Kaseya zero-day ransomware

Furnizorul de software remote, Kaseya, a declarat că a identificat și estompat recent o vulnerabilitate care a fost exploatată într-un incident ce a vizat un atac ransomware-ul desfășurat pe rețelele a mii de companii din întreaga lume.

A fost identificat faptul că prin acces neautorizat la infrastructura backend-ului Kaseya, a implementată o actualizare malițioasă pe serverele VSA (Virtual System/Server Administrator).

Actualizarea rău intenționată a fost utilizată pentru a instala o versiune a ransomware-ului REvil de pe serverul VSA pe toate stațiile de lucru conectate, infectând în mod eficient rețelele altor companii terțe care au fost conectate la sistemele VSA atacate.

Într-o postare recentă, DIVD (Dutch Institute for Vulnerability Disclosure), o organizație olandeză de securitate cibernetică, a declarat că atacatorii au folosit o vulnerabilitate de pe serverele Kaseya VSA, ce se afla în curs de remediere în momentul atacului.

Vulnerabilitatea a constat într-o metodă prin care a fost posibilă ”ocolirea” autentificării web VSA, rularea de comenzi SQL pe dispozitivul VSA și ca ultim pas, implementarea ransomware-ului pe toate host-urile conectate la rețea.

Pentru a identifica ce servere au fost compromise în timpul atacurilor, a fost lansat un nou instrument numit Compromise Detection Tool pentru toți clienții care dețin un server VSA local.

Atacul ar fi putut avea o amploare mult mai mare dacă Kaseya nu ar interveni pentru a închide propria infrastructură bazată pe cloud .

CEO-ul Kaseya, Fred Voccola, a declarat pentru The Record că mai puțin de 40 din mii de clienți au avut servere VSA compromise și abuzate pentru a implementa ransomware.

Cu toate acestea, majoritatea acestor servere VSA au fost utilizate de MSP (managed service providers), care sunt companii ce gestionează infrastructura altor clienți; adică atacatorii au implementat cel mai probabil ransomware în mii de rețele de întreprinderi, chiar dacă au piratat doar mai puțin de 40 de servere VSA.

Furnizorul de antivirus ESET a declarat că a detectat o creștere a infecțiilor cu ransomware REvil, pe care le-au legat de incidentul de la Kaseya.

Sursa: https://therecord.media/kaseya-zero-day-involved-in-ransomware-attack-patches-coming/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică