Hakerzy wykorzystali lukę w zabezpieczeniach amerykańskiego dostawcy usług IT Kaseya, aby zaatakować klientów programem szyfrującym dane i żądającym okupu (ransomware). Na podstawie kodu oprogramowania eksperci ds. bezpieczeństwa IT przypisali atak grupie hakerów REvil, która ma siedzibę w Rosji. REvil stał kilka tygodni temu za atakiem na największą na świecie firmę mięsną JBS, która w wyniku tego musiała na kilka dni zamknąć zakłady w USA i innych krajach. Ostatecznie zapłaciła 11 mln dolarów okupu. 800 sklepów zamkniętych po ataku W piątek wieczorem po ataku hakerskim na amerykańskiego dostawcę oprogramowania w korzystającej z jego usług sieci sklepów spożywczych Coop w Szwecji przestał działać system kas Visma Esscom. 800 sklepów Coop pozostawało w niedzielę zamkniętych po ataku. Nie można wykluczyć, że kiedy w poniedziałek rozpocznie się tydzień pracy okaże się, że także inne firmy mają problemy po cyberataku. Ataki typu ransomware (zbitka słów ransom "okup" i software "oprogramowanie") blokują dostęp do systemu komputerowego lub uniemożliwiają odczyt zapisanych w nim danych często poprzez techniki szyfrujące. Sprawcy takich ataków żądają zazwyczaj okupu za przywrócenie stanu poprzedniego. Komunikat FBI Tymczasem Federalne Biuro Śledcze (FBI) wydało komunikat, zalecający firmom, które mogą być dotknięte atakiem ransomware przeciwko oprogramowaniu firmy Kaseya, by zamknęły używane serwery VSA firmy i zgłosiły incydent do służby. "FBI prowadzi dochodzenie w sprawie incydentu ransomware przeciwko Kaseya i ściśle współpracuje z CISA (Agencją Bezpieczeństwa Cybernetycznego i Infrastruktury) i innymi partnerami, by zrozumieć skalę zagrożenia. Jeśli uważasz, że twoje systemy zostały zinfiltrowane, zachęcamy do stosowania wszystkich środków ograniczających szkody, wykonania zaleceń Kaseya, by natychmiast zamknąć serwery VSA i zgłosić incydent do FBI pod adresem ic3.gov" - napisało w komunikacie Biuro. FBI przyznało, że skala incydentu może być zbyt duża, by mogło ono odpowiedzieć na wszystkie zgłoszenia osobno. Jednak dodało, że wszelkie informacje będą przydatne w rozwiązaniu problemu. W nowym komunikacie Kaseya dodatkowo poleciła ofiarom ataku, by nie klikały w linki zawarte w wiadomościach od hakerów. W porannym wywiadzie dla telewizji ABC, szef koncernu zapewnił, że wie jak doszło do włamania i trwają prace, mające zlikwidować zagrożenie. W sobotę podano, że ofiarami ataku na systemy usług zarządzanych Kaseya mogło paść ok. 200 podmiotów, które korzystały z serwerów VSA. Kto stał za atakami? Prezydent USA Joe Biden poinformował w sobotę, że zlecił amerykańskim agencjom wywiadowczym zbadanie, kto stał za atakiem ransomware. Atak przypisuje się hakerom z grupy "REvil". Biden przyznał, że obecnie nie wiadomo, czy za atakiem tym stała grupa hakerska powiązana z Rosją, chociaż tak przypuszcza amerykańska prasa, która przypisała go hakerom z grupy "REvil". Podobne stanowisko przedstawiła także firma Huntress Labs Inc., specjalizująca się w bezpieczeństwie cybernetycznym. - Nie jesteśmy pewni, kto stoi za atakiem. Początkowe myślenie było takie, że to nie był rząd rosyjski, ale teraz nie jesteśmy tego jeszcze pewni - powiedział Biden i zapewnił, że Stany Zjednoczone właściwie zareagują, jeśli uznają, że winna jest Rosja. Andrew Howard, dyrektor generalny szwajcarskiej firmy Kudelski Security, uznał incydent za jeden z ataków o największym zasięgu, przeprowadzonych przez podmioty niebędące państwami narodowymi. Ocenił, że został zaplanowany wyłącznie w celu wyłudzenia pieniędzy.