2 июля 2021 года ряд поставщиков управляемых услуг (MSP) и их клиенты стали жертвами атаки с использованием программ- вымогателей, совершенной группой REvil, что привело к массовым простоям более 1000 компаний.
Kaseya Limited - американская компания-разработчик программного обеспечения, основанная в 2001 году. Она разрабатывает программное обеспечение для управления сетями, системами и инфраструктурой информационных технологий. Штаб-квартира Kaseya, принадлежащая Insight Partners, находится в Майами, Флорида, а филиалы расположены в США, Европе и Азиатско-Тихоокеанском регионе. С момента своего основания в 2000 году он приобрел 13 компаний, которые в большинстве случаев продолжали работать под собственными брендами (под девизом «компания Kaseya»), включая Unitrends.
В течение нескольких часов источник вспышки был определен как VSA (Virtual System Administrator), программный пакет для удаленного мониторинга и управления, разработанный Kaseya. Перепускной аутентификации уязвимости в программном обеспечении позволила злоумышленникам скомпрометировать VSA и распространение вредоносного через хостами под управлением программного обеспечения, усиления досягаемость атаки. В ответ на это компания закрыла свои VSA облака и SaaS - сервера и выдала рекомендации по безопасности для любых клиентов, в том числе с локальными внедрениями VSA.
Среди первых сообщений компаний, пострадавших от инцидента, - норвежский разработчик финансового программного обеспечения Visma, который управляет некоторыми системами в шведской сети супермаркетов Coop. Сеть супермаркетов была вынуждена закрыть свои 800 магазинов почти на неделю, некоторые в небольших деревнях, где не было других продуктовых магазинов. Они не заплатили выкуп, а перестроили свои системы с нуля, дождавшись обновления от Касеи.
Revil вымогателей банда официально взял кредит для атаки и утверждал, что шифруется более одного миллиона систем во время инцидента. Первоначально они запросили выкуп в размере 70 миллионов долларов за выпуск универсального дешифратора для разблокировки всех затронутых систем. 5 июля Касея сообщил, что от атаки пострадали от 800 до 1500 предприятий нижнего сегмента.
Маркус Хатчинс раскритиковал оценку, согласно которой атака Kaseya была сильнее, чем WannaCry, сославшись на трудности с измерением точного воздействия.
После телефонного разговора 9 июля 2021 года между президентом США Джо Байденом и президентом России Владимиром Путиным Байден сказал прессе: «Я очень ясно дал ему понять, что Соединенные Штаты ожидают, когда с его территории начнется операция вымогателя, даже если это не так. спонсируемые государством, мы ожидаем, что они будут действовать, если мы дадим им достаточно информации, чтобы действовать в отношении того, кто это есть ". Позже Байден добавил, что Соединенные Штаты отключат серверы группы, если Путин этого не сделает.
13 июля 2021 года веб-сайты REvil и другая инфраструктура исчезли из Интернета.
23 июля Kaseya объявила, что получила универсальный дешифратор для файлов, зашифрованных REvil, от неназванной «доверенной третьей стороны» и помогает жертвам восстанавливать свои файлы.