Letzte Woche, die REvil-Ransomware-Gang hat einen beispiellosen Ransomware-Angriff auf die Lieferkette gegen Kunden des VSA-Produkts von Kaseya durchgeführt.
Update Juli 6, 2021:
Auch wenn die REvil-Cybergang behauptet, sich infiziert zu haben 1 Millionen Systeme, auf denen Kaseya-Dienste ausgeführt werden, Bundesbehörden sagen, die Zahl der infizierten Entitäten geht in die Tausende. Ca. 1,500 Es wird angenommen, dass die Systeme Opfer des Angriffs geworden sind. Kaseya sagt auch, dass es sich bei dem Angriff nicht um die Lieferkette handelt, die den Zugang zu seiner Backend-Infrastruktur ausschließt, aber es basiert eher auf den CVE-2021-30116 Zero-Days. Die Zero-Days wurden so genutzt, dass die REvil-Ransomware erfolgreich auf anfällige Systeme gepusht wurde.
Update Juli 12, 2021:
Kaseya hat Patches für die Schwachstellen veröffentlicht, 10 Tage nach dem ersten Angriff. “Sicherheitslücken im Zusammenhang mit dem hier genannten Vorfall behoben und weitere Updates vorgenommen, um die Gesamtsicherheit des Produkts zu verbessern,” Kaseya sagte in seinem beratend.
Kaseya VSA ist eine virtuelle System-/Server-Administratorsoftware, die die Infrastruktur von Kaseya-Kunden überwacht und verwaltet. Das Produkt kann entweder als gehosteter Cloud-Service bereitgestellt werden, oder über lokale VSA-Server.
„Das VSA-Produkt von Kaseya ist leider das Opfer eines ausgeklügelten Cyberangriffs geworden. Aufgrund der schnellen Reaktion unserer Teams, wir glauben, dass dies nur für eine sehr kleine Anzahl von Kunden vor Ort lokalisiert wurde,“ sagte Kaseya in einer Erklärung. Nach Angaben des Beratungs, alle lokalen VSA-Server sollten bis auf weitere Anweisungen des Unternehmens offline bleiben, wann der Betrieb sicher wiederhergestellt werden kann.
Wie hat die Ransomware-Bande REvil den Kaseya-Angriff durchgeführt??
Laut einem Update des DIVD CSIRT, das Niederländische Institut für Offenlegung von Sicherheitslücken, Die Organisation hatte Kaseya zuvor auf mehrere Zero-Day-Schwachstellen aufmerksam gemacht, bekannt unter der Kennung CVE-2021-30116, in der VSA-Software:
Wietse Boonstra, ein DivD-Forscher, hat bereits eine Reihe von Zero-Day-Schwachstellen identifiziert [CVE-2021-30116] die derzeit bei den Ransomware-Angriffen verwendet werden. Und ja, wir haben Kaseya diese Sicherheitslücken gemäß den Richtlinien zur verantwortungsvollen Offenlegung gemeldet (auch bekannt als koordinierte Offenlegung von Sicherheitslücken).
Sobald Kaseya auf unsere gemeldeten Sicherheitslücken aufmerksam wurde, wir standen in ständigem Kontakt und Zusammenarbeit mit ihnen. Wenn Punkte in unserem Bericht unklar waren, sie haben die richtigen fragen gestellt. Auch, Teilpflaster wurden mit uns geteilt, um ihre Wirksamkeit zu überprüfen. Während des gesamten Prozesses, Kaseya hat gezeigt, dass sie bereit waren, in diesem Fall maximale Anstrengungen und Initiative zu unternehmen, um dieses Problem zu beheben und ihre Kunden zu patchen. Sie zeigten ein echtes Engagement, das Richtige zu tun. Leider, wir wurden im Endspurt von REvil geschlagen, da sie die Schwachstellen ausnutzen könnten, bevor Kunden überhaupt patchen können, die niederländische Organisation sagte.
Nach den Angriffen, REvil fordert nun eine Lösegeldzahlung in Höhe von $70 Million. Im Austausch für das Lösegeld, Die Cyberkriminellen versprechen, ein universelles Entschlüsselungstool zu veröffentlichen, das alle durch die Ransomware beschädigten Systeme wiederherstellen soll.
Laut einem Beitrag, den die REvil-Gang auf ihrer unterirdischen Datenleck-Site geteilt hat, der Angriff auf MSP-Anbieter wurde im Juli gestartet 2. Der Angriff soll mehr als eine Million Systeme infiziert haben. „Wenn jemand über einen universellen Entschlüsseler verhandeln möchte – unser Preis ist 70,000,000$ in BTC und wir werden öffentlich einen Entschlüsseler veröffentlichen, der Dateien aller Opfer entschlüsselt, So können sich alle in weniger als einer Stunde von einem Angriff erholen,” der Beitrag sagte.
verbunden: Apple von REvil Gang in a $50 Millionen Ransomware-Angriff
Was sollten die Kunden von Kaseya tun??
CISA und das FBI haben kürzlich einen Hinweis veröffentlicht, Empfehlen Sie den Download der Kaseya VSA-Erkennungstool das ein System analysiert, entweder VSA-Server oder verwalteter Endpunkt, und stellt fest, ob Anzeichen für Kompromisse vorliegen.
Andere Empfehlungen umfassen die Verwendung einer Multi-Faktor-Authentifizierung für jedes einzelne Konto, sowie die Durchsetzung von MSA für kundenorientierte Dienstleistungen; die Implementierung von Zulassungslisten, um die Kommunikation mit Fernüberwachungs- und -verwaltungsfunktionen auf bekannte IP-Adresspaare zu beschränken, und Platzieren von administrativen Schnittstellen zu RMM hinter einem VPN oder einer Firewall in einem dedizierten Administratornetzwerk.
Es ist bemerkenswert, dass in 2019 Die Ransomware-Gang GandCrab nutzte eine einige Jahre alte Sicherheitslücke in einem Softwarepaket, das von Remote-IT-Supportfirmen verwendet wird, um in anfälligen Netzwerken Fuß zu fassen. Die Sicherheitslücke wurde ausgenutzt, um Zugang zu anfälligen Netzwerken zu gewähren und die Ransomware-Nutzlast zu verteilen. Der fragliche Fehler betroffen das Kaseya-Plugin für die Connectwise Manage-Software, ein professionelles Service-Automation-Produkt für den IT-Support.