Hackere har brugt en to år gammel sårbarhed i en software-pakke, der bruges af eksterne IT-support virksomheder at få fodfæste på udsatte netværk og installere den GandCrab ransomware på de virksomheder, ” kunde arbejdsstationer.
Mindst én virksomhed har været ramt allerede, ifølge en rapport på Reddit, bekræftet af cyber-sikkerhed firma Huntress Labs.
Den sårbarhed, der bruges af hackere påvirker Kaseya plugin for ConnectWise Administrere software, en professional services automation (PSA) produkt, der anvendes ved IT-support til virksomheder.
Den Kaseya VSA plugin giver virksomheder mulighed for at sammenkæde data fra Kaseya VSA fjernovervågning og management løsning til en ConnectWise dashboard.
Mange små IT-virksomheder og andre typer af managed service providers (Msp) bruge de to programmer til at centralisere data fra deres kunder og administrere kunde-arbejdsstationer fra en fjerntliggende central beliggenhed.
I November 2017, en sikkerheds-forsker ved navn Alex Wilson har opdaget en SQL injektion-sårbarhed (CVE-2017-18362) i dette plugin, som kunne give en hacker mulighed for at oprette ny administrator-konti på de vigtigste Kaseya app. Han udgav også et proof-of-concept kode på GitHub, der kunne automatisere angreb.
Kaseya frigivet patches på det tidspunkt, men, der er baseret på nye beviser, fremgår det, at mange virksomheder ikke at installere de opdaterede Kaseya plugin på deres ConnectWise dashboards, der forlader deres netværk udsat for.
Angreb, der udnytter denne sårbarhed startede for to uger siden, i slutningen af januar 2019. En rapport, udgivet på Reddit, beskriver en hændelse på en MFP, hvor hackere overtrådt en MSP ‘ s netværk og derefter indsat GandCrab ransomware til 80 kunden arbejdsstationer.
En nu slettet tweet, som ZDNet var ikke i stand til at kontrollere, hævdede, at hackere brugte de samme angreb rutine til at inficere andre Msp ‘ er, låsning mere end 1.500 arbejdspladser.
ConnectWise har udsendt en sikkerhedsadvarsel i reaktion på det stigende antal af rapporter omkring disse ransomware angreb, rådgive brugerne at opdatere deres ConnectWise Styre Kaseya plugin. Selskabet sagde, at det kun er virksomheder “, der har Plugin installeret på deres on-premises [Kaseya] VSA” er påvirket.
I et interview med MSSP Alarm, en tech news site med fokus på den MARITIME sektor, Kaseya administrerende vicedirektør for marketing og kommunikation Taunia Kipp sagde, at de har identificeret 126 virksomheder, der har undladt at opdatere plugin og stadig var i fare.
“Vi sendt en underretning/support-artikel for at vores support, help desk og begyndte straks at nå ud via telefon/e-mail til dem, der er identificeret, og som var i fare for at påvirke beslutningen,” sagde hun.
Huntress Lab forskere, der sagde, at de havde “første hånd viden” om episoden med 80 kunden arbejdsstationer, der er blevet smittet med GandCrab, havde nogle råd til virksomheder, der stadig kører med forældede versioner af Kaseya plugin.
Den første ting du skal gøre er straks at afbryde din VSA server fra internettet, før du kan være sikker på, at det ikke allerede er blevet inficeret. Mens de angreb, vi så i denne uge straks indsat ransomware det er helt muligt, andre angribere har kendt om denne svaghed, og måske allerede har fodfæste i dit system. Frakobling af VSA-serveren i det mindste vil forhindre det i at implementering af ransomware, mens du undersøger.
Dernæst bør du grundigt revision dine VSA-server og andre kritiske infrastruktur til mistænkelige/skadelig fodfæste mistænkelige konti, osv. Vi ved, at dette kan være en kedelig og langsommelig proces, men ønsker du at forstå de risici, der er forbundet med hacker adgang til dette niveau.
Endelig fjerne ManagedITSync integration og erstatte den med den nyeste version forud for re-tilslutning af din VSA-server til internettet.
Mere ransomware dækning:
Ny ransomware stamme er at låse op Bitcoin mining rigge i ChinaRansomware: executive-guide til en af de største trudsler om webRansomware advarsel: Dette phishing-kampagne, der leverer nye malware variantsMoscow ‘ s nye cable car system er inficeret med ransomware to dage efter lanceringen
Ransomware advarsel: Denne romantiske besked kan gemme sig en ubehagelig surpriseMatrix har langsomt udviklet sig til en ‘schweizerkniv’ af ransomware worldRansomware angreb rammer Port of San Diego CNET
Ransomware: Et cheat sheet for fagfolk, TechRepublic
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre