Kaseya, en IT-lösningsutvecklare för MSP och företagskunder, meddelade att det hade blivit offer för en cyberattack den 2 juli under den amerikanska självständighetsdagen.
Vem är ansvarig?
Charlie Osborne | ZDNet
Cyberattacken har tillskrivits REvil/Sodinikibi-ransomwaregruppen, som har tagit på sig ansvaret på sin Dark Web-läcksida, “Happy Blog.”
I en uppdatering över helgen trodde operatörerna att de hade band. till Ryssland, hävdade att mer än “en miljon” system har infekterats.
REvil har erbjudit en dekrypteringsnyckel, påstås vara universell och därför kunna låsa upp alla krypterade system, till ett “pris” på 70 miljoner dollar i bitcoin (BTC) -kryptovalutan.
REvil har tidigare kopplats till ransomware-attacker mot företag, inklusive JBS, Travelex och Acer.
Vad är betalningsvillkoren för ransomware?
Ransomware-anteckningen hävdar att filer är “krypterade och för närvarande inte tillgängliga.” Ett filtillägg .csruj har enligt uppgift använts. Operatörer kräver betalning i utbyte mot en dekrypteringsnyckel och en “freebie” -filkryptering finns också på bordet för att bevisa att dekrypteringsnyckeln fungerar.
Operatorerna lägger till (stavningen oförändrad):
“Det är bara ett företag. Vi bryr oss absolut inte om dig och dina erbjudanden, förutom att få förmåner. Om vi inte gör vårt arbete och våra skulder – kommer ingen inte att samarbeta med oss. Det är inte i våra intressen. Om du inte kommer att samarbeta med vår tjänst – för oss spelar det ingen roll. Men du kommer att förlora din tid och data, för bara vi har den privata nyckeln. I praktiken är tiden mycket mer värdefull än pengar. “
< p> Sophos malwareanalytiker Mark Loman delade en skärmdump på Twitter av en ransomwareanmärkning planterad på en infekterad slutpunkt som krävde 44 999 dollar.
John Hammond, senior säkerhetsforskare på Huntress, berättade för ZDNet att företaget redan har sett lösenkrav på upp till 5 miljoner dollar.
Kevin Beaumont säger att han tyvärr har sett offer “tyvärr förhandla” med ransomware-operatörerna.
Fabian Wosar, CTO för Emsisoft, har också förklarat i en Twitter-tråd varför det är osannolikt att det är osannolikt att använda en nyckel som erhållits av en enda organisation som betalar upp för att låsa upp alla offer.
“REvil har absolut förmågan att dekryptera endast ett enda offer utan att dessa köpta dekrypteringsverktyg är tillämpliga för andra offer som drabbas av samma kampanjens offentliga nyckel”, konstaterade säkerhetsexperten.
CNBC rapporterar att det universella lösensystemet kräver har minskats till 50 miljoner dollar i privata konversationer. Från och med den 7 juli förblir allmänhetens krav på 70 miljoner dollar på hotgruppens läckagesida oförändrad.
Vilka är reaktionerna hittills?
Vid tidpunkten för överträdelsen meddelade Kaseya brottsbekämpande myndigheter och cybersäkerhetsbyråer, inklusive Federal Bureau of Investigation (FBI) och US Cybersecurity and Infrastructure Security Agency (CISA).
FBI och CISA har släppt en gemensam uttalande om säkerhetsincidenten och uppmanar kunderna att köra ett verktyg som tillhandahålls av Kaseya för att fastställa risken för exploatering och för att både möjliggöra och genomdriva multifaktorautentisering (MFA) på företagskonton, där det är möjligt.
Kaseya har hållit möten med FBI och CISA “för att diskutera system- och nätverkshärdningskrav före serviceåterställning för både SaaS och lokala kunder.”
Vita huset ber organisationer att informera Internetbrott Klagomål (IC3) om de misstänker att de har äventyrats.
På lördag sa USA: s president Biden att han har riktat federala underrättelsetjänster till utredning.
“Att rikta [en] MSP-plattform (som hanterar många kunder samtidigt) var mycket väl genomtänkt och planerad”, säger Amit Bareket, VD för Perimeter 81, till ZDNet. “Det unika är att hackare blir mer strategiska och inriktar sig på plattformar som kommer att filtrera ner till många företag med ett enda skott. RMM [fjärrövervakning och hantering] är i grunden nycklar till många många företag, vilket motsvarar kungariket för dåliga aktörer.”
