Более тысячи компаний пострадали от кибератаки на американского разработчика ПО Kaseya. За взломом предположительно стоят операторы вируса-вымогателя REvil, которых связывают с Россией.
2 июля специалисты Kaseya рекомендовали своим клиентам отключить ПО из-за возможной атаки, которую позже подтвердили. В компании заявили, что действия хакеров затронули небольшую группу ее клиентов, однако масштабы атаки увеличивались по мере расследования.
Как пишет Bloomberg со ссылкой на аналитиков Huntress Labs, злоумышленники атаковали как минимум восемь компаний, предоставляющих поддержку в IT-сфере, и могли получить доступ к сетям тысячи клиентов этих организаций.
«Это одна из самых масштабных атак, осуществленных негосударственными структурами, которую мы когда-либо видели. И она, похоже, направлена исключительно на получение денег. Трудно представить лучший способ распространения вредоносного ПО, чем через доверенных поставщиков IT-услуг», — заявил глава компании Kudelski Security Эндрю Говард.
Специалисты по кибербезопасности сразу предположили, что за атакой стоит хакерская группировка REvil. Позже Huntress Labs обнаружила на сайте хакеров в даркнете требование выкупа в $70 млн в биткоинах за дешифровку файлов всех жертв.
REvil (также известную как Sodinokibi) часто связывают с РФ из-за того, что они не атакуют российские организации или предприятия в странах бывшего СССР и часто публикуют сообщения на русском языке.
Президент США Джо Байден сообщил, что не уверен в том, что к атаке на Kaseya причастны российские власти. Он также сказал, что американские спецслужбы расследуют инцидент.
Напомним, в марте REvil зашифровала файлы компании Acer и потребовала заплатить $50 млн в криптовалюте Monero, в апреле группировка атаковала поставщика Apple.
В июне жертвой REvil стала крупнейшая мясоперерабатывающая компания в мире JBS и заплатила хакерам выкуп в размере $11 млн в биткоинах.
