A legfrissebb becslések szerint világszerte 800-1500 üzleti vállalkozást érinthetett az a múlt pénteki ransomware támadás, amelynek középpontjában az amerikai Kaseya informatikai szállító állt. A társaság vezérigazgatója hétfőn arról beszélt, hogy egyelőre nehéz megbecsülni az incidens pontos hatásait, mert az érintettek nem elsősorban maguk a Kaseya ügyfelei, hanem az ügyfelek ügyfelei voltak.

Ahogy arról hétfőn beszámoltunk, a hekkerek Kaseya VSA szerverének egyik sérülékenységét használták ki, és a zsarolóprogram legalább egy tucatnyi olyan IT-támogatással foglalkozó szolgáltatót érintett, amely a gyártó távmenedzsment és -monitoring eszközét alkalmazza. Ezzel, hasonlóan a múlt év végi SolarWinds-incidenshez, az IT-menedzsment vállalatok kliensei is tömegével kerültek veszélybe.

Az már eddig is kiderült, hogy a támadással több száz vállalkozást béníthattak mind az öt kontinensen. Bár az áldozatok többsége kisebb vállalkozás lehet, mint amilyenek a a fogorvosi rendelők vagy a könyvelőirodák, a probléma az automatizált frissítéseken keresztül egy áruházláncot, egy vasúti cégeket és oktatási intézményeket is egészen biztosan érintett.

A hekkerek közben bejelentették, hogy 70 millió dolláros váltságdíj fejében hajlandóak nyilvánossá teszik a titkosított fájlok feloldásához szükséges kulcsokat a szerintük több millió érintett rendszerben. A Kaseya vezetői azóta a Fehér Ház, az FBI és a belügyminisztérium képviselőivel is egyeztettek, de ezzel kapcsolatban egyöntetűen azt nyilatkozták, hogy nem kívánják kommentálni a terroristákkal való tárgyalás lehetőségeit.

Szerintük ilyen az üzlet

A Kaseyának egyébként magyarországi ügyfelei is vannak, de arról egyelőre nincs szó, hogy a támadásnak magyar vállalkozások is áldozatul estek volna. A HWSW ezzel kapcsolatban az Alverad Techology Focus blogposztját idézi, amely szerint a támadásban résztvevő magyar szervereket feltehetőleg már korábban kompromittálták, és vezérlő szerverként használták fel azokat az akció során.

Az amerikai kormányzat már vasárnap közölte, hogy ellenőrzi a ransomware incidenssel összefüggő nemzetbiztonsági kockázatokat, de a Kaseya szerint eddig nincs tudomásuk róla, hogy az országos jelentőségű szervezeteket és kritikus infrastruktúrákat sújtott volna, mivel ilyenek nemigen akadnak a társaság ügyfélkörében.

Mivel a Kaseya állítólag éppen a hekkerek által kihasznált sebezhetőség javításán dolgozott, amikor a támadást végrehajtották, a biztonsági szakértők azon spekulálnak, hogy a bűnözők valamilyen módon belülről monitorozhatták a cég kommunikációját. Ezt a Kaseya eddig nem erősítette meg, sőt azt is hangsúlyozta, hogy egyelőre semmilyen bizonyíték nem utal arra, hogy bűnözők behatoltak volna a saját rendszereibe.

Az egész ügy valódi nagyságrendje mindezzel együtt is csak kedd estétől válik majd fokozatosan nyilvánvalóvá, amikor az amerikaiak jó része visszatér a munkába a július 4-i ünnepi hosszú hétvégéről. A Reuters eközben a hekkerek képviselőjével is kapcsolatba lépett, aki az új-zélandi iskolákban és óvodákban okozott felfordulást balesetnek nevezte, szemben a svéd Coop 800 darab szupermarket-áruházának hétvégi bezárásával, ami szerinte az üzlet velejárója.

A globális ellátási láncot megrázó legújabb támadás további részleteit és az eddigi információkat a biztonsági szolgáltatók, például az ESET oldalán érdemes keresni.