Skoči na vsebino

Največji napad z izsiljevalskim virusom izkorišča Kaseya VSA platformo

2. julija 2021 se je pričel odvijati največji napad z izsiljevalsko škodljivo kodo (ransomware), ki ga je izvedla kriminalna združba REvil. Uporabili so 0-day ranljivost (CVE-2021-30116) v platformi za uporavljanje IKT virov ameriškega podjetja Kaseya. Čeprav je najprej kazalo, da gre za še enega v vrsti napadov na dobavno verigo (supply-chain attack), v podjetju trdijo, da sami niso bili zlorabljeni za vrivanje škodljive kode, temveč so napadalci neposredno napadli stranke z nameščenimi Kaseya VSA strežniki. Ker gre v veliko primerih za podjetja, ki uporabljajo z infrastrukturo, ki jo ponujajo svojim nadaljnjim strankam (MSP, Managed Service Providers), je potencialno število prizadetih žrtev lahko dokaj visoko. V Sloveniji SI-CERT še ni prejel prijave incidenta, povezanega s Kaseya ranljivostjo. Napad je bil tempiran na podaljšan vikend v ZDA ob prazniku neodvisnosti (4. julij).

Objava REvil skupine o “več kot milijon okuženih sistemih”

REvil je na svojem (sarkastično poimenovanem) “Happy Blog” sicer zapisal, da so okužili več kot milijon sistemov, vendar pa analitiki podjetja Huntress dvomijo o tako veliki številki in ocenjujejo, da se število okuženih sistemov giblje med 1.500 in 2.0001.

Napad nas je spomnil na SolarWinds (ki je prav tako napad na dobavno verigo), v zadnjem času pa smo bili tudi priča odmevnim napadom z izsiljevalskimi virusi na visoko-profilirane tarče, kot sta ameriški naftovod Collonial Pipeline in irski zdravstveni sistem (HSE, Health Service Executive). S tem, ko so ti napadi postali vprašanje nacionalne varnosti večjih držav, smo lahko opazili tudi premike pri odzivanju. Sredi maja 2021 so izginila sredstva iz kripto-denarnic skupine DarkSide, ki naj bi izvedla napad na Collonial Pipeline. Javno so priznali tudi, da so izgubili dostop do svoje strežniške infrastrukture, s katero so izvajali napade. Sredi julija pa je s spleta izginila tudi skupina REvil, skupaj s svojim “Happy Blog”. Med obema dogodkoma sta se na sestanku srečala predsednika ZDA in Ruske federacije, Joe Biden in Vladimir Putin. O trendih je seveda še prezgodaj govoriti.

V primeru suma na ranljivosti na vaši opremi, o tem obvestite SI-CERT (cert@cert.si) in stopite v kontakt s predstavnikom podjetja, ki vam bo dal natančna navodila za nadgradnjo in pregled sistemov. Splošna navodila za zaščito pred napadi z izsiljevalskimi virusi najdete v obvestilu SI-CERT / 2019-05 Napredni napadi z izsiljevalskimi virusi.


1 izjava na Huntress spletnem seminarju 6. julija 2021

Preberite tudi

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA v partnerstvu s SI-CERT organizira prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek bo potekal 27. novembra 2024, v Klubu Cankarjevega doma, s …
Več

Statistika SI-CERT za prvo polovico leta 2024

Za trend prve polovice 2024 smo izbrali ciljanje na mobilne naprave, najbolj očitno gre za lažna SMS sporočila (smishing) v imenu bank in dostavnih služb. Na te se usmerjajo tudi vedno bolj napredni trojanci za krajo podatkov za dostop do mobilnih denarnic.
Več

CrowdStrike izpad in posledice v Sloveniji

Ob pospešeni digitalizaciji različnih vidikov družbe postajamo vedno bolj odvisni od informacijskih sistemov. Kako odporni so le-ti na izpade?
Več