/* Urbjam un lāpam */

Kaseya piegādes ķēdes uzbrukums

Jūlija sākumā simtiem uzņēmumu atklāja, ka viņu sistēmas ir tikušas nokriptētas un ka par vienas iekārtas datu atgūšanu tiek pieprasīta $40,000 liela atlīdzība.

Lai gan šāda veida izspiešanas gadījumi nav jaunums, parasti tos izraisa kiberhigiēnas trūkums uzņēmumā: kāds darbinieks uzklikšķinājis uz epasta pielikumu, nepārbaudot tā paplašinājumu; serveriem nav laicīgi uzinstalēti ražotāja atjauninājumi; organizācijas lietotājiem bija atļauts pieslēgties bez otrā faktora, padarot iespējamu paroļu minēšanu.

Taču šoreiz neviens no “parastajiem aizdomās turamajiem” nebija pie vainas.

Kas ir Kaseya VSA?

Skartās organizācijas apvienoja lietotā programmatūra - Kaseya VSA (Virtual System Administrator). Taču uzņēmumi varēja par šo programmatūru pat nezināt, jo viņi paši to nebija instalējuši.

Kaseya VSA ir risinājums, ko izmanto Managed Service Providers — organizācijas, kas apkalpo citu uzņēmumu IT infrastruktūru kā ārpakalpojuma sniedzēji. Šajā incidentā bija uzlauzti vien kādi 40 Kaseya klienti, taču tā kā katrs no viņiem nodrošināja IT darbību desmitiem līdz simtiem citu uzņēmumu, tad gala sistēmu skaits, kuras tika nošifrētas, un uzņēmumu skaits, kuru darbība tika paralizēta, izrādījies masīvs.

Kriptovīrusi kā serviss

Uzbrukums kļuva iespējams pateicoties inovatīvam biznesa modelim: ransomware-as-a-service. Lai veiktu veiksmīgu izspiešanas operāciju, ir nepieciešamas specifiskas zināšanas un prasmes:

  1. ir jāiegūst pieeja organizācijas tīklam, jāspēj veikt sākotnējo tiesību paaugstināšanu (privilege escalation)
  2. jāpārlec uz citām domēna sistēmām, galu galā nonākot līdz Domain Controller (šo procesu sauc par lateral movement)
  3. visām domēna sistēmām jāizplata jaunas komandas, kas liek atslēgt antivīrusu un dzēst rezerves kopijas
  4. jāuzprogrammē kriptovīruss, kas izmanto publisko kriptogrāfiju, un tas jāpalaiž
  5. visbeidzot nepieciešams “lietotāju atbalsta” portāls, caur kuru nokriptēto sistēmu īpašnieki varētu sazināties, ja rodas problēmas ar kriptovalūtas pārskaitīšanu vai datu atgūšanu

Kriptovīrusi-kā-serviss modelis nodala atbildību par šiem uzdevumiem. Par visiem tehniskajiem jautājumiem atbild un uzbrukumam nepieciešamo infrastruktūru nodrošina RaaS servisa īpašnieks (kas savukārt deleģē uzdevumus citiem pagrīdes tirgus dalībniekiem, vai pat nopērk nepieciešamo funkcionalitāti kā atsevišķu moduli).

Operatoriem tad par šiem jautājumiem nav jāuztraucas un jādomā tikai par to, kuras organizācijas izvēlēties par nākamo mērķi un kā cik lielu izpirkuma naudu no viņiem prasīt.

Izspiedēju izvirzītās prasības

Pret Kaseya klientiem vērstie uzbrukumi notika izmantojot REvil ransomware grupas platformu. Pēc REvil vārdiem tika nokriptēts 1'000'000 individuālu sistēmu, par šo datu atgūšanu pieprasot:

  • $70 mil par universālu kriptoatslēgu
  • $5 mil par viena Managed Service Provider sistēmām
  • $40 000 par individuālas sistēmas atgūšanu

Labās prakses trūkums

Lai gan savos mārketinga materiālos Kaseya uzsver rūpes par kiberdrošību, viņu faktiskā attieksme šajos jautājumos ir visai apšaubāma.

Kaseya produktiem pievērstās uzmanības rezultātā, tajos atklājušās vairākas būtiskas problēmas. Visraksturīgākā varētu būt atklātā ievainojamība Kaseya lietotāju atbalsta portālā. Šis portāls izmantoja pašas Kaseya ražotu programmatūru, kurai Kaseya pati izlaidusi ielāpu vēl 2015. gadā, taču tas joprojām nebija uzinstalēts.

Arī ievainojamība, kas izmantota ransomware uzbrukumā, izrādījās triviāla - login formā parole tika pārbaudīta tikai tad, ja ta vispār bija norādīta HTTP pieprasījumā. T.i. nosūtot vienu pašu login bez paroles, sistēma izlaida paroles pārbaudi un automātiski ielaida uzbrucējus iekšā.

Turklāt Kaseya darbinieki ir cēluši trauksmi par kritiskām ievainojamībām viņu programmatūrā, taču vadība esot šos brīdinājumus ignorējusi.

Uzbrukumu sekas

  • REvil grupa apstādināja savu servisu un pazuda no pagrīdes
  • tā vietā uzradusies jauna grupa — BlackMatter, kas šķietami apvieno REvil un DarkSide (noziedznieki, kas maijā uzbruka ASV naftasvadam)
  • izspiedējvīrusu problēma bija apspriesta tiekoties ASV un Krievijas prezidentiem
  • Kaseya ieguva REvil atslēgu, bet apgalvo, ka tas izdarīts nemaksājot pieprasīto atlīdzību
  • ASV sola $10 milj. atlīdzību ārvalstu hakeru identificēšanā, kas uzbrūk kritiskajai infrastruktūrai
  • ASV plāno stingrāku kriptovalūtu regulēšanu
Menu