Супермаркет Coop закрывает 500 магазинов после атаки вымогателя Kaseya

Источник · Перевод автора

Шведская сеть супермаркетов Coop закрыла около 500 магазинов после того, как они пострадали от атаки программы-вымогателя REvil, нацеленной на поставщиков управляемых услуг посредством атаки на цепочку поставок.

Вчера вечером сеть супермаркетов закрыла свои магазины после того, как банда вымогателей REvil нацелилась на поставщиков управляемых услуг (MSP) и их клиентов в массированной атаке на цепочку поставок через Kaseya VSA, средство удаленного управления и мониторинга исправлений.

Вскоре после атаки Coop опубликовал уведомление о том, что все их магазины, кроме магазинов в пяти регионах, были закрыты после того, как кассовые аппараты перестали работать из-за «ИТ-атаки» на одного из их поставщиков.

«Сейчас многие из наших магазинов временно закрыты. Следующие магазины НЕ затронуты и открыты: интернет-магазин на сайте coop.se, магазины в Вермланде, Оскарсхамне, Табергсдалене, Норрботтене и на Готланде.
Один из наших поставщиков подвергся ИТ-атаке, поэтому кассовые аппараты не работают. Мы сожалеем об этом и делаем все, чтобы вскоре снова открыться»
– Coop.

В заявлении для BleepingComputer Coop сказал, что атака была направлена ​​не на них, а на их поставщика Visma Esscom.

Coop впервые узнал о нападении около 19:00 прошлой ночью, когда возникли проблемы с кассовыми аппаратами. вызывая закрытие магазинов. Магазины по-прежнему закрыты до субботы, так как Coop работает над восстановлением.

«Вчера вечером около 19:00 мы получили сигналы от некоторых из наших магазинов, что возникли проблемы с кассовыми аппаратами. Поскольку клиенты не могли платить, некоторые магазины закрылись рано вечером. Ночью мы работали над проблемой, и это Утром в 8 утра мы приняли решение закрыть магазины, за исключением нескольких регионов, которые не пострадали, чтобы иметь возможность решить проблему без вмешательства.

Итак, не все из наших 800 магазинов пострадали, но большинство из них. В субботу они были закрыты весь день».

Репортер BBC Джо Тиди (Joe Tidy) также подтвердил, что Купу пришлось закрыть около 500 хранилищ из-за атаки программы-вымогателя.

Зашифровано с помощью атаки цепочки поставок MSP

Вчера программа-вымогатель REvil провела массовую атаку с помощью патча Kaseya VSA и программного обеспечения для удаленного управления, которое зашифровало MSP по всему миру и их клиентов.

Coop является клиентом шведского MSP Visma, который управляет системой торговых точек сети супермаркетов, которая используется для питания кассовых аппаратов и киосков самообслуживания.

Visma подтвердила, что они пострадали от кибератаки Kaseya, которая позволила программе-вымогателю REvil зашифровать системы своих клиентов.

«Компания Kaseya, поставляющая программное обеспечение для удаленного управления и управления клиентами и серверами в розничной торговле, подверглась кибератаке, которая в настоящее время затрагивает Visma EssCom и многие другие компании по всему миру».

«В результате атаки программное обеспечение Kaseya, которое Visma EssCom и многие другие поставщики услуг используют в своих поставках розничным торговцам, может использоваться для распространения вируса-вымогателя на клиентов и серверы в ИТ-средах клиентов».

«Наиболее важным последствием является то, что магазины не могут взимать плату со своих клиентов, если кассовые аппараты заражены. Атака на Kaseya была обнаружена в пятницу вечером».

Атака на Coop – лишь первая в длинном списке жертв этой атаки.

Только Visma заявляет, что у них 1 миллион клиентов, многие из которых, возможно, были затронуты вчера атакой программы-вымогателя REvil.

В заявлении для BleepingComputer генеральный директор Kaseya Фред Воккола (Fred Voccola) заявил, что им известно о 40 клиентах, пострадавших от атаки.

Хотя это небольшое число, важно помнить, что каждый из этих MSP потенциально может работать с сотнями тысяч предприятий, что делает эту атаку с использованием программ-вымогателей наиболее значительной из когда-либо проводившихся.

На данный момент Kaseya заявляет, что REvil использовал уязвимость в своей локальной службе VSA для проведения атаки и что скоро будет выпущен патч.