Precis i tid för att förstöra semesterhelgen har ransomware-angripare uppenbarligen använt Kaseya – en mjukvaruplattform som är utformad för att fjärrhantera IT-tjänster – för att leverera sin nyttolast. Sophos regissör och etiska hackare Mark Loman twittrade om attacken tidigare idag och rapporterar nu att berörda system kommer att kräva 44 999 dollar för att bli upplåsta. En anteckning på Kaseyas webbplats uppmanar kunder att stänga av sina VSA-servrar för tillfället ”eftersom en av de första sakerna som angriparen gör är att stänga av administrativ åtkomst till VSA.”
Nyheter Flash: cyberbrottslingar är ett $$ hål.
Ha alla Incident Response-team i åtanke den här helgen eftersom de är i tjocklek … igen.
Om du använder Kaseya VSA, stäng av den * nu * tills du blir tillsagd att återaktivera och initiera IR. Här är den binära: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
— Chris Krebs (@C_C_Krebs) 2 juli 2021
Enligt till en rapport från Bleeping Computer riktade sig attacken till sex stora MSP och har krypterad data för så många som 200 företag.
På DoublePulsar har Kevin Beaumont lagt ut mer information om hur attacken verkar fungera, med REvil ransomware som kommer via en Kaseya-uppdatering och använder plattformens administrativa privilegier för att infektera system. När de hanterade tjänsteleverantörerna är infekterade kan deras system attackera klienterna som de tillhandahåller fjärr-IT-tjänster för (nätverkshantering, systemuppdateringar och säkerhetskopior, bland annat).
I ett uttalande sa Kaseya till The Verge att “Vi undersöker en potentiell attack mot VSA som indikerar att ha varit begränsad till ett litet antal av våra lokala kunder.” Ett meddelande hävdar att alla dess molnservrar nu är i “underhållsläge”, ett drag som talesmannen sade tas på grund av ett “överflöd av försiktighet.”
Vi undersöker en potentiell attack mot VSA som indikerar att ha varit begränsad till ett litet antal av våra lokala kunder. Vi har proaktivt stängt av våra SaaS-servrar av ett överflöd av försiktighet.
Vi håller på att undersöka orsaken till händelsen med största vaksamhet, vi har:
a. Underrättade alla våra lokala kunder om att omedelbart stänga av sina VSA-servrar
b. Stäng av våra SaaS-servrar
Vi har underrättats ytterligare av några säkerhetsföretag om problemet och vi arbetar också nära med dem. Medan vi fortsätter att undersöka händelsen kommer vi att uppdatera våra kunder (och intresserade) eftersom vi har mer information.
Dana Liedholm – SVP, Corporate Communications Kaseya
Dagens attack har kopplats till det ökända REvil ransomware-gänget (redan länkat till attacker mot Acer och köttleverantören JBS tidigare i år), och The Record konstaterar att det kan vara tredje gången Kaseya-programvaran är en vektor för deras exploatering genom att samla incidenter under mer än ett namn.