупа до 50 миллионов долларов в биткоинах.
В ходе пресс-конференции во вторник, 6 июня, пресс-секретарь Белого дома Джен Псаки сказала, что «мы советуем компаниям отказаться от уплаты выкупа, поскольку это создает дополнительные стимулы для злоумышленников».
Псаки сообщила, что чиновники американского аппарата национальной безопасности связались с чиновниками российского правительства, чтобы обсудить эту кибератаку. Когда президент США Джо Байден встретился в июне с президентом России Владимиром Путиным, он потребовал, чтобы российские власти начали активнее бороться с кибератаками с применением вирусов-вымогателей, число которых последние несколько месяцев неуклонно растет. ФБР сообщило, что именно группировка REvil стоит за майской хакерской атакой на крупнейшего в мире производителя мяса JBS.
«Если российское правительство не может или не хочет принимать меры в отношении преступников, находящихся на территории России, мы сами примем меры — или оставим за собой право принять меры на наше усмотрение», — сказала Псаки.
Кибератака против компании Kaseya повлекла за собой каскадный эффект, затронув компании более чем в десятке стран, включая Соединенные Штаты, Германию, Австралию и Бразилию. В Швеции торговая сеть Coop была вынуждена закрыть более 800 своих магазинов в субботу, 3 июля, и специалистам пришлось посетить все эти магазины, чтобы устранить проблемы, вызванные этой кибератакой. По словам экспертов, в результате атаки вируса-вымогателя пострадали шведская железная дорога и сеть аптек.
По словам Вокколы, подобная хакерская атака должна была случиться.
«Даже лучшие защиты в мире можно взломать», — сказал он.
По его словам, он часто слышит от правительственных чиновников и экспертов в области кибербезопасности, что, когда речь заходит о хакерских атаках, вопрос не в том, может ли такое случиться, а в том, когда это случится.