Lige i tide til at ødelægge feriehelgen har ransomware-angribere tilsyneladende brugt Kaseya – en softwareplatform designet til at hjælpe med at administrere it-tjenester eksternt – til at levere deres nyttelast. Sophos-direktør og etiske hacker Mark Loman tweetede om angrebet tidligere i dag og rapporterer nu, at berørte systemer vil kræve $ 44.999 for at blive låst op. En note på Kaseyas websted tilskynder kunder til at lukke deres VSA-servere indtil videre ”fordi en af de første ting, angriberen gør, er at lukke administrativ adgang til VSA.”
Nyheder Flash: cyberkriminelle er $$ huller.
Husk alle Incident Response-holdene denne feriehelg, da de er i det tykke af det … igen.
Hvis du bruger Kaseya VSA, skal du lukke den * nu *, indtil du bliver bedt om at genaktivere og starte IR. Her er den binære: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
— Chris Krebs (@C_C_Krebs) 2. juli 2021
Ifølge til en rapport fra Bleeping Computer, angreb angrebet seks store MSP'er og har krypterede data for så mange som 200 virksomheder.
På DoublePulsar har Kevin Beaumont sendt flere detaljer om, hvordan angrebet ser ud til at fungere, med REvil ransomware, der ankommer via en Kaseya-opdatering og bruger platformens administrative rettigheder til at inficere systemer. Når de administrerede tjenesteudbydere er inficeret, kan deres systemer angribe de klienter, som de leverer eksterne it-tjenester til (netværksadministration, systemopdateringer og sikkerhedskopier, blandt andet).
I en erklæring fortalte Kaseya til The Verge, at “Vi undersøger et potentielt angreb mod VSA, der indikerer at have været begrænset til et lille antal af vores lokale kunder.” En meddelelse hævder, at alle dens cloud-servere nu er i “vedligeholdelsestilstand”, et skridt, som talsmanden sagde, bliver taget på grund af en “overflod af forsigtighed.”
Vi undersøger et potentielt angreb mod VSA, der indikerer, at de kun er begrænset til et lille antal af vores lokale kunder. Vi har proaktivt lukket vores SaaS-servere ud af en overflod af forsigtighed.
Vi er i færd med at undersøge grundårsagen til hændelsen med den største årvågenhed, vi har:
a. Underrettede alle vores lokale kunder om øjeblikkeligt at lukke deres VSA-servere
b. Luk vores SaaS-servere ned
Vi er blevet underrettet yderligere af nogle få sikkerhedsfirmaer om problemet, og vi arbejder også tæt sammen med dem. Mens vi fortsætter med at undersøge hændelsen, opdaterer vi vores kunder (og interesserede parter), da vi har flere oplysninger.
Dana Liedholm – SVP, Corporate Communications Kaseya
Dagens angreb er knyttet til den berygtede REvil ransomware-bande (allerede linket til angreb på Acer og kødleverandør JBS tidligere på året), og The Record bemærker, at det ved indsamling af hændelser under mere end et navn kan være tredje gang, at Kaseya-software har været en vektor for deres udnyttelse. = “sd7BaW”>