Vita huset har försökt stärka sin inställning till it-brottslighet mot bakgrund av denna attack och varnar den ryska presidenten Vladimir Putin om att om vi inte hanterar problemet i sin egen bakgård, “kommer vi att vidta åtgärder eller förbehåller oss rätten att vidta åtgärder på egen hand. ”
Finns det några återhämtningsplaner?
Från och med den 4 juli säger Kaseya att företaget nu har gått från en grundorsaksanalys av attacken till återhämtnings- och patchplaner, bestående av:
Kommunikation av vår stegvisa återhämtningsplan med SaaS först följt av lokala kunder. Kaseya kommer att publicera en sammanfattning av attacken och vad vi har gjort för att mildra den. Några lättanvända äldre VSA-funktioner kommer att tas bort som en del av den här versionen av ett överflöd av försiktighet. En specifik lista över funktionaliteten och dess inverkan på VSA-funktioner kommer att beskrivas i utgåvan. Det kommer att införas nya säkerhetsåtgärder, inklusive förbättrad säkerhetsövervakning av våra SaaS-servrar med FireEye och möjliggör förbättrade WAF-funktioner. Vi har framgångsrikt slutfört en extern sårbarhetssökning, kontrollerat våra SaaS-databaser för indikatorer på kompromiss och har fått externa säkerhetsexperter att granska vår kod för att säkerställa en framgångsrik omstart av tjänsten.
Datacenter från och med EU kommer att återställas, följt av Storbritannien, APAC och sedan nordamerikanska system.
Vid sen kväll den 5 juli sa Kaseya att en patch har utvecklats och det är företagets avsikt att återföra VSA med “iscensatt funktionalitet” för att påskynda processen. Företaget förklarade:
Den första versionen förhindrar åtkomst till funktionalitet som används av en mycket liten del av vår användarbas, inklusive: Classic Ticketing Klassisk fjärrkontroll (inte LiveConnect). Användarportal
Kaseya har nu publicerat en uppdaterad tidslinje för sina återställningsinsatser, som börjar med omstart av SaaS-servrar, nu inställd till 6 juli, 16:00 EDT och 19:00 EDT. Konfigurationsändringar för att förbättra säkerheten kommer att följa, inklusive en patch på plats, som förväntas landa inom 24 timmar eller mindre, från den tid SaaS-servrarna kommer tillbaka online.
“Vi fokuserar på att krympa den här tidsramen till det minsta möjliga – men om det finns några problem som upptäcks under utbyggnaden av SaaS, vill vi fixa dem innan vi tar upp våra lokala kunder”, säger företaget.
Ytterligare säkerhetsförbättringar inkluderar skapandet av 24/7 SOC för VSA, samt en gratis CDN med en webbapplikationsbrandvägg (WAF) för varje VSA.
Uppdatering 7 juli : Tidslinjen har inte uppfyllts. Kaseya sa att “ett problem upptäcktes som har blockerat frisläppandet” av VSA SaaS-lanseringen.
“Vi ber om ursäkt för förseningen och FoU och operationer fortsätter att arbeta dygnet runt för att lösa problemet och återställa tjänsten”, kommenterade Kaseya.
I en serviceuppdatering sa säljaren att det inte har kunnat fungera. för att lösa problemet.
“FoU- och driftsteamet arbetade hela natten och kommer att fortsätta arbeta tills vi har avblockerat utgåvan,” tillade Kaseya.
7 juli kl 12 EDT :
Kaseya hoppas kunna lösa SaaS-systemens lansering senast på kvällen torsdagen den 8 juli. En spelbok håller för närvarande på att skrivas ut, som kommer att publiceras idag, som kommer att ge riktlinjer för berörda företag att distribuera den kommande lokala VSA-korrigeringen.
Aktuell återställningsstatus
Från och med den 8 juli har Kaseya publicerat två körböcker, “VSA SaaS Startup Guide” och “On Premises VSA Startup Readiness Guide”, för att hjälpa kunder med förbereder sig för återgång till service och patchdistribution.
Återhämtningen tar dock längre tid än ursprungligen förväntat.
“Vi håller på att återställa tidslinjerna för distribution av VSA SaaS och VSA On-Premises”, säger företaget. “Vi ber om ursäkt för förseningen och ändringarna av planerna när vi arbetar igenom denna flytande situation.”
