Szerző: Koi Tamás

2021. július 6. 11:02

Ijesztő részletek szivárognak a Kaseya-támadásról

Egyre ijesztőbb részletek derülnek ki a Kaseya felhős platformján keresztül végrehajtott zsarolóvírus-támadásról, melynek az első becslésekhez képest jóval több áldozata lehet.

A július 4-i hétvégén - az amerikai nemzeti ünnepre időzítve - újabb, kifinomult kibertámadás ért egy amerikai szoftverszolgáltató céget, a Kaseya-t, mely pillanatok alatt az elmúlt évek legnagyobb, tömeges ransomware-támadásává nőtte ki magát. Az érintettek köre állítólag olyan széles, hogy a feltételezett elkövető, az orosz hátterű REvil az ilyenkor szokásos módszertől eltérően nem is vette fel minden áldozattal a kapcsolatot, helyette inkább 70 millió dollárt követel azért az univerzális kulcsért cserébe, mellyel a titkosított állományok visszafejthetők.

A múlt pénteken indult támadás az eddig feltárt adatok szerint legalább tizenhét országra terjedt ki, az első, hírekbe is bekerült áldozat a svéd Coop áruházlánc volt, melynek 800 üzletét kellett bezárni a hétvégére, a rendszerek működését pedig mostanáig sem sikerült teljesen helyreállítani. A svéd célpontok közt volt emellett egy gyógyszertár- és benzinkúthálózat, a svéd állami vasúttársaság és a köztelevízió is. A cégek közt emellett található nagy német és dán IT-szolgáltató is.

sweden_coop
az egyik hétvégén bezárt Coop üzlet 

Éles a modern webfejlesztés és CI/CD meetupjaink programja!

December 29-30-án folyatódik a HWSW online meetup-sorozata.

Éles a modern webfejlesztés és CI/CD meetupjaink programja! December 29-30-án folyatódik a HWSW online meetup-sorozata.

Bár az IT-outsourcing megoldásokban utazó Kaseya mintegy 37000 ügyfeléből a szolgáltató szerint csupán 50-60 lehetett érintett, ezek 70%-a menedzselt szolgáltatást nyújt, illetve nyújtott jellemzően kkv-k számára, így az automatizált frissítési rendszereken keresztül a zsarolóvírus könnyedén utat talált magának a több ezer feltételezett célpont felé.

Egyelőre nincs arra utaló jel, hogy a támadásnak magyar áldozatai is lennének - bár a Kaseya-nak vannak magyar ügyfelei is -, ám az Alverad Techology Focus blogposztja szerint abban részt vehettek magyar szerverek is. 

A magyar szervereket feltehetőleg korábban kompromittálták és vezérlő szerverként (Command and Control -CnC) használták fel őket a támadás során. 

A kiadott CnC szerver lista alapján az érintett magyar szerverek:

  • https://iphoneszervizbudapest.hu
  • https://hebkft.hu/

A blogposzt szerint a CnC listában szereplő szerverek esetében azt nem lehet tudni, hogy az incidenskezelők IP címet oldották vissza ezekre a domainekre, vagy a kommunikációban a konkrét URL és domai cím szerepelt.

A lista alapján az ugyanakkor biztosnak tűnik, hogy a két domain vagy az alattuk működő két IP címet kapcsolatba hozták az incidenssel, de például az iphoneszervizbudapest.hu domaint és további másik 500 domaint is a 185.43.206.2 - cpanel1.rackforest.hu szolgálja ki. 

A REvil újabb támadását több biztonsági cég is rendkívül nagy horderejűnek minősítette, így a Sophos úgy véli, ez a valaha volt egyik legtávolabbra elérő zsarolóvírus, míg az ESET Nordics szerint a támadás eddig soha nem tapasztalt mértékű volt. A Kaspersky szakértői állítják, hasonló esetekben a váltságdíj kifizetése csak ideiglenes tűzoltás, ami ráadásul azt érzékelteti a támadókkal, hogy ez egy olyan "üzlet", ami busás haszonnal jár, nem utolsósorban a bevételekből újabb, nem publikus sérülékenységekhez kaphatnak hozzáférést a hackerek.

a címlapról