Akkurat i tide til å ødelegge høytidshelgen, har angripere av løsepenger tilsynelatende brukt Kaseya – en programvareplattform designet for å håndtere IT-tjenester eksternt – for å levere nyttelasten. Sophos-direktør og etiske hacker Mark Loman twitret om angrepet tidligere i dag, og rapporterer nå at berørte systemer vil kreve $ 44,999 for å bli låst opp. Et notat på Kaseyas nettsted ber kundene om å stenge VSA-serverne sine for nå “fordi en av de første tingene angriperen gjør, er å stenge administrativ tilgang til VSA.”
Nyheter Flash: nettkriminelle er et $$ hull.
Husk alle Incident Response-teamene denne høytidshelgen, ettersom de er i det tykke … igjen.
Hvis du bruker Kaseya VSA, må du slå den av * nå * til du blir bedt om å aktivere og starte IR. Her er den binære: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
— Chris Krebs (@C_C_Krebs) 2. juli 2021
Ifølge til en rapport fra Bleeping Computer, angrep angrepet seks store MSP-er og har kryptert data for så mange som 200 selskaper.
På DoublePulsar har Kevin Beaumont lagt ut mer detaljer om hvordan angrepet ser ut til å fungere, med REvil ransomware som kommer via en Kaseya-oppdatering og bruker plattformens administrative rettigheter til å infisere systemer. Når de administrerte tjenesteleverandørene er infisert, kan systemene deres angripe klientene de tilbyr eksterne IT-tjenester for (nettverksadministrasjon, systemoppdateringer og sikkerhetskopier, blant annet).
I en uttalelse sa Kaseya til The Verge at “Vi undersøker et potensielt angrep mot VSA som indikerer å ha vært begrenset til et lite antall av våre lokale kunder.” Et varsel hevder at alle skyserverne nå er i “vedlikeholdsmodus”, et trekk som talsmannen sa blir tatt på grunn av en “overflod av forsiktighet.”
Vi undersøker et potensielt angrep mot VSA som indikerer å ha vært begrenset til et lite antall av våre lokale kunder. Vi har proaktivt stengt SaaS-serverne våre av en overflod av forsiktighet.
Vi er i ferd med å undersøke årsaken til hendelsen med den største årvåkenhet, vi har:
a. Varslet alle våre lokale kunder om å umiddelbart stenge VSA-serverne sine
b. Steng SaaS-serverne våre
Vi har blitt varslet videre av noen få sikkerhetsfirmaer om problemet, og vi jobber også tett med dem. Mens vi fortsetter å undersøke hendelsen, vil vi oppdatere våre kunder (og interesserte parter) ettersom vi har mer informasjon.
Dana Liedholm – SVP, Corporate Communications Kaseya
Dagens angrep har vært knyttet til den beryktede REvil ransomware-gjengen (allerede lenket til angrep mot Acer og kjøttleverandør JBS tidligere i år), og The Record bemerker at dette kan være tredje gang Kaseya-programvaren har vært en vektor for deres utnyttelse, når man samler inn hendelser under mer enn ett navn.