MSP-провайдер Kaseya исключил теорию об атаке на цепочку поставок

Американская технологическая компания Kaseya, на минувшей неделе ставшая жертвой кибератаки с использованием вымогательского ПО REvil, исключила возможность несанкционированного вмешательства в ее кодовую базу с целью распространения вредоносного ПО.

Как первоначально предполагали ИБ-эксперты, вымогательская группировка могла получить доступ к серверной инфраструктуре Kaseya и злоупотребить ею для развертывания вредоносного обновления на серверах VSA на стороне клиента, аналогично разрушительной атаке на цепочку поставок SolarWinds.

«Злоумышленники смогли использовать уязвимости нулевого дня в продукте VSA для обхода аутентификации и запуска произвольного выполнения команд. Это позволило киберпреступникам использовать стандартные функции продукта VSA для развертывания программ-вымогателей на конечных точках. Нет никаких свидетельств того, что кодовая база VSA Kaseya была злонамеренно изменена», — пояснили представители компании Kaseya.

По данным специалистов нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure), атакующие проэ ксплуатировали ранее неизвестную уязвимость нулевого дня ( CVE-2021-30116 ) в сервере Kaseya VSA. Как предположили специалисты компании Huntress Labs, атакующие использовали ее для обхода авторизации на web-панели VSA, а затем выполнили SQL-команды на устройствах VSA для установки вымогательского ПО на всех подключенных клиентах.

По словам генерального директора компании Фреда Воккола (Fred Voccola), из-за атаки операторов вымогателя были прекращены бизнес-операции от 800 до 1,5 тыс. предприятий по всему миру, включая стоматологические кабинеты, архитектурные бюро, центры пластической хирургии и библиотеки. Одна из крупнейших в Швеции сетей супермаркетов Coop была вынуждена закрыть порядка 800 магазинов по всей стране из-за атаки REvil на Kaseya. Сотрудники магазинов не смогли обрабатывать платежи из-за потери работоспособности кассовых аппаратов и станций самооблуживания.