Kaseya: около 1500 предприятий пострадали от атаки вымогателя REvil

Источник · Перевод автора

Kaseya говорит, что атака программы-вымогателя REvil взломала системы примерно 60 ее прямых клиентов, использующих локальный продукт VSA.

В целом, поставщик облачного программного обеспечения MSP добавил, что ему известно о 1500 последующих жертвах, чьи сети управлялись MSP с помощью инструментов удаленного управления Kaseya.

«Атака имела ограниченный эффект: только около 50 из более чем 35 000 клиентов Kaseya были взломаны», – сказала Kaseya в пресс-релизе.

«Из примерно 800 000–1 000 000 местных и малых предприятий, которыми управляют клиенты Kaseya, только около 800–1 500 были скомпрометированы».

Компания предоставляет индикаторы компрометации сети и конечных точек (IOC), чтобы помочь исследователям в области безопасности и клиентам проводить расследования, а также обновленную версию своего инструмента обнаружения компрометации для проверки систем на наличие признаков взлома.

Касея говорит, что в настоящее время работает над процессом восстановления и готовится развернуть исправление уязвимого нулевого дня для клиентов VSA.

Все локальные серверы VSA должны оставаться в автономном режиме до тех пор, пока Kaseya не даст дальнейших указаний о том, когда можно безопасно восстановить операции. Перед перезапуском VSA необходимо установить исправление и набор рекомендаций по повышению уровня безопасности. – Касея

Эксплуатация нулевого дня, пока Kaseya проверяла исправления

Для развертывания полезных нагрузок вымогателей в системах клиентов Kaseya и их клиентов операторы REvil использовали уязвимость нулевого дня (CVE-2021-30116) в Kaseya VSA, программном обеспечении RMM (удаленного мониторинга и управления), обычно используемом MSP для управления клиентскими компьютерами. сети.

Как позже выяснил BleepingComputer, Касея занималась исправлением уязвимости нулевого дня, о которой в частном порядке сообщили исследователи из Голландского института раскрытия уязвимостей (DIVD).

Однако аффилированное лицо REvil, стоящее за атакой, получило данные о нулевом дне и использовало их для развертывания программы-вымогателя, прежде чем Kaseya смогла начать развертывание исправления для клиентов VSA.

«Злоумышленники смогли использовать уязвимости нулевого дня в продукте VSA, чтобы обойти аутентификацию и запустить произвольное выполнение команд», – объясняет Kaseya.

«Это позволило злоумышленникам использовать стандартные функции продукта VSA для развертывания программ-вымогателей на конечных точках. Нет никаких свидетельств того, что кодовая база VSA Kaseya была злонамеренно изменена».

REvil теперь утверждает, что зашифровал более 1 000 000 систем и, потребовав сначала 70 миллионов долларов, теперь просит 50 миллионов долларов за универсальный дешифратор.

REvil заявляет о шифровании 1 миллиона конечных точек

Это не первый случай, когда группы программ-вымогателей нацелены на облачную платформу MSP Kaseya.

GandCrab, REvil (Sodinokibi) и Ragnar Locker нацелены на инструменты удаленного управления Kaseya, чтобы MSP жертвы было намного сложнее обнаруживать и блокировать продолжающиеся атаки программ-вымогателей.

В новостях по теме CISA и ФБР поделились рекомендациями для жертв атаки программ-вымогателей в цепочке поставок.

Совет национальной безопасности Белого дома также призывает жертв сообщать о любых инцидентах и ​​следовать указаниям Касеи.