Af Charlie Osborne | 23. juli 2021 – 12:33 GMT (13:33 BST) | Emne: Sikkerhed
Kaseya, en udvikler af it-løsninger til MSP'er og virksomhedskunder, meddelte, at det var blevet offer for et cyberangreb den 2. juli i løbet af den amerikanske uafhængighedsdag weekend.
Hvem er ansvarlig?
Charlie Osborne | ZDNet
Cyberangrebet er tilskrevet REvil/Sodinikibi-ransomwaregruppen, der har påtaget sig ansvaret på sit Dark Web-lækageside, “Happy Blog.”
I en opdatering i weekenden menes operatørerne at have bånd. til Rusland, hævdede, at mere end “en million” systemer er blevet inficeret.
REvil har tilbudt en dekrypteringsnøgle, angiveligt universel og derfor i stand til at låse op for alle krypterede systemer til en 'pris' på $ 70 millioner i bitcoin (BTC) kryptokurrency.
REvil har tidligere været knyttet til ransomware-angreb på virksomheder, herunder JBS, Travelex og Acer.
Hvad er betalingsbetingelserne for ransomware?
Ransomwarebeskrivelsen hævder, at filer er “krypterede og i øjeblikket utilgængelige.” En filtypenavn .csruj er angiveligt blevet brugt. Operatører kræver betaling til gengæld for en dekrypteringsnøgle, og en 'freebie' filkryptering er også på bordet for at bevise, at dekrypteringsnøglen fungerer.
Operatorerne tilføjer (stavemåde uændret):
“Det er bare en forretning. Vi er ligeglad med dig og dine tilbud undtagen at få fordele. Hvis vi ikke udfører vores arbejde og forpligtelser – vil ingen ikke samarbejde med os. Det er ikke i vores interesse. Hvis du ikke vil samarbejde med os vores service – for os betyder det ikke noget. Men du mister din tid og data, for bare vi har den private nøgle. I praksis er tiden meget mere værdifuld end penge. “
< p> Sophos malware-analytiker Mark Loman delte et screenshot på Twitter af en ransomware-note, der var plantet på et inficeret slutpunkt, der krævede $ 44.999.
John Hammond, senior sikkerhedsforsker hos Huntress, fortalte ZDNet, at virksomheden allerede har set løsesumskrav på op til $ 5 millioner.
Kevin Beaumont siger, at han desværre har set ofrene “desværre forhandle” med ransomware-operatørerne.
Fabian Wosar, CTO fra Emsisoft, har også i en Twitter-tråd forklaret, hvorfor det usandsynligt er, at det at bruge en nøgle, der er opnået af en enkelt organisation, betaler op, er en bæredygtig vej til at låse alle ofre op.
“REvil har absolut evnen til kun at dekryptere et enkelt offer, uden at disse købte dekrypteringsværktøjer er anvendelige til andre ofre, der er ramt af den samme offentlige kampagnenøgle,” bemærkede sikkerhedseksperten.
CNBC rapporterer, at det universelle løsesum kræver er reduceret til $ 50 millioner i private samtaler. Fra den 7. juli forbliver den offentlige efterspørgsel efter $ 70 millioner på trusselsgruppens lækageside uændret.
Hvad er reaktionerne hidtil?
På tidspunktet for overtrædelsen meddelte Kaseya retshåndhævelses- og cybersikkerhedsagenturer, herunder Federal Bureau of Investigation (FBI) og US Cybersecurity and Infrastructure Security Agency (CISA).
FBI og CISA har frigivet et fælles erklæring om sikkerhedshændelsen og opfordrer kunder til at køre et værktøj leveret af Kaseya til at bestemme risikoen for udnyttelse og til både at aktivere og håndhæve multifaktorautentificering (MFA) på virksomhedskonti, hvor det er muligt.
Kaseya har afholdt møder med FBI og CISA “for at diskutere krav til systemer og netværkshærdning inden restaurering af tjenester for både SaaS og lokale kunder.”
Det Hvide Hus beder organisationer om at informere internetkriminalitet Klagecenter (IC3), hvis de har mistanke om, at de er kompromitteret.
På lørdag sagde den amerikanske præsident Biden, at han har instrueret føderale efterretningsagenturer til at undersøge.
“At målrette [en] MSP-platform (der administrerer mange kunder på én gang) var meget gennemtænkt og planlagt,” sagde Amit Bareket, administrerende direktør for Perimeter 81, til ZDNet. “Det unikke er, at hackere bliver mere strategiske og målretter mod platforme, der filtrerer ned til mange virksomheder med et enkelt skud. RMM'er [fjernovervågning og -styring] er grundlæggende nøgler til mange mange virksomheder, hvilket svarer til kongeriget for dårlige aktører.”
