Hjem > Cyber ​​Nyheder > CVE-2021-30116 Nul-dage brugt af REvil i Kaseya Ransomware Attack
CYBER NEWS

CVE-2021-30116 Nul-dage brugt af REvil i Kaseya Ransomware Attack

Kaseya Ransomware Attack-sensorstechforumSidste uge, REvil ransomware-banden udførte et hidtil uset forsyningskæde-ransomware-angreb mod kunder fra Kaseyas VSAproduct.

Opdatering juli 6, 2021:
Selvom REvil cyberbanden hævder at have inficeret 1 millioner systemer, der kører Kaseya-tjenester, føderale myndigheder siger, at antallet af inficerede enheder er i tusinder. Ca. 1,500 systemer menes at være ofre for angrebet. Kaseya siger også, at angrebet ikke er forsyningskæde, der udelukker muligheden for adgang til dets backend-infrastruktur, men det er snarere baseret på CVE-2021-30116 nul-dage. Nul-dage blev udnyttet på en måde, der med succes skubbede REvil ransomware på sårbare systemer.

Opdatering juli 12, 2021:
Kaseya frigav patches for sårbarhederne, 10 dage efter det første angreb. “Faste sikkerhedssårbarheder relateret til hændelsen, der henvises til her, og foretog andre opdateringer for at forbedre produktets samlede sikkerhed,” Sagde Kaseya i sin rådgivende.

Kaseya VSA er et virtuelt system / serveradministratorsoftware, der overvåger og administrerer Kaseya-kunders infrastruktur. Produktet kan leveres enten som en hostet skytjeneste, eller via lokale VSA-servere.




”Kaseyas VSA-produkt er desværre offer for et sofistikeret cyberangreb. På grund af vores teams hurtige svar, vi mener, at dette er blevet lokaliseret til et meget lille antal lokalt personligt,”Sagde Kaseya i en erklæring. Ifølge den rådgivende, alle lokale VSA-servere skal forblive offline indtil yderligere instruktioner fra virksomheden om, hvornår det er sikkert at gendanne operationer.

Hvordan udførte REvil ransomware-banden Kaseya-angrebet?

Ifølge en opdatering delt af DIVD CSIRT, det hollandske institut for udsættelse af sårbarhed, organisationen havde tidligere advaret Kaseya om flere nul-dags sårbarheder, kendt under CVE-2021-30116 identifikatoren, i VSA-softwaren:

Wietse Boonstra, en DIVD-forsker, har tidligere identificeret et antal nul-dags sårbarheder [CVE-2021-30116] som i øjeblikket bruges i ransomware-angrebene. og ja, Vi har rapporteret disse sårbarheder over for Kaseya under retningslinjer for ansvarlig oplysning (aka koordineret offentliggørelse af sårbarheder).

Engang var Kaseya opmærksom på vores rapporterede sårbarheder, vi har været i konstant kontakt og samarbejde med dem. Hvornår ting i vores rapport var uklare, de stillede de rigtige spørgsmål. Også, delte programrettelser blev delt med os for at validere deres effektivitet. Under hele processen, Kaseya har vist, at de var villige til at lægge den maksimale indsats og initiativ i denne sag både for at få dette problem løst og deres kunder patched. De viste en ægte forpligtelse til at gøre det rigtige. Desværre, vi blev slået af REvil i slutsprinten, da de kunne udnytte sårbarhederne, før kunderne endda kunne patch, den hollandske organisation sagde.

Efter angrebene, REvil kræver nu en løsesum på $70 millioner. Til gengæld for løsepenge, cyberkriminelle lover at offentliggøre et universelt dekrypteringsværktøj, der skal gendanne alle systemer, der er beskadiget af ransomware.

Ifølge et indlæg delte REvil-banden på deres underjordiske datalækningssted, angrebet på MSP-udbydere blev lanceret i juli 2. Angrebet siges at have inficeret mere end en million systemer. ”Hvis nogen ønsker at forhandle om universal decryptor - er vores pris 70,000,000$ i BTC, og vi vil offentliggøre offentligt dekrypteringsprogram, der dekrypterer filer fra alle ofre, så alle vil være i stand til at komme sig efter angreb på mindre end en time,” sagde posten.

Relaterede: Apple målrettet af REvil Gang i en $50 Million Ransomware Attack

Hvad skal Kaseyas kunder gøre?

CISA og FBI offentliggjorde for nylig en rådgivning, anbefale download af Kaseya VSA-detektionsværktøj der analyserer et system, enten VSA-server eller administreret slutpunkt, og bestemmer, om der foreligger kompromisindikatorer.

Andre anbefalinger inkluderer ansættelse af multifaktorautentificering på hver enkelt konto, samt håndhæve MSA for kundevendte tjenester; implementeringen af ​​tilladelsesliste for at begrænse kommunikation med fjernovervågnings- og styringsfunktioner til kendte IP-adressepar, og placere administrative grænseflader til RMM bag en VPN eller en firewall på et dedikeret admin-netværk.

Det er bemærkelsesværdigt, at der i 2019 GandCrab ransomware-banden brugte et par år gammel sårbarhed i en softwarepakke, der blev brugt af eksterne it-supportfirmaer for at få fodfæste på sårbare netværk. Sårbarheden blev udnyttet til at give adgang til sårbare netværk og distribuere nyttelasten til ransomware. Den pågældende fejl påvirket Kaseya-pluginet til Connectwise Manage-softwaren, et professionelt serviceautomatiseringsprodukt til it-support.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig