Mobilné Správy, Gadgety, Blogy's Secenziami

Útok na dodávateľský reťazec Kaseya zasiahol takmer 40 poskytovateľov služieb pomocou ransomvéru REvil

Útok na dodávateľský reťazec Kaseya zasiahol takmer 40 poskytovateľov služieb pomocou ransomvéru REvil 1

Zdá sa, že aktéri hrozieb stojaci za notoricky známym kyberzločinom REvil presadili ransomvér prostredníctvom aktualizácie softvéru na správu IT Kaseya, čím zasiahli približne 40 zákazníkov po celom svete, čo je prípad rozsiahleho ransomvérového útoku na dodávateľský reťazec.

„Začiatok okolo poludnia (EST/US) v piatok júl 2V roku 2021 sa tím Kaseya Incident Response dozvedel o potenciálnom bezpečnostnom incidente týkajúcom sa nášho softvéru VSA,“ uviedol generálny riaditeľ spoločnosti Fred Voccola vo vyhlásení zverejnenom v piatok neskoro večer.

Po incidente spoločnosť poskytujúca služby v oblasti IT a správy bezpečnosti uviedla, že podnikla okamžité kroky na odstavenie svojich serverov SaaS ako preventívne opatrenie, okrem toho, že upozornila svojich lokálnych zákazníkov, aby vypli svoje servery VSA, aby sa zabránilo ich kompromitácii.

Voccola tiež uviedol, že spoločnosť identifikovala zdroj zraniteľnosti a že pripravuje opravu na zmiernenie pretrvávajúcich problémov. Medzitým spoločnosť tiež poznamenala, že má v úmysle ponechať všetky lokálne servery VSA, SaaS a hostované servery VSA vypnuté, kým nebude bezpečné obnoviť prevádzku.

Podľa analytika Sophos Malware Marka Lomana útok na dodávateľský reťazec v rámci celého odvetvia využíva Kaseya VSA na nasadenie variantu ransomvéru REvil do prostredia obete, pričom škodlivý binárny súbor je načítaný prostredníctvom falošného Windows Aplikácia Defender na šifrovanie súborov výmenou za požiadavku na výkupné vo výške $5 miliónov.

Útokový reťazec zahŕňa aj pokusy deaktivovať monitorovanie v reálnom čase v programe Microsoft Defender cez PowerShell, dodal Loman. Trojanizovaný softvér sa distribuuje vo forme „hot-fixu Kaseya VSA Agent“, uviedlo Huntress Labs v príspevku na Reddite, ktorý podrobne popisuje fungovanie tohto narušenia.

Výskumníci poznamenali, že našli osem poskytovateľov riadených služieb (MSP), spoločností, ktoré poskytujú IT služby iným spoločnostiam, ktorých útok zasiahol. Asi 200 podnikov, ktoré obsluhujú tieto MSP, bolo zablokovaných z častí ich siete, povedal Huntress Labs.

Ako sa ransomvérová kríza neustále rozbieha, MSP sa stali lukratívnym cieľom, najmä preto, že úspešné vlámanie otvára prístup k viacerým klientom a robí ich všetkých zraniteľnými. Keďže útoky na dodávateľský reťazec sa v dôsledku rozsiahlej kampane SolarWinds stávajú častými, útok na dodávateľský reťazec, ktorý sa zameriava na MSP na distribúciu ransomvéru, má exponenciálne dôsledky, čo umožňuje zlým aktérom zasiahnuť stovky obetí naraz.

Aktualizácia: V revidovanom odporúčaní zdieľanom v sobotu Kaseya uviedol, že sa stal „obeťou sofistikovaného kybernetického útoku“, pričom varoval zákazníkov, aby neklikali na akékoľvek odkazy odoslané v komunikácii s prevádzkovateľmi ransomvéru. “Môžu byť ozbrojení,” varovala spoločnosť.

Okrem toho, že spoločnosť FireEye Mandiant osloví firmu FireEye Mandiant, ktorá sa zaoberá kybernetickou bezpečnosťou, aby identifikovala indikátory kompromisu (IoC), spoločnosť odporúča podnikom, aby až do odvolania ponechali všetky lokálne servery VSA offline a použili nástroj na detekciu kompromisov, ktorý sprístupnila na začatie procesu obnovy. .

Huntress Labs uviedlo, že sleduje takmer 30 MSP v USA, Austrálii, Európskej únii, EÚ a Latinskej Amerike, kde sa Kaseya VSA použila na šifrovanie menej ako 1000 podnikov.

„Všetky tieto servery VSA sú lokálne a Huntress s vysokou istotou hodnotí, že počítačoví zločinci zneužili zraniteľnosť na získanie prístupu k týmto serverom,“ povedal John Hammond, výskumník Huntress Labs.

To zvyšuje možnosť, že spoločnosť REvil použila zero-day chybu v softvéri Kaseya VSA na získanie prístupu k systémom, čo je prvý prípad, keď skupina ransomvéru použila zero-day pri útokoch. Spoločnosť Kaseya poznamenala, že izolovala a replikovala vektor útoku a že pracuje na pridaní softvérových náprav na odstránenie bezpečnostnej slabiny.