Det Hvide Hus har forsøgt at styrke sin holdning til cyberkriminalitet i lyset af dette angreb og advaret den russiske præsident Vladimir Putin om, at medmindre han håndterer problemet i sin egen baghave, “vil vi tage handling eller forbeholde os retten til at handle selv. ”
Er der nogen genopretningsplaner?
Fra den 4. juli siger Kaseya, at virksomheden nu er gået fra en grundårsagsanalyse af angrebet til genopretnings- og patchplaner, der består af:
Kommunikation af vores trinvise genopretningsplan med SaaS først efterfulgt af lokale kunder. Kaseya vil offentliggøre et resumé af angrebet, og hvad vi har gjort for at afbøde det. Nogle let anvendte ældre VSA-funktioner fjernes som en del af denne udgivelse af en overflod af forsigtighed. En specifik liste over funktionaliteten og dens indvirkning på VSA-kapaciteterne vil blive beskrevet i udgivelsesnoterne. Der vil blive implementeret nye sikkerhedsforanstaltninger, herunder forbedret sikkerhedsovervågning af vores SaaS-servere fra FireEye og aktivering af forbedrede WAF-funktioner. Vi har med succes gennemført en ekstern sårbarhedsscanning, kontrolleret vores SaaS-databaser for kompromisindikatorer og har haft eksterne sikkerhedseksperter til at gennemgå vores kode for at sikre en vellykket genstart af tjenesten.
Datacentre startende med EU vil blive genoprettet efterfulgt af de britiske, APAC og derefter nordamerikanske systemer.
Sen aften den 5. juli sagde Kaseya, at en patch er blevet udviklet, og det er firmaets hensigt at bringe VSA tilbage med “iscenesat funktionalitet” for at fremskynde processen. Virksomheden forklarede:
Den første udgivelse forhindrer adgang til funktionalitet, der bruges af en meget lille del af vores brugerbase, herunder: Classic Ticketing Klassisk fjernbetjening (ikke LiveConnect). Brugerportal
Kaseya har nu offentliggjort en opdateret tidslinje for sin gendannelsesindsats, startende med genstart af SaaS-servere, der nu er indstillet til 6. juli, 16:00 EDT og 19:00 EDT. Konfigurationsændringer for at forbedre sikkerheden følger, inklusive en patch på stedet, der forventes at lande om 24 timer eller mindre, fra det tidspunkt SaaS-servere kommer tilbage online.
“Vi er fokuseret på at krympe denne tidsramme til det minimale mulige – men hvis der er problemer fundet under udvidelsen af SaaS, vil vi rette dem, før vi bringer vores lokale kunder op,” siger firmaet.
Yderligere sikkerhedsforbedringer inkluderer oprettelse af 24/7 SOC'er til VSA samt en gratis CDN med en webapplikations firewall (WAF) til hver VSA.
Opdatering 7. juli : Tidslinjen er ikke opfyldt. Kaseya sagde, at “der blev opdaget et problem, der har blokeret frigivelsen” af VSA SaaS-udrulningen.
“Vi undskylder forsinkelsen, og FoU og operationer fortsætter med at arbejde døgnet rundt for at løse dette problem og gendanne tjenesten,” kommenterede Kaseya.
I en serviceopdatering sagde sælgeren, at det ikke har været muligt for at løse problemet.
“Forsknings- og operationsteamene arbejdede igennem natten og vil fortsætte med at arbejde, indtil vi har fjernet blokeringen af frigivelsen,” tilføjede Kaseya.
7. juli kl. 12 EDT :
Kaseya håber at løse SaaS-systemets udrulning senest om aftenen torsdag 8. juli. En playbook er i øjeblikket ved at blive skrevet op, som skal offentliggøres i dag, som vil give retningslinjer for berørte virksomheder til at implementere den kommende lokale VSA-patch.
Aktuel gendannelsesstatus
Fra den 8. juli har Kaseya udgivet to kørebøger, “VSA SaaS Startup Guide” og “On Premises VSA Startup Readiness Guide”, for at hjælpe klienter med forbereder sig på at vende tilbage til service og patch implementering.
Gendannelsen tager dog længere tid end oprindeligt forventet.
“Vi er i gang med at nulstille tidslinjerne for VSA SaaS og VSA On-Premises implementering,” siger virksomheden. “Vi beklager forsinkelsen og ændringerne af planerne, når vi arbejder igennem denne flydende situation.”
