CVE-2021-30116Kaseyaランサムウェア攻撃でREvilが使用するゼロデイ

先週, REvilランサムウェアギャング KaseyaのVSA製品の顧客に対して前例のないサプライチェーンランサムウェア攻撃を実行しました.

7月の更新 6, 2021:
REvilサイバーギャングが感染したと主張しているにもかかわらず 1 Kaseyaサービスを実行している100万のシステム, 連邦当局によると、感染した実体の数は数千にのぼります. 約 1,500 システムは攻撃の犠牲になっていると考えられています. Kaseyaはまた、攻撃はバックエンドインフラストラクチャへのアクセスの可能性を排除するサプライチェーンではないと述べています, しかし、それはむしろCVE-2021-30116ゼロデイに基づいています. ゼロデイは、脆弱なシステムにREvilランサムウェアをうまくプッシュする方法で活用されました.

7月の更新 12, 2021:
Kaseyaは脆弱性のパッチをリリースしました, 10 最初の攻撃から数日後. “ここで参照されているインシデントに関連するセキュリティの脆弱性を修正し、製品の全体的なセキュリティを向上させるためにその他の更新を行いました,” カセヤはその中で言った アドバイザリー.

Kaseya VSAは、Kaseyaのお客様のインフラストラクチャを監視および管理する仮想システム/サーバー管理ソフトウェアです。. 製品は、ホステッドクラウドサービスとして提供できます, またはオンプレミスVSAサーバー経由.

「KaseyaのVSA製品は、残念ながら高度なサイバー攻撃の犠牲になっています。私たちのチームの迅速な対応のため, これは、ごく少数のオンプレミスのお客様にのみローカライズされていると考えています。,」カセヤは声明で言った. アドバイザリーによると, すべてのオンプレミスVSAサーバーは、運用を安全に復元できる時期に関する会社からのさらなる指示があるまでオフラインのままにする必要があります.

REvilランサムウェアギャングはどのようにしてKaseya攻撃を実行しましたか?

DIVDCSIRTによって共有された更新によると, オランダ脆弱性開示研究所, 組織は以前にいくつかのゼロデイ脆弱性についてKaseyaに警告していました, CVE-2021-30116識別子で知られています, VSAソフトウェアで:

Wietse Boonstra, DIVD研究者, 以前にゼロデイ脆弱性の数を特定しました [CVE-2021-30116] 現在ランサムウェア攻撃で使用されている. はい, これらの脆弱性は、責任ある開示ガイドラインに基づいてKaseyaに報告されています。 (別名調整された脆弱性の開示).

Kaseyaが報告された脆弱性に気づいたら, 私たちは常に彼らと連絡を取り、協力してきました. レポートの項目が不明確だったとき, 彼らは正しい質問をしました. また, 部分的なパッチは、その有効性を検証するために私たちと共有されました. プロセス全体を通して, Kaseyaは、この問題を修正し、顧客にパッチを適用するために、このケースに最大限の努力とイニシアチブを投入する用意があることを示しました。. 彼らは正しいことをするという真のコミットメントを示しました. 不運にも, 最後のスプリントでREvilに殴られました, 顧客がパッチを適用する前に脆弱性を悪用する可能性があるため, オランダの組織 言った.

攻撃に続いて, REvilは現在、次の金額の身代金の支払いを要求しています $70 100万. 身代金と引き換えに, サイバー犯罪者は、ランサムウェアによって損傷を受けたすべてのシステムを復元するユニバーサル復号化ツールを公開することを約束しています.

投稿によると、REvilギャングは彼らの地下データ漏洩サイトで共有しました, MSPプロバイダーへの攻撃は7月に開始されました 2. この攻撃は100万を超えるシステムに感染したと言われています. 「誰かがユニバーサルデクリプターについて交渉したい場合–私たちの価格は 70,000,000$ BTCで、すべての犠牲者のファイルを復号化する復号化機能を公開します, そのため、誰もが1時間以内に攻撃から回復できるようになります,” 投稿は言った.

関連している: AppleがREvilGangの標的にされた $50 ミリオンランサムウェア攻撃

Kaseyaの顧客は何をすべきか?

CISAとFBIは最近勧告を発表しました, のダウンロードをお勧めします KaseyaVSA検出ツール システムを分析する, VSAサーバーまたは管理対象エンドポイントのいずれか, 侵害の兆候が存在するかどうかを判断します.

その他の推奨事項には、すべての単一アカウントでの多要素認証の採用が含まれます, 顧客向けサービスにMSAを適用するだけでなく; リモート監視および管理機能との通信を既知のIPアドレスペアに制限するための許可リストの実装, 専用の管理ネットワーク上のVPNまたはファイアウォールの背後にRMMへの管理インターフェイスを配置します.

注目に値するのは 2019 GandCrabランサムウェアギャングは、脆弱なネットワークへの足がかりを得るために、リモートITサポート会社が使用するソフトウェアパッケージに数年前の脆弱性を使用しました. この脆弱性は、脆弱なネットワークへのアクセスを許可し、ランサムウェアのペイロードを配布するために悪用されました. 問題の欠陥 Kaseyaプラグインに影響しました ConnectwiseManageソフトウェアの場合, ITサポートのための専門的なサービス自動化製品.