REvil Použité 0- Deň v útoku Kaseya Ransomware, vyžaduje výkupné 70 miliónov dolárov

Uprostred masívneho ransomvérového útoku na dodávateľský reťazec, ktorý v piatok spustil infekčný reťazec kompromitujúci tisíce podnikov, sa objavili nové podrobnosti o tom, ako sa notoricky známemu kyberzločineckému gangu REvil, ktorý je prepojený s Ruskom, mohol podariť bezprecedentný hack.

Holandský inštitút pre odhalenie zraniteľnosti (DIVD) v nedeľu odhalil, že upozornil Kaseyu na niekoľko zero-day zraniteľností v jej softvéri VSA (CVE-2021-30116), ktoré sa podľa neho zneužívajú ako prostriedok na nasadenie ransomvéru. Neziskový subjekt uviedol, že spoločnosť je v procese riešenia problémov v rámci koordinovaného zverejnenia zraniteľnosti, keď v júli 2 došlo k útokom.

Bližšie podrobnosti o nedostatkoch neboli zdieľané, ale predseda DIVD Victor Gevers naznačil, že využitie nultých dní je triviálne. Najmenej 1Útoky údajne zasiahli 000 podnikov, pričom obete identifikovali v najmenej 17 krajinách vrátane Veľkej Británie, Južnej Afriky, Kanady, Argentíny, Mexika, Indonézie, Nového Zélandu a Kene, uvádza ESET.

Kaseya VSA je cloudové riešenie správy IT a vzdialeného monitorovania pre poskytovateľov spravovaných služieb (MSP), ktoré ponúka centralizovanú konzolu na monitorovanie a správu koncových bodov, automatizáciu IT procesov, nasadzovanie bezpečnostných záplat a riadenie prístupu prostredníctvom dvojfaktorovej autentifikácie.

REvil požaduje výkupné 70 miliónov dolárov

REvil (aka Sodinokibi) je aktívny od apríla 2019 a je známy tým, že začiatkom minulého mesiaca vynútil 11 miliónov dolárov od spracovateľa mäsa JBS, pričom ransomvér ako služba predstavuje približne 4.6% útokov na verejný a súkromný sektor v prvom štvrťroku 2021.

Skupina teraz žiada rekordné výkupné vo výške 70 miliónov dolárov za zverejnenie univerzálneho dešifrovacieho nástroja, ktorý dokáže odomknúť všetky systémy, ktoré boli zmrzačené ransomvérom na šifrovanie súborov.

“V piatok (02.07.2021) sme spustili útok na poskytovateľov MSP. Infikovaných bolo viac ako milión systémov. Ak chce niekto rokovať o univerzálnom dešifrovači – naša cena je 70 000 000 $ v BTC a verejne zverejníme dešifrovač, ktorý dešifruje súbory všetky obete, takže každý sa bude môcť zotaviť z útoku za menej ako hodinu,“ zverejnila skupina REvil na svojej temnej webovej stránke úniku dát.

Kaseya, ktorá si vyžiadala pomoc od FireEye, aby pomohla s vyšetrovaním incidentu, uviedla, že má v úmysle „priviesť naše dátové centrá SaaS späť online postupne po jednom, počnúc našimi údajmi z EÚ, Spojeného kráľovstva a Ázie a Tichomoria. centrá, po ktorých nasledujú naše severoamerické dátové centrá.”

Lokálne servery VSA budú pred reštartom vyžadovať inštaláciu opravy, poznamenala spoločnosť a dodala, že oprava sa pripravuje na vydanie v júli. 5.

CISA Issues Advisory

Tento vývoj podnietil Americkú agentúru pre kybernetickú bezpečnosť a bezpečnosť (CISA) k vydaniu odporúčania, v ktorom vyzýva zákazníkov, aby si stiahli nástroj na detekciu kompromisov, ktorý spoločnosť Kaseya sprístupnila na identifikáciu akýchkoľvek indikátorov kompromisu (IoC), umožnenie viacfaktorovej autentifikácie a obmedzenie komunikácie. s funkciami vzdialeného monitorovania a správy (RMM) na známe páry IP adries a umiestňovanie administratívnych rozhraní RMM za virtuálnu privátnu sieť (VPN) alebo firewall vo vyhradenej administratívnej sieti.

„Menej ako desať organizácií [across our customer base] Zdá sa, že boli ovplyvnené a zdá sa, že vplyv bol obmedzený na systémy so softvérom Kaseya,“ povedal pre The Hacker News e-mailom Barry Hensley, Chief Threat Intelligence Officer v Secureworks.

“Nezaznamenali sme dôkazy o tom, že by sa aktéri hrozieb pokúšali presunúť ransomvér do strany alebo šíriť ransomvér cez kompromitované siete. To znamená, že organizácie so širokým nasadením Kaseya VSA budú pravdepodobne výrazne viac postihnuté ako tie, ktoré ho spúšťajú iba na jednom alebo dvoch serveroch.” “

Tým, že sa kompromituje dodávateľ softvéru, aby sa zameral na MSP, ktorí zase poskytujú infraštruktúru alebo údržbu a podporu zameranú na zariadenia iným malým a stredným podnikom, vývoj opäť podčiarkuje dôležitosť zabezpečenia dodávateľského reťazca softvéru a zároveň zdôrazňuje, ako nepriateľskí agenti pokračujú v presadzovaní svojich finančných motívov kombinovaním dvoch hrozieb útokov na dodávateľský reťazec a ransomvéru, aby zasiahli stovky obetí naraz.

„MSP sú ciele s vysokou hodnotou – majú veľké útočné plochy, čo z nich robí šťavnaté ciele pre kyberzločincov,“ povedal Kevin Reed, šéf informačnej bezpečnosti spoločnosti Acronis. „Jedna MSP môže spravovať IT pre desiatky až sto spoločností: namiesto kompromitovania 100 rôznych spoločností musia zločinci hacknúť iba jednu MSP, aby získali prístup ku všetkým.“