I ett andra videomeddelande inspelat av företagets VD sa Voccola:
“Det faktum att vi var tvungna att ta ner VSA är mycket nedslående för mig, det är mycket nedslående för mig personligen. Jag känner att jag har svikit denna gemenskap. Jag svikade mitt företag, vårt företag svikade dig. [..] Detta är inte BS, detta är verkligheten. “
Den nya släpptiden för VSA är söndag på eftermiddagen, Eastern Time, för att även härda programvaran och stärka dess säkerhet före utbyggnaden.
12 juli : Kaseya har nu släppt en patch och arbetar med lokala kunder för att distribuera säkerhetsfixet. Nu är 100% av alla SaaS-kunder live enligt företaget.
“Våra supportteam fortsätter att arbeta med lokala VSA-kunder som har begärt hjälp med korrigeringen”, tillade Kaseya.
Vad kan kunder göra?
Kaseya har släppt ett verktyg, inklusive Indicators of Compromise (IoC), som kan laddas ner via Box. Det finns två PowerShell-skript för användning: en på en VSA-server och den andra har utformats för slutpunktsskanning.
Självbedömningsskripten ska användas i offline-läge. De uppdaterades den 5 juli för att också söka efter datakryptering och REvils lösenbrev.
Skripten är dock endast avsedda för potentiell exploateringsrisk upptäckt och är inte säkerhetsfixar. Kaseya kommer att släppa patchar så fort det kan, men under tiden måste kunderna helt enkelt vänta till söndag.
Kaseya avser att ta tillbaka kunder online den 11 juli kl. 16.00 EDT.
“Alla lokala VSA-servrar bör fortsätta att vara offline tills ytterligare instruktioner från Kaseya om när det är säkert att återställa operationer”, säger företaget. “En patch måste installeras innan du startar om VSA.”
Cado Security har tillhandahållit ett GitHub-arkiv för responders, inklusive malware-prover, IoC och Yara-regler.
Truesec CSIRT har också släppt ett manus på GitHub för att identifiera och mildra skador på infekterade system.
Kaseya har också varnat för att bedragare försöker dra nytta av situationen.
“Spammare använder nyheterna om Kaseya Incident för att skicka falska e-postmeddelanden som verkar vara Kaseya-uppdateringar. Dessa är phishing-e-postmeddelanden som kan innehålla skadliga länkar och/eller bilagor.
Klicka inte på några länkar eller ladda ner några bifogade filer som påstår sig vara en Kaseya-rådgivare. “
Är REvil fortfarande aktiv?
Efter att Biden gjorde klart för Putin om ransomware-gäng, REvil ransomware-gruppens läcksida beslagtogs och togs ner av brottsbekämpande organ.
Avlägsnandet inkluderade REvils betalningswebbplats, public domain, helpdesk-chattplattform och förhandlingsportalen.
Medan avsikten var att säkra någon form av kontroll över gruppen bör det noteras att ransomware-operatörer ofta stänger webbplatser, ommärker och omgrupperar.
En bieffekt av borttagningen är att avlägsnandet av förhandlingar och möjligheten att köpa en dekrypteringsnyckel har lämnat offren med oåtervinnbara system. Ett offer som betalade för en dekrypteringsnyckel – som slutade att inte fungera – är nu ur fickan och kan inte säkra hjälp från cyberbrottslingar.
En dekrypteringsnyckel?
Den 22 juli sa Kaseya att företaget har lyckats säkra en dekrypteringsnyckel. Erhållen av en “tredje part” har dekrypteringsnyckeln testats framgångsrikt i offermiljöer – och förslaget är att dekrypteringsnyckeln kan vara universell.
Företaget arbetar med Emsisoft för att nå kunder som fortfarande lider på grund av låsta system och behöver en dekrypteringsnyckel.
“Vi är fortsatt engagerade i att säkerställa de högsta säkerhetsnivåerna för våra kunder och kommer att fortsätta att uppdatera här när fler detaljer blir tillgängliga”, säger Kaseya. “Kunder som har påverkats av ransomware kommer att kontaktas av Kaseya-representanter.”
Kaseya attack
Kaseya ransomware supply chain attack: Vad du behöver veta 1500 företag som drabbats bekräftar Kaseya att USA inleder utredning då gäng kräver enorma betalningar på 70 miljoner dollar Kaseya uppmanar kunder att omedelbart stänga av VSA-servern
Relaterade ämnen:
Teknikindustrin Säkerhet TV Datahantering CXO-datacenter 