I en anden videobesked optaget af firmaets administrerende direktør sagde Voccola:
“Det faktum, at vi var nødt til at tage VSA ned, er meget skuffende for mig, det er meget skuffende for mig personligt. Jeg har lyst til, at jeg har svigtet dette samfund. Jeg svigtede min virksomhed, vores virksomhed svigtede dig. [..] Dette er ikke BS, dette er virkeligheden. “
Den nye frigivelsestid for VSA er søndag om eftermiddagen, Eastern Time, for også at hærde softwaren og styrke dens sikkerhed inden implementeringen.
12. juli : Kaseya har nu frigivet en patch og arbejder sammen med lokale kunder for at implementere sikkerhedsrettelsen. Nu er 100% af alle SaaS-kunder live, ifølge virksomheden.
“Vores supportteam fortsætter med at arbejde med lokale VSA-kunder, der har anmodet om hjælp med programrettelsen,” tilføjede Kaseya.
Hvad kan kunder gøre?
Kaseya har udgivet et værktøj, herunder Indicators of Compromise (IoC), som kan downloades via Box. Der er to PowerShell-scripts til brug: den ene på en VSA-server, og den anden er designet til slutpunktsscanning.
Selvvurderingsscriptsne skal bruges i offline-tilstand. De blev opdateret den 5. juli for også at scanne for datakryptering og REvil's løsesumnote.
Imidlertid er scripts kun til potentiel udnyttelse af risikodetektion og er ikke sikkerhedsrettelser. Kaseya frigiver patches så hurtigt som muligt, men i mellemtiden er kunderne simpelthen nødt til at vente til søndag.
Kaseya har til hensigt at bringe kunder tilbage online den 11. juli kl. 16 PM EDT.
“Alle lokale VSA-servere skal fortsat forblive offline indtil yderligere instruktioner fra Kaseya om, hvornår det er sikkert at gendanne operationer,” sagde firmaet. “En patch skal installeres, før VSA genstartes.”
Cado Security har leveret et GitHub-lager til respondenter, herunder malware-prøver, IoC'er og Yara-regler.
Truesec CSIRT har også frigivet et script på GitHub for at identificere og afbøde skader på inficerede systemer.
Kaseya har også advaret om, at svindlere forsøger at udnytte situationen.
“Spammere bruger nyhederne om Kaseya-hændelsen til at sende falske e-mail-underretninger, der ser ud til at være Kaseya-opdateringer. Disse er phishing-e-mails, der kan indeholde ondsindede links og/eller vedhæftede filer.
Klik ikke på nogen links, eller download ikke vedhæftede filer, der hævder at være en Kaseya-rådgivende. ” REvil ransomware-gruppens lækageside blev beslaglagt og nedlagt af retshåndhævende myndigheder.
Fjernelsen omfattede REvil's betalingsside, public domain, helpdesk-chatplatform og forhandlingsportalen.
Mens hensigten var at sikre en eller anden form for kontrol over gruppen, skal det bemærkes, at ransomware-operatører ofte lukker sider, ommærker og omgrupperer.
En bivirkning ved fjernelsen er, at fjernelsen af forhandlinger og muligheden for at købe en dekrypteringsnøgle har efterladt ofre med uoprettelige systemer. Et offer, der betalte for en dekrypteringsnøgle – som til sidst ikke fungerede – er nu ude af lommen og ude af stand til at sikre hjælp fra cyberkriminelle.
En dekrypteringsnøgle?
Den 22. juli sagde Kaseya, at virksomheden har formået at sikre en dekrypteringsnøgle. Opnået af en “tredjepart” er dekrypteringsnøglen testet med succes i offermiljøer – og antydningen er, at dekrypteringsnøglen kan være universel.
Virksomheden arbejder sammen med Emsisoft for at nå ud til kunder, der stadig lider på grund af låste systemer og har brug for en dekrypteringsnøgle.
“Vi er fortsat forpligtet til at sikre de højeste sikkerhedsniveauer for vores kunder og vil fortsætte med at opdatere her, når flere detaljer bliver tilgængelige,” sagde Kaseya. “Kunder, der er blevet påvirket af ransomware, bliver kontaktet af Kaseya-repræsentanter.”
Kaseya-angreb
Kaseya-ransomware-forsyningskædeangreb: Hvad du har brug for at vide 1.500 berørte virksomheder, Kaseya bekræfter, at USA lancerer efterforskning, da banden kræver kæmpe betaling på $ 70 millioner Kaseya opfordrer kunder til straks at lukke VSA-server
Relaterede emner:
Tech Industry Security TV Data Management CXO Data Centers 