Hackare har använt en två-årig sårbarhet i ett program som används av remote IT-stöd för företag att få in en fot på utsatta nätverk och distribuera GandCrab ransomware på de företag som har kunden arbetsstationer.
Åtminstone ett företag har drabbats redan, enligt en rapport på Reddit, bekräftas av cyber-bevakningsföretag Huntress Labs.
Den sårbarhet som används av hackare påverkar Kaseya plugin för ConnectWise Hantera programvara, en professional services automation (PSA) en produkt som används av IT-stöd till företag.
Den Kaseya VSA-plugin gör det möjligt för företag att länka data från Kaseya VSA fjärrövervakning och management-lösning till en ConnectWise instrumentpanelen.
Många små IT-företag och andra typer av managed service providers (MSPs) använda två applikationer för att centralisera data från sina kunder och hantera kund-arbetsstationer från en avlägsen central plats.
I November 2017, en säkerhetsforskare som heter Alex Wilson upptäckte en SQL-injiceringssårbarhet (CVE-2017-18362) i detta plugin som kan tillåta en angripare att skapa nya administratörskonton på de viktigaste Kaseya app. Han publicerade även proof-of-concept-koden på GitHub som kan automatisera attack.
Kaseya släppt patchar vid den tidpunkten, dock, baserat på nya belägg, det verkar som att många företag misslyckades med att installera den uppdaterade Kaseya plugin på sina ConnectWise instrumentpaneler, som lämnar sin oskyddat nätverk.
Attacker som utnyttjar denna sårbarhet började för två veckor sedan, runt slutet av januari 2019. En rapport publicerad på Reddit beskriver en incident på en MSP där hackare har brutit mot en MSP nätverk och sedan ut GandCrab ransomware till 80 kund arbetsstationer.
En nu-bort tweet som ZDNet inte kunde kontrollera hävdade att hackare används för samma attack rutin för att infektera andra MSPs, låsning mer än 1 500 arbetsplatser.
ConnectWise har utfärdat en säkerhetsvarning som svar på den växande antal rapporter kring dessa ransomware attacker, råd till användare att uppdatera sina ConnectWise Hantera Kaseya plugin. Företaget sade att endast de företag som har en Plugin installerad på deras lokaler [Kaseya] VSA” är negativt.
I en intervju med MSSP Alert, en tech news webbplats inriktad på MSP sektorn, Kaseya, vice vd för marknadsföring och kommunikation Taunia Kipp sade att de har identifierat 126 företag som misslyckats med att uppdatera plugin och var fortfarande i riskzonen.
“Vi skrev en anmälan/support artikel till vår support helpdesk och började genast att nå ut via telefon/e-post till dem som identifierats som var med på risken för påverkan med resolution”, sade hon.
Huntress Lab forskare, som sa att de hade “i första hand kunskap” av tillbud 80 kund arbetsstationer som blev smittad med GandCrab, hade några råd till företag som fortfarande kör gamla versioner av Kaseya plugin.
Det första du bör göra är att omedelbart koppla ur din VSA-servern från internet tills du kan vara säker på att det inte redan har blivit smittad. Medan de attacker vi såg den här veckan satte omedelbart igång ransomware det är fullt möjligt att andra angripare har vetat om detta säkerhetsproblem och kanske redan har ett fäste i ditt system. Koppla VSA-servern kommer att åtminstone förhindra det från att distribuera ransomware medan du undersöker.
Nästa bör du noggrant granska din VSA-servern och annan viktig infrastruktur för misstänkta/skadlig fotfästen, misstänkta konton, etc. Vi vet att detta kan vara en mödosam och tidskrävande process, men vill att du förstår de risker som är förknippade med angriparen tillgång till denna nivå.
Slutligen ta bort ManagedITSync integration och ersätt den med den senaste versionen innan du ansluter den igen din VSA-server till internet.
Mer ransomware täckning:
Nya ransomware stam är att låsa upp Bitcoin mining riggar i ChinaRansomware: En verkställande guide till en av de största hot på webRansomware varning: Detta phishing kampanj som ger nya malware variantsMoscow nya cable car system är infekterad med ransomware två dagar efter lanseringen
Ransomware varning: Det romantiska budskap kan dölja en otäck surpriseMatrix har långsamt utvecklats till ett “Swiss Army knife” ransomware worldRansomware attack träffar Port of San Diego CNET
Ransomware: En lathund för yrkesverksamma TechRepublic
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter