Theo nhà nghiên cứu an ninh mạng John Hammond, công ty bảo mật Huntress Labs, có thể tổ chức hacker chuyên tấn công ransomware REvil đứng đằng sau vụ tấn công này. Ông cho biết bọn tội phạm đã nhắm mục tiêu vào nhà cung cấp phần mềm Kaseya, sử dụng gói quản lý mạng của công ty này làm đường dẫn để phát tán ransomware qua dịch vụ đám mây.
Trong một thông báo trực tiếp trên Twitter, ông Hammond cho biết: “Phần mềm quản lý CNTT từ xa của Kaseya được các doanh nghiệp từ lớn đến nhỏ trên toàn cầu sử dụng, do đó, cuộc tấn công có thể lan rộng đến bất kỳ doanh nghiệp ở quy mô nào. Đây là một cuộc tấn công chuỗi cung ứng khổng lồ và tàn khốc".
Các cuộc tấn công mạng như vậy thường xâm nhập vào phần mềm được sử dụng rộng rãi và phát tán phần mềm độc hại khi nó cập nhật tự động.
Kaseya hiện đang điều hành quản trị viên hệ thống ảo, còn gọi là VSA, được sử dụng để quản lý và giám sát từ xa mạng của khách hàng. Công ty đang cung cấp dịch vụ cho hơn 40.000 tổ chức trên khắp thế giới.
Hiện vẫn chưa rõ có bao nhiêu khách hàng của Kaseya có thể bị ảnh hưởng và các khách hàng này là những ai. Trong một tuyên bố trên trang web của mình, Kaseya kêu gọi khách hàng đóng cửa ngay lập tức các máy chủ chạy phần mềm bị ảnh hưởng. Họ cho biết cuộc tấn công mới chỉ ảnh hưởng ở "một số lượng nhỏ" khách hàng.
Ông Brett Callow, một chuyên gia về ransomware thuộc công ty an ninh mạng Emsisoft, cho biết, ông chưa từng biết về cuộc tấn công chuỗi cung ứng ransomware nào trước đây có quy mô lớn như thế này. Đã có những công ty khác bị tấn công, nhưng quy mô của họ khá nhỏ.
Trong một tuyên bố vào cuối ngày 2-7, Cơ quan An ninh mạng và Cơ sở hạ tầng liên bang Mỹ (CISA) cho biết họ đang theo dõi chặt chẽ tình hình và làm việc với FBI để thu thập thêm thông tin về tác động của vụ tấn công.
CISA kêu gọi các công ty nào có thể bị ảnh hưởng hãy “làm theo hướng dẫn của Kaseya để đóng các máy chủ VSA ngay lập tức”.