2021 започна така, както завърши 2020 – с кошмарна сцена на глобалната киберсигурност. Два инцидента тук се отличават обаче: атаката към Colonial Pipeline, която демонстрира какво може да причини една атака към обект от критичната инфраструктура. При това не целенасочена атака, която цели саботажни действия, а беше дело на киберпрестъпници, търсещи финансова изгода. Другата атака беше тази към Caseya, водещ софтуерен доставчик на софтуер и услуги за компютърно обслужване към MSP компании.

В началото на миналия месец, американската компания Kaseya алармира за инцидент, при който е компрометирана сървърната им структура за доставяне на обновления към техните клиенти. Обхватът на атаката изглежда не съвпадна с почти апокалиптичните прогнози, но някои анализатори се запитаха логичния въпрос в този случай: ами ако подобна атака се проведе успешно към някоя голяма компания? Плюем си в пазвата и хвърляме боб, понеже за такава не сме чували (както е между другото с повтаряните от години заплахи, че хакери може да атакуват успешно електро- или атомни централи).

По-рано това лято, президентите на Руската федерация и САЩ Владимир Путин и Джоузеф Байдън се срещнаха в швейцарския град Давос, като една от обсъжданите теми беше именно киберсигурността и действията на руските хакери. От години се носи публична тайна, че Кремъл си затваря очите за действията на руски киберпрестъпници, стига те да не извършват престъпленията си на територията на РФ. Дали това ще се промени? Или вече виждаме промяната? REvil, една от най-актуалните киберпрестъпни групи, разпространяващи рансъмуер и виновници за атаката към Kaseya внезапно изчезна в средата на този месец. Какво се е случило, кой е виновник за това, дали хакерите не се покриха просто? Това са въпроси, които е вероятно да останат без отговор. Но една новина от тази седмица ни дава основание да смятаме, че не са REvil взели решението да се оттеглят просто така от престъпната сцена. Kaseya са се сдобили с универсален декриптиращ ключ – същият, за който REvil искаха откупа от $70 милиона.

„Може да потвърдим, че Kaseya се сдоби с инструмента от външна страна и екипите ни помагат активно на клиентите ни, които са засегнати от рансъмуера, за да възстановят своите среди. Засега нямаме доклади за проблеми, свързани с декриптора“, пишат от компанията в обновление на своя сайт. Помощ на Kaseya и клиентите на компанията в случая оказват компанията за киберсигурност Emsisoft.

Какво точно наистина се е случило, никой все още не може да каже. Специалисти предупреждават, че макар и декриптиращият ключ вече да е в ръцете на жертвите, атаките може да не са приключили.

„Групата все още може да има копия от откраднатите от жертвите данни“, цитира ThreatPost Иван Риги от Digital Shadows. „Те може да използват тази информация. за да изнудват жертвите или да предложат данните на търг, както са правили и преди, например със сайта Happy Blog“. И не е само това.

Друг анализатор посочва, че хакерите вече са нанесли огромни щети на засегнатите. Това са огромни средства, които ще бъдат дадени за възстановяване на системите и мрежите от атака и тяхното повторно изграждане. Да не говорим за това, че киберпрестъпниците може да са заложили скрити механизми в тези мрежи, за да се върнат отново в тях.

„Единствено декриптирането на информацията не решава проблемите, които остават, като възможността за инсталиран бекдор софтуер, който атакуващата страна да използва по-късно. Това означава, че има още доста работа да се свърши“, смята Ерих Кох от KnowBe4.

Абонирай се
Извести ме за
2 Коментара
стари
нови оценка
Отзиви
Всички коментари