Nem kellett sokat várni az Egyesült államokban legújabban felfedezett, óriási léptékű ransomware-incidensre: a REvil bűnözői csport kártevője ezúttal az informatikai menedzsmentben utazó vállalatok széles köréhez, rajtuk keresztül pedig sok száz vállalati ügyfelükhöz jutott el. Az Oroszországból, esetleg Kelet-Európából eredeztetett hekkerek most a Kaseya szoftvergyártót célozták meg, amelynek termékeit széles körben használják az IT-menedzsment szolgáltatásokat nyújtó cégek.

A probléma súlyosságát jelzi, hogy Joe Biden amerikai elnök a hétvégén szemályesen utasította az ország hírszerző ügynökségeit a támadások kivizsgálására. Az elnök első nyilatkozata szerint egyelőre nem igazolható, hogy ennek az akciónak köze lenne az orosz kormányzathoz, bár a Vlagyimir Putyinnal folytatott júniusi találkozójára utalva azt is hozzátette, hogy ha ez mégis bebizonyosodik, akkor az USA akkori ígéretének megfelelően válaszolni fog a támadásra.

Annyit már biztosan tudni lehet, hogy a zsarolóprogram legalább egy tucatnyi olyan IT-támogatással foglalkozó szolgáltatót ütött ki, amely a Kaseya VSA távmenedzsment és -monitoring eszközét alkalmazza. Ezek közül legalább egy esetben a hekkerek 5 millió dollár váltságdíjat követeltek, közben pedig maguk a támadók is közzétették, hogy 70 millió dollárért (több mint 20 milliárd forintért) cserébe nyilvánossá teszik a titkosított fájlok feloldásához szükséges kulcsokat. A REvil ebben több millió érintett rendszerről beszél.

Még csak a jéghegy csúcsa látszik

A mostani eset, hasonlóan például a múlt év végén nyilvánosságra került SolarWinds-incidenshez, nem csak a szóban forgó IT-menedzsment vállalatokat érinti, hanem azok ügyfeleit is: ez már az első körös becslések szerint ezer vállalkozást jelent. Maga a Kaseya időközben bejelentette, hogy lekapcsolta cloud szervereit, és vizsgálja az ügyet, de azt siettek egyértelművé tenni, hogy szerintük a problémák az on-premise ügyfeleik egy kis csoportját érintik.

A hírek szerint egyébként a támadást péntek délutánra, közvetlenül az amerikai nemzeti ünnep hétvégéje elé időzítették, és a bűnözők nem meglepő módon a Kaseya VSA szerverének egyik sérülékenységét használták ki. A kártékony kódokat az Emsisoft által közzétett elemzés már a hétvégén a REvil csoporthoz kapcsolta, amelynek legutóbb júniusban a JBS Foods élelmiszeripari multi fizetett 11 millió dolláros váltságdíjat egy hasonló támadás nyomán.

A ransomware-t a jelek szerint sikerült titokban beágyazni a Kaseya VSA-ba, így a rosszindulatú programot maguk az IT-menedzsment szolgáltatók terjeszthették, amikor szoftverfrissítéseket végeztek az ügyfeleiknek. Ahogy annak idején a SolarWinds esetében, itt is folyamatosan futnak be a hírek a világszerte érintett cégekről, amelyekből kiderül, hogy az eddig közölt esetek itt is csak a jéghegy csúcsát jelentik. A legfrissebb beszámolók szerint egy svéd üzletláncnak például 800 üzlete zárt be a támadás következtében, de az érintettek között már vasúttársaság is található.