نفذت مجموعة القرصنة الشهيرة REvil هجوم فدية جديد استهدفت من خلاله عشرات الشركات الصغيرة في الولايات المتحدة.
حيث استهدفت المجموعة بشكل أساسي مخدمات شركة كاسيا Kaseya وهي منصة برمجية مصممة للمساعدة في إدارة خدمات تكنولوجيا المعلومات عن بُعد.
وبعد ذلك استخدمتها كقناة لنشر برمجيات الفدية عبر مزودي الخدمات السحابية التابعة لها.
واستخدمت المجموعة في هجومها تحديثاً ضاراً لخوادم VSA لنشر برامج الفدية على شبكات المؤسسات.
وظهرت هذه الحادثة، التي يعتقد أنها أثرت على عشرات الشركات في جميع أنحاء العالم، لأول مرة في وقت سابق من يوم أمس الجمعة.
وبحسب عملاء شركة الأمن Sophos و Kaseya فإن تحديث Kaseya الضار يصل إلى خوادم VSA المحلية، حيث يتم نشر برنامج الفدية على جميع أنظمة العملاء المتصلة باستخدام محرك البرمجة النصية الداخلي.
وشرح محلل البرامج الضارة في Sophos آلية عمل هذا الهجوم، حيث تقوم عصابة REvil بتعطيل حلول مكافحة الفيروسات المحلية.
ثم تنشر تطبيق Windows Defender المزيف الذي يقوم بتشغيل برنامج الفدية الثنائي الفعلي الذي يقوم بتشفير ملفات الضحية.
وتم الإبلاغ أن المجموعة طلبت مبلغاً قدره 44,999 دولار لإلغاء تشفير ملفات الأنظمة المتأثرة.
وطلبت شركة Kaseya وفور ورود أنباء الهجوم، من عملائها إغلاق خوادم VSA الخاصة بهم في الوقت الحالي “لأن أحد الأشياء الأولى التي يقوم بها المهاجم هو إيقاف الوصول الإداري إلى VSA.”
كما ادعى تقرير صادر عن موقع Bleeping Computer أن هذا الهجوم قد استهدف ستة شركات كبيرة مزودة للخدمات المدارة MSP.
وهي شركات تقدم خدمات تكنولوجيا المعلومات عن بعد للشركات الصغيرة التي تفتقر إلى قسم تكنولوجيا المعلومات.
وبمجرد إصابة مزودي الخدمة المُدارة، يمكن أن تهاجم أنظمتهم العملاء الذين يقدمون خدمات تكنولوجيا المعلومات عن بُعد من أجل (إدارة الشبكة وتحديثات النظام والنسخ الاحتياطية وأشياء أخرى).
وقامت المجموعة بتشفير البيانات لما يصل إلى 200 شركة.
ونشر الباحث Kevin Beaumont مزيداً من التفاصيل حول كيفية عمل الهجوم معتبراً أن فيروس الفدية قد وصل من خلال تحديث Kaseya واستخدام الامتيازات الإدارية للنظام الأساسي لإصابة الأنظمة.
وعلقت شركة Kaseya حول هذا الأمر قائلة أنها قد اتخذت إجراءات سريعة لحماية عملائها، كما قامت بإغلاق خوادم SaaS على الفور كإجراء احترازي.
على الرغم من عدم تلق أي تقارير عن هجوم استهدف SaaS أو عملاء مستضافين.
وأخطرت الشركة عملاءها المحليين على الفور عبر البريد الإلكتروني والإشعارات داخل المنتج والهاتف لإغلاق خوادم VSA الخاصة بهم لمنع تعرضهم للاختراق.
وأشارت الشركة إلى تأثر عدد قليل جداً من العملاء المحليين تقدر حالياً بأقل من 40 في جميع أنحاء العالم.
ووعدت بتحديد مصدر الثغرة الذي نتج عنه الهجوم، وتصحيحها.
وكانت مجموعة REvil قد ابتزت شركة آبل فيما سبق عن طريق هجوم ببرمجية فدية.