La settimana scorsa, la banda del ransomware REvil ha effettuato un attacco ransomware alla catena di approvvigionamento senza precedenti contro i clienti del prodotto VSA di Kaseya.
Aggiornamento luglio 6, 2021:
Anche se la banda cibernetica REvil afferma di aver infettato 1 milioni di sistemi che eseguono i servizi Kaseya, le autorità federali affermano che il numero di entità infette è di migliaia. Circa 1,500 si ritiene che i sistemi siano vittime dell'attacco. Kaseya afferma anche che l'attacco non è alla catena di approvvigionamento che esclude la possibilità di accedere alla sua infrastruttura di backend, ma si basa piuttosto sugli zero-day CVE-2021-30116. Gli zero-day sono stati sfruttati in un modo che ha spinto con successo il ransomware REvil su sistemi vulnerabili.
Aggiornamento luglio 12, 2021:
Kaseya ha rilasciato patch per le vulnerabilità, 10 giorni dopo l'attacco iniziale. “Risolte le vulnerabilità di sicurezza relative all'incidente a cui si fa riferimento qui e apportati altri aggiornamenti per migliorare la sicurezza complessiva del prodotto,” Kaseya ha detto nel suo consultivo.
Kaseya VSA è un software di amministrazione di sistemi/server virtuali che monitora e gestisce l'infrastruttura dei clienti Kaseya. Il prodotto può essere fornito sia come servizio cloud in hosting, o tramite server VSA locali.
“Il prodotto VSA di Kaseya è stato purtroppo vittima di un sofisticato attacco informatico. Grazie alla risposta rapida dei nostri team, crediamo che questo sia stato localizzato solo a un numero molto ristretto di clienti locali,"Kaseya ha detto in una dichiarazione. Secondo l'advisory, tutti i server VSA locali dovrebbero rimanere offline fino a nuove istruzioni da parte dell'azienda su quando è sicuro ripristinare le operazioni.
In che modo la banda del ransomware REvil ha eseguito l'attacco Kaseya??
Secondo un aggiornamento condiviso dal DIVD CSIRT, l'Istituto olandese per la divulgazione delle vulnerabilità, l'organizzazione aveva precedentemente avvisato Kaseya di diverse vulnerabilità zero-day, noto con l'identificatore CVE-2021-30116, nel software VSA:
Wietse Boonstra, un ricercatore DIVD, ha precedentemente identificato una serie di vulnerabilità zero-day [CVE-2021-30116] che vengono attualmente utilizzati negli attacchi ransomware. E sì, abbiamo segnalato queste vulnerabilità a Kaseya in base alle linee guida sulla divulgazione responsabile (alias divulgazione coordinata delle vulnerabilità).
Una volta che Kaseya era a conoscenza delle nostre vulnerabilità segnalate, siamo stati in costante contatto e collaborazione con loro. Quando gli elementi nel nostro rapporto non erano chiari, hanno fatto le domande giuste. Anche, le patch parziali sono state condivise con noi per convalidarne l'efficacia. Durante l'intero processo, Kaseya ha dimostrato di essere disposta a dedicare il massimo sforzo e iniziativa in questo caso sia per risolvere il problema che per i propri clienti.. Hanno mostrato un impegno genuino nel fare la cosa giusta. Sfortunatamente, siamo stati battuti da REvil nello sprint finale, in quanto potrebbero sfruttare le vulnerabilità prima ancora che i clienti possano applicare le patch, l'organizzazione olandese disse.
Dopo gli attacchi, REvil ora richiede il pagamento di un riscatto per un importo di $70 milione. In cambio del riscatto, i criminali informatici promettono di pubblicare uno strumento di decrittazione universale che dovrebbe ripristinare tutti i sistemi danneggiati dal ransomware.
Secondo un post che la banda REvil ha condiviso sul loro sito di fuga di dati clandestino, l'attacco ai provider MSP è stato lanciato a luglio 2. Si dice che l'attacco abbia infettato più di un milione di sistemi. "Se qualcuno vuole negoziare sul decryptor universale, il nostro prezzo è 70,000,000$ in BTC e pubblicheremo pubblicamente il decryptor che decrittografa i file di tutte le vittime, così tutti potranno riprendersi dall'attacco in meno di un'ora,” il post diceva.
Correlata: Apple ha preso di mira da REvil Gang in a $50 Milioni di attacchi ransomware
Cosa dovrebbero fare i clienti di Kaseya??
La CISA e l'FBI hanno recentemente pubblicato un avviso, raccomandando il download del Strumento di rilevamento Kaseya VSA che analizza un sistema, server VSA o endpoint gestito, e determina se sono presenti indicatori di compromesso.
Altre raccomandazioni includono l'utilizzo dell'autenticazione a più fattori su ogni singolo account, oltre a imporre MSA per i servizi rivolti ai clienti; l'implementazione di elenchi consentiti per limitare la comunicazione con funzionalità di monitoraggio e gestione remota a coppie di indirizzi IP noti, e collocare interfacce amministrative per RMM dietro una VPN o un firewall su una rete di amministrazione dedicata.
E 'da notare che in 2019 la banda del ransomware GandCrab ha utilizzato una vulnerabilità di alcuni anni in un pacchetto software utilizzato da società di supporto IT remoto per prendere piede su reti vulnerabili. La vulnerabilità è stata sfruttata per concedere l'accesso a reti vulnerabili e distribuire il payload del ransomware. Il difetto in questione ha interessato il plugin Kaseya per il software Connectwise Manage, un prodotto di automazione dei servizi professionale per il supporto IT.