Основен доставчик на заплати, използван от хиляди фирми в Съединените щати, включително правителствени агенции, съобщава, че очаква да спре за „седмици“ поради опустошителна атака на ransomware.
Kronos, за който е известно, че се използва от няколко хиляди компании, вариращи от Tesla до National Public Radio (NPR), прекъсна връзката си с услугата Private Cloud в понеделник. Този елемент е централен за неговите услуги UKG Workforce Central, UKG TeleStaff и Banking Scheduling Solutions, използвани за проследяване на работното време на служителите и обработка на заплати. Компанията потвърди, че е открила продължаваща атака с ransomware на 11 декември и е изключила услугите, хоствани в Kronos Private Cloud, офлайн като част от мерките си за смекчаване. Kronos не даде график за възстановяване, но каза, че очаква да минат поне няколко дни, ако не и седмици, преди услугите отново да бъдат напълно онлайн.
Въпреки че не е потвърдено, има спекулации, че прословутата уязвимост на Log4Shell е намесена, като се има предвид, че облачните услуги на Kronos са изградени до голяма степен на Java.
Атаката с рансъмуер пречи на основния доставчик на заплати преди Коледа
Атаката с рансъмуер очевидно е причинила толкова много щети, че Кронос очаква да минат няколко дни, преди дори някакво ниво на обслужване да бъде възстановено. Като се има предвид, че пълното възстановяване може да отнеме седмици, компанията призова клиентите да потърсят други доставчици на заплати, които да попълнят засега.
Атаките на Log4j нарастват след разкриване на уязвимост
Уязвимостта на Log4J беше бомба поради обхвата на възможните жертви (по същество всички уеб сървъри, работещи с Java) и лекотата, с която атакуващият можеше да я използва. Беше оповестен на обществеността на 9 декември и до края на следващия уикенд изследователите вече бяха открили стотици хиляди атаки, стартирани по целия свят.
Често използван диагностичен инструмент за Java приложения, Log4J е толкова повсеместен, че е включен в доста големи софтуерни пакети с отворен код. Експлойтът позволява на атакуващ да отвори вратата просто чрез изпращане на низ от основни команди, давайки входна точка за странично движение в мрежата на компанията чрез разширените привилегии, които приложението има. Уязвимостта е коригирана от издателя Apache, но изисква администраторите да надстроят до нови версии на софтуера.
Екипът по сигурността на Microsoft съобщи, че атаките на ransomware вече се развиват след тези пробиви в поне няколко случая. Не е известно дали доставчикът на заплати е отстранил уязвимостта в Log4J преди собствената си атака с ransomware, но е вероятно на някои администратори да отнеме седмици, за да стигнат до нея; това може да се влоши от кацането в сезона на коледните празници, в който хората започват да си вземат отпуск от работата си, а компаниите обикновено отпускат позите си до настъпването на новата година.
Клиенти, останали в бъркотия, търсят нови доставчици на заплати преди празниците
Клиентите на Kronos не просто са извън доставчик на заплати преди един от най-натоварените сезони в няколко индустрии (и обичайно време за разпространение на годишни бонуси), но също така остават да се чудят дали са загубили различни чувствителни данни. Доставчиците на заплати имат достъп както до корпоративна, така и до индивидуална финансова информация, която лесно може да се използва за кражби и измами, а атаките на ransomware сега често започват с ексфилтриране на данни като тази и заплахи за публикуването им в тъмната мрежа, ако плащанията не бъдат извършени.
До момента на писане на това, Kronos няма нови актуализации за тези клиенти (освен че ги насочва към други доставчици на заплати). Въпросът подчертава необходимостта от планове за действие при извънредни ситуации при атаки с ransomware, нещо, което очевидно е недостатъчно в този случай. Въпреки че в този случай това до голяма степен се пада върху Kronos, Ник Таусек (архитект на решения за сигурност в Swimlane) отбелязва някои елементи, които всички организации трябва да обмислят при подготовката си за (много вероятни) бъдещи атаки на рансъмуер: „За да се намали вероятността от атаки като тази случващо се в бъдеще, компаниите трябва да обмислят прилагането на една всеобхватна платформа, която централизира протоколите за откриване, реакция и разследване в едно усилие и помага на екипите по сигурността да автоматизират определени задачи. Използвайки силата на автоматизацията на сигурността с нисък код, компаниите могат да реагират на повече сигнали за по-кратко време, значително намалявайки риска от целенасочена ransomware атака, без да увеличават натоварването на персонала по сигурността.”
Макар и непотвърдени, има спекулации, че #уязвимостта на Log4Shell е участвала в #ransomware атаката, като се има предвид, че облачните услуги на Kronos са изградени на Java. #cybersecurity #respectdataЩракнете, за да туитнетеАмит Шейк, съосновател & Главният изпълнителен директор на Laminar добавя: „Данните вече не са стока, те са валута – както представлява този инцидент. Информацията в мрежата на една организация е ценна както за бизнеса, така и за нападателите. Тъй като по-голямата част от данните в света се намират в облака, е наложително организациите да станат родни в облака, когато мислят за защита на данните. Решенията трябва да бъдат напълно интегрирани с облака, за да идентифицират потенциалните рискове и да имат по-задълбочено разбиране за това къде се намират данните. Използвайки двойния подход на видимост и защита, екипите за защита на данните могат да знаят със сигурност кои хранилища на данни са ценни цели и да осигурят подходящ контрол, както и потоци за архивиране и възстановяване.“
Twitter, Facebook, LinkedIn
