19 января 2022 г.

6. CompuCom: от атаки вымогателя DarkSide до продажи за 305 млн долл.

Компания CompuCom из Далласа, № 46 в списке CRN «Solution Provider 500» 2021 года, в начале марта сообщила клиентам, что подверглась атаке вируса-вымогателя DarkSide после того, как хакеры добыли учетные данные администратора.

Сначала хакеры установки маяки Cobalt Strike на несколько систем в экосистеме CompuCom, говорится в документе «FAQ для клиентов об инциденте с вредоносным ПО», представленном сайту BleepingComputer. Используя Cobalt Strike, хакеры «прозванивали» оборону жертв, чтобы выбрать тактику и процедуры атак. Это позволило им получить доступ в сеть, красть данные и расширять атаку на другие компьютеры. Как результат, они смогли достичь своей цели — внедрения вируса-вымогателя.

Атака вынудила CompuCom временно приостановить предоставление некоторых услуг определенным клиентам, при этом другие услуги, напрямую не затронутые вредоносным ПО, продолжали предоставляться на протяжении марта.

CompuCom, дочерняя компания Office Depot (Форт-Милл, шт. Юж. Каролина), сообщила, что не смогла в достаточной мере восстановить свои возможности предоставления услуг до 17 марта — 16 дней спустя после атаки.

31 декабря CompuCom объявила, что продана филиалу инвестиционной компании Variant Equity Advisors из Лос-Анджелеса, специализирующейся на продажах бизнеса, за 305 млн долл.

Variant выплатит до 305 млн долл. в виде комбинации наличных, процентного гарантийного векселя и выплат «по будущим результатам».

Эта сделка, сумма которой значительно ниже цены в 1 млрд долл., выплаченной Office Depot за CompuCom в 2017 году, может открыть двери ее конкуренту Staples, чтобы осуществить планируемую покупку Office Depot.

Продажа CompuCom ожидалась с тех пор, как Office Depot, ведущий поставщик бизнес-услуг, расходных материалов и технологий, в начале прошлого года объявила об оферте от Staples.

USR Parent Inc. (официальное наименование Staples) в январе предложила купить Office Depot за 2,1 млрд долл. В рамках этой сделки Staples предложила впоследствии продать принадлежащие Office Depot b2b-активы, в том числе поставщика управляемых ИТ-услуг CompuCom.

В мае Office Depot объявила также о планах разделения на две организации. Первая из них будет включать розничные услуги для потребителей и мелкого бизнеса, которые продаются по каналам электронной коммерции, и примерно 1100 розничных точек продаж Office Depot и OfficeMax.

5. VMware: хакеры Conti атаковали эксплойт Log4j

На рынке немного вендоров ПО, чья установленная база может сравниться с VMware, ключевым вендором виртуализации и мультиоблачных решений.

С обнаружением эксплойта Log4j, названного известным руководителем софтверной компании «Фукусимой в кибербезопасности», вся эта установленная база стала привлекательной мишенью для атак российской хакерской группы Conti.

Как выяснилось, Conti применяла технику бокового смещения на серверах VMware vCenter с уязвимостью Log4j, став первой крупной группой вымогателей, использовавшей этот баг.

AdvIntel, ведущая компания по предотвращению кибератак, сообщила 17 декабря, что в результате действий хакеров Conti они получили доступ к сетям жертв с vCenter в США и Европе.

Эксплойт Log4j поднял целую бурю в ИТ-отрасли, учитывая, сколь часто эта библиотека с открытым кодом используется для разработки корпоративного ПО. Уязвимый код можно найти в продуктах самых известных вендоров ИТ, таких как Cisco и IBM, а также компаний, обслуживающих поставщиков управляемых услуг, в частности, Connectwise и N-able.

VMware — один из вендоров, более всего уязвимых для эксплойта Log4j: опасный баг потенциально дает возможность выполнения удаленного кода почти в 40 продуктах компании. VMware признала, что vCenter для Windows и виртуальные устройства vCenter, равно как и vCenter Cloud Gateway, содержат уязвимый код Log4j, а исправления для этих продуктов еще не готовы.

«Злоумышленник с сетевым доступом к такому продукту VMware может использовать эту уязвимость, чтобы получить полный контроль над целевой системой», — сообщила VMware в своих рекомендациях, опубликованных 10 декабря.

«Любая служба, подключенная к Интернету с еще не закрытой уязвимостью Log4j (CVE-2021-44228), подвержена атакам хакеров, и VMware настоятельно рекомендует немедленно установить патч для Log4j», — говорится в заявлении компании, присланном CRN.

«Это лишь вопрос времени, когда Conti и, возможно, другие группы начнут использовать Log4j2 на полную мощность, — пишут CEO Виталий Кремез и руководитель отдела исследований Елисей Богуславский в рекомендациях компании AdvIntel из Нью-Йорка. — Рекомендуется немедленно пропатчить уязвимую систему и рассматривать Log4j2 как вектор эксплойтов в руках группы вымогателей».

VMware сообщила, что рассчитывает полностью устранить критическую уязвимость, обновив Log4j до версии 2.16 в будущих релизах vCenter Server, а пока компания предлагает обходные пути, которые, подчеркивает она, «могут рассматриваться лишь как временное решение», сказано в материалах VMware Knowledge Base.

История с Log4j случилась год спустя после крупных перемен в VMware: в мае новым CEO компании стал давний директор по технологии Рагу Рагурам (Raghu Raghuram). Он сменил прежнего CEO Пэта Гелсингера, который ушел на пост главного управляющего Intel в январе.

Кроме него, еще ряд руководителей покинули VMware в прошлом году: это Санджай Пунен (Sanjay Poonen), бывший глобальный операционный директор, отвечавший за все продажи, альянсы и работу с клиентами VMware; Санджай Джиндал (Sanjay Jindal), который осуществлял руководство партнерами и коммерческими продажами VMware в США почти девять лет, и ушедший, чтобы возглавить глобальные партнерские продажи WhatsApp в Facebook; и бывший гендиректор VMware Cloud Services Фидельма Руссо (Fidelma Russo), которая стала новым директором по технологии Hewlett Packard Enterprise.

По материалам crn.com.

© 2022. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.


Источник: Стивен Берк, CRN/США