Kaseya, một công ty công nghệ dành cho doanh nghiệp, là nạn nhân mới nhất độc hại ransomware . Công ty đã xác nhận rằng khoảng 1.500 doanh nghiệp đã bị ảnh hưởng bởi cuộc tấn công vào cuối tuần 4 tháng 7, mặc dù những kẻ tấn công nói rằng họ đã ảnh hưởng đến hơn một triệu máy tính.
Những kẻ tấn công dường như đã thực hiện một cuộc tấn công ransomware trong chuỗi cung ứng bằng cách (tự nhiên) khai thác một lỗ hổng chưa được biết đến trước đây trong phần mềm VSA của công ty chống lại khách hàng của họ cũng như một số nhà cung cấp dịch vụ được quản lý. VSA là phần mềm quản lý và giám sát từ xa của công ty được sử dụng để quản lý và cập nhật các điểm cuối (như PC hoặc máy tính tiền).
“Cho đến nay, chúng tôi biết có ít hơn 60 khách hàng của Kaseya, tất cả đều đang sử dụng sản phẩm VA tại chỗ, đã bị xâm hại trực tiếp bởi cuộc tấn công này. Trong khi nhiều khách hàng trong số này cung cấp dịch vụ CNTT cho nhiều công ty khác, chúng tôi hiểu cho đến nay, tổng tác động đến ít hơn 1.500 doanh nghiệp hạ nguồn. Chúng tôi không tìm thấy bằng chứng cho thấy bất kỳ khách hàng SaaS nào của chúng tôi đã bị xâm phạm, ”Kaseya nói trong bản cập nhật .
Cuộc tấn công được phát động lần đầu vào thứ Sáu, ngày 2 tháng 7. Kaseya đã phát hành Công cụ phát hiện thỏa hiệp cho khách hàng vào ngày hôm sau. Công cụ này sẽ phân tích các máy chủ và điểm cuối để xem liệu các dấu hiệu của sự thỏa hiệp có được phát hiện hay không. Vào Chủ nhật, ngày 4 tháng 7, các diễn viên đã yêu cầu 70 triệu đô la Bitcoin để đổi lấy công cụ giải mã phổ quát của họ. Ngày hôm sau, Kaseya đã công bố một bản vá cho khách hàng tại chỗ, bản vá này sẽ được tung ra trong vòng 24 giờ sau khi máy chủ SaaS của mình trực tuyến trở lại.
Cuối tuần qua, Kaseya đã gặp FBI và CISA để thảo luận về các biện pháp bảo mật — như hệ thống và các yêu cầu tăng cường mạng. Công ty cũng lưu ý, “Một loạt các yêu cầu sẽ được đăng trước khi khởi động lại dịch vụ để khách hàng của chúng tôi có thời gian thực hiện các biện pháp chống đối này với dự đoán hoạt động trở lại vào ngày 6 tháng 7.”
Máy chủ của Kaseya vẫn hoạt động ngoại tuyến vài ngày sau cuộc tấn công, điều này đã ảnh hưởng đến các công ty đáng chú ý như Coop, một cửa hàng nhượng quyền cửa hàng tạp hóa của Thụy Điển với hơn 800 cửa hàng, có máy tính tiền đã bị hỏng. Kaseya cho biết họ sẽ cung cấp thêm thông tin chi tiết về cuộc tấn công và giữ cho khách hàng bám sát các nỗ lực bảo mật và tiến trình khôi phục đầy đủ khi họ tiến về phía trước. Cuộc tấn công này
qua ZDNet