حمله جدید باج افزاری، فروشندگان مهم آی‌تی را هدف گرفته است

به گزارش پیوست، به گفته متخصصان امنیت سایبری، این گروه تبهکار سایبری که احتمالا از اروپای شرقی یا روسیه فعالیت می‌کند، فروشنده نرم‌افزاری به نام کاسیا (Kaseya) را هدف گرفته که محصولاتش در شرکت‌های مدیریت آی‌تی استفاده می‌شود.

کایل هانسلوان (Kyle Hanslovan)، مدیرعامل شرکت امنیت سایبری هانترس لب (Huntress Labs) می‌گوید: «تازه‌ترین حملات باج‌افزاری تا همین امروز حداقل 12 شرکت پشتیبانی آی‌تی که به ابزار‌های مدیریت کاسیا به نام VSA وابسته هستند را تحت تاثیر قرار داده است.» طبق گفته او در تازه‌ترین حمله، مهاجمان 5 میلیون دلار باج تقاضا کرده‌اند.

به گفته هانسلوان این حادثه نه تنها شرکت‌های مدیریت آی‌تی، بلکه تمامی مشتری‌های آنها که مدیریت آی‌تی را به عهده این شرکت‌ها گذاشته بودند را تحت تاثیر قرار داده است. طبق برآورد او، هزار کسب‌وکار کوچک و متوسط تحت تاثیر این هک قرار می‌گیرند اما او می‌گوید فقط سه و نیم ساعت گذشته و ما هنوز از میزان گستره آن مطلع نیستیم.

مجرمان سایبری در ماه‌های اخیر چندین مرتبه سازمان‌هایی که نقش مهم در اقتصاد آمریکا دارند را هدف حمله قرار داده‌اند. حمله‌ای گسترده به خط لوله کولونیال در ماه می باعث شد تا ارسال سوخت به پمپ‌ بنزین‌های کرانه شرقی با مشکل مواجه شود و قیمت سوخت در این مناطق افزایش یافت. حمله سایبری JBS نیز تمام 9 کارخانه پردازش گوشت این شرکت در آمریکا را موقتا تعطیل کرد.

افزایش تعداد حملات در ماه‌های اخیر باعث شده تا متخصصان سایبری درمورد وضعیت فعلی هشدار دهند.

جوی تایدی (Joe Tidy)، گزارشگر موضوعات سایبری بی‌بی‌سی می‌گوید: «دو موضوع بزرگی که ذهن متخصصان امنیت سایبری را درگیر کرده، حملات باج افزاری و حملات زنجیره عرضه است. ترکیب این دو با هم کابوس بزرگی است.»

باج افزارها آفت اینترنت هستند و چندین گروه سازمان یافته تبهکاری دائما به شبکه‌های کامپیوتری دسترسی یافته و از آن به عنوان گروگانی برای باج گرفتن استفاده می‌کنند.

کریستوفر کربز، رئیس سابق آژانس امنیت سایبری و زیرساخت از زیرمجموعه‌های اداره امنیت ملی آمریکا می‌گوید: «اگر شما از VSA کاسیا استفاده می‌کنید، همین حالا تا زمان راه‌اندازی مجدد و پاسخ به ماجرا، این نرم‌افزار را خاموش کنید.»

آژانس امنیت سایبری و زیرساخت نیز در بیانیه‌ای جداگانه اعلام کرد که در حال بررسی و رفع این مشکل است.

کاسیا در یک پست وبلاگی اعلام کرد که سرور‌های ابری خود را خاموش کرده و در حال بررسی حادثه VSA است.

کاسیا می‌گوید: «ما در حال بررسی حمله احتمالی به VSA هستیم که نشان می‌دهد این حمله تعداد کمی از مشتریان حضوری ما را تحت تاثیر قرار داده است. ما سرور‌های SaaS را خیلی زود و به دلیل احتیاط خاموش کردیم.»

شرکت امنیت سایبری امسی‌سافت (Emsisoft) این نرم‌افزار مخرب را بررسی کرده و این بررسی نشان می‌دهد که REvil، گروه باج افزاری که مسئولان آمریکایی، آنها را مسئول حمله به شرکت غذایی JBS می‌دانند، این نرم‌افزار را تولید کرده‌اند.

هانسلوان می‌گوید: «سه شرکت از ارائه دهندگان خدمات آی‌تی از جمله مشتریان شرکت امنیت سایبری هانترس لب هستند.» او ادامه می‌دهد:‌ «حالا دانش مستقیمی درمورد آن داریم و تایید کردیم که واقعا کار REvil است.»

به گفته هانسلوان، 200 مشتری شرکت‌های ارائه دهنده خدمات آی‌تی تحت تاثیر این بدافزار قرار گرفته‌اند.

این بدافزار به نظر در VSA کاسیا مخفی شده و از آنجایی که شرکت‌های مدیریت آی‌تی از VSA برای ارائه به‌روزرسانی به مشتریان استفاده می‌کنند، این بدافزار به شرکت‌های مشتری نیز نفوذ کرده است.

حمله این چنین به زنجیره عرضه، همانند تاکتیکی است که هکر‌های روسی در حملات سولار ویندوز از آن استفاده کردند اما در این حمله نرم‌افزار آلوده به جای جاسوسی، برای دزدی استفاده شد.

تایدی می‌گوید هکرها در حملات اخیرشان نشان دادند که با حمله عرضه‌کنندگان نرم‌افزاری، ده‌ها یا حتی صد‌ها قربانی می‌گیرند. ما پیش از این هم شاهد حملات زیادی به زنجیره عرضه بودیم اما این حمله جدید احتمالا بزرگ‌ترین حمله با استفاده از باج‌افزار محسوب می‌شود.

به نظر می‌رسد که گنگ‌های باج‌‌افزاری یک رویکرد خلاق را در پیش گرفته به دنبال آن هستند که چطور بیشترین تاثیر را گذاشته و بزرگ‌ترین باج را تقاضا کنند.

دنیل ترانر، مسئول ارشد امنیت در شرکت امنیت سایبری اکسونیوس (Axonius) می‌گوید: «افزایش تنوع زیرساخت و ابزار‌هایی که برای مدیریت و امنیت آن استفاده می‌کنیم باعث شده تا حملات زنجیره عرضه این چنینی به هدف جذابی برای مهاجمان تبدیل شوند و مدیریت آن برای تیم‌های امنیتی و آی‌تی مشکل‌ساز شود. در این موارد که البته هنوز در مراحل اولیه است، به نظر می‌رسد مهاجمان از روابط بالای MSP (شرکت‌های ارائه‌دهنده خدمات مدیریت شده) برای بیشترین تاثیرگذاری به ویژه درست قبل از تعطیلات آخر هفته در آمریکا استفاده کرده‌اند.»

مسئولان امنیت سایبری دولت آمریکا و شرکت کاسیا از مشتریان و قربانیان احتمالی خواسته‌اند تا سریعا سرور‌های VSA را خاموش کنند.

شرکت خصوصی کاسیا می‌گوید که دفتر اصلی آن در شهر دوبلین ایرلند و دفتر مرکزی آن در آمریکا در میامی قرار دارد. روزنامه میامی هرالد به تازگی این شرکت را «یکی از قدیمی‌ترین شرکت‌های تکنولوژی میامی» توصیف کرد و در این گزارش گفت که کاسیا قصد دارد تا سال 2022، پانصد کارمند را برای پلتفرم امنیت سایبری جدیدش استخدام کند.

منبع: CNN, BBC, Newsweek