Внешняя IT-служба Kaseya распространяла GandCrab

Более 1500 организаций пополнили список жертв GandCrab. Злоумышленники атаковали компании через поставщика IT-услуг, напрямую подключенного к инфраструктурам заказчиков.

По сообщениям специалистов, один из клиентов заметил признаки вмешательства в понедельник 4 февраля. Преступники воспользовались брешью в одном из плагинов к системе удаленного доступа Kaseya. Известная с ноября 2017 года уязвимость позволяет отправлять серверу команды в обход аутентификации.

При помощи буквально одной команды взломщики установили шифровальщик GandCrab всем клиентам провайдера. На черном рынке любой желающий может взять этот зловред в аренду, поэтому выяснить, кто организовал кампанию, пока не удалось.

Ранее в атаках на IT-провайдеров были замечены сразу несколько APT-группировок, которые таким образом быстро расширяют масштаб своих кампаний. Нынешний взлом позволил преступникам заблокировать более 1500 организаций, а у компании — невольной соучастницы распространения GandCrab потребовали $2,6 млн выкупа. Ущерб от потери зашифрованных данных еще только предстоит оценить.

Вскоре после инцидента компания Kaseya напомнила о существующем патче к проблемному плагину. По словам разработчиков, сейчас заплатка установлена у «критически малой» доли пользователей. Производитель призвал администраторов срочно удалить устаревшие версии плагина. Примечательно, что и CVE-индекс у этой уязвимости появился только сейчас, когда ИБ-эксперты напомнили о ней корпорации MITRE.

Эксперты отмечают, что растущее число подобных атак сильно беспокоит профессиональное сообщество — внешней IT-поддержкой пользуется множество организаций. Ситуацию осложняет и тот факт, что клиенты бессильны перед угрозой. После того как преступники взломали ПО на стороне провайдера, защитные системы его заказчиков считали вредоносные действия легитимными.

Проблема уже привлекла внимание американского правительства. В октябре специалисты US-CERT сообщили, что следят сразу за несколькими группировками, которые угрожают IT-провайдерам. Преступники тщательно скрывают свои действия, используя легитимные учетные данные, доверенные приложения и предустановленные системные утилиты, — все это позволяет взломщикам похищать информацию и деньги.

Ранее австралийские специалисты обнаружили вредоносную кампанию, направленную на поставщиков хостинговых услуг. Преступники устанавливали нежелательное ПО на веб-серверы, что позволяло им добывать криптовалюту, манипулировать с трафиком и рекламными баннерами.

Источник: https://threatpost.ru/us-it-provider-becomes-ransomware-cesspool/31026/