Hackers hebben gebruikt een twee-jaar-oude kwetsbaarheid in een software pakket wordt gebruikt door remote IT-ondersteuning van bedrijven om vaste voet te krijgen op het kwetsbare netwerken en implementeren van de GandCrab ransomware op die bedrijven’ klant werkstations.
Op zijn minst één bedrijf al zijn geraakt, volgens een rapport op Reddit, bevestigd door cyber-security bedrijf Kostuum Labs.
De kwetsbaarheid gebruikt door de hackers van invloed op de Kaseya-plugin voor de ConnectWise software te Beheren, een professional services automation (PSA) een product dat gebruikt wordt door de IT-ondersteuning van de ondernemingen.
De Kaseya-VSA plugin stelt bedrijven in staat om een koppeling van gegevens van de Kaseya-VSA remote monitoring en management-oplossing om een ConnectWise dashboard.
Veel kleine IT-bedrijven en andere vormen van managed service providers (msp ‘ s) gebruik maken van de twee applicaties centraliseren van gegevens van hun klanten en beheren van klant-werkstations van een externe centrale locatie.
In November 2017, een security-onderzoeker genaamd Alex Wilson ontdekte een SQL-injectie kwetsbaarheid (CVE-2017-18362) in deze plugin waarmee een aanvaller voor het maken van nieuwe administrator-accounts op de belangrijkste Kaseya-app. Ook publiceerde hij proof-of-concept code op GitHub dat kon automatiseren van de aanval.
Kaseya-patches uitgebracht op het moment, echter, op basis van nieuw bewijsmateriaal blijkt dat veel bedrijven is mislukt de installatie van de bijgewerkte Kaseya-plugin op hun ConnectWise dashboards, het verlaten van hun netwerken blootgesteld.
Aanvallen die misbruik maken van deze kwetsbaarheid begon twee weken geleden, rond het einde van januari 2019. Een verslag gepost op Reddit beschrijft een incident aan een MSP waar hackers overtreden van een MSP ‘ s netwerk en vervolgens geïmplementeerd GandCrab ransomware 80 klant werkstations.
Een inmiddels verwijderde tweet dat ZDNet was niet in staat om te controleren of beweerd dat hackers gebruikt dezelfde aanval routine voor het infecteren van andere MSPs, het vergrendelen van meer dan 1.500 werkstations.
ConnectWise heeft een security alert in reactie op het groeiend aantal meldingen rond deze ransomware aanvallen, adviseren van gebruikers tot een update van hun ConnectWise Beheren Kaseya-plugin. Het bedrijf zei dat alleen bedrijven “die de Plugin geïnstalleerd op hun lokale [Kaseya] VAR” worden beïnvloed.
In een interview met de MSSP Alert, een tech-nieuwssite gericht op het MSP-sector, Kaseya executive VP van marketing en communicatie Taunia Kipp zei zij hebben geïdentificeerd 126 bedrijven die niet aan het update van de plugin en het waren nog steeds aan het risico.
“We geplaatst een melding/support-artikel op onze support helpdesk en begon meteen te bereiken via telefoon/e-mail aan die geïdentificeerd die tegen het risico van impact met besluit,” zei ze.
Kostuum Lab onderzoekers, die zei dat ze “uit de eerste hand kennis” van het incident met 80 klant werkstations die besmet raakte met GandCrab, had een aantal adviezen voor bedrijven die nog actief zijn verouderde versies van de Kaseya-plugin.
Het eerste wat je moet doen is om onmiddellijk te verbreken van de VSA server vanaf het internet totdat u er zeker van dat het nog niet is geïnfecteerd. Terwijl de aanvallen zagen we deze week meteen ingezet ransomware het is heel goed mogelijk dat andere aanvallers hebben bekend is over dit probleem en misschien al een voet aan de grond in uw systeem. Het loskoppelen van de VSA server zal in ieder geval voorkomen dat de implementatie van ransomware terwijl u onderzoeken.
Vervolgens moet u grondig te controleren uw VAR-server en andere kritieke infrastructuur voor verdachte/kwaadaardige voetsteunen, verdachte accounts, etc. We weten dat dit een moeizaam en langdurig proces, maar wilt u inzicht in de risico ‘ s in verband met de aanvaller toegang tot dit niveau.
Ten slotte verwijder de ManagedITSync integratie en vervangen door de nieuwste versie voordat u deze opnieuw aansluiten van de VSA server op het internet.
Meer ransomware dekking:
Nieuwe ransomware-stam is het blokkeren van Bitcoin mining rigs in ChinaRansomware: Een executive gids naar één van de grootste bedreigingen op de webRansomware waarschuwing: Deze phishing-campagne levert nieuwe malware variantsMoscow de nieuwe kabelbaan systeem geïnfecteerd met ransomware twee dagen na de lancering
Ransomware waarschuwing: de romantische bericht verbergen een vervelende surpriseMatrix is langzaam geëvolueerd naar een ‘Zwitsers zakmes’ van de ransomware worldRansomware aanval raakt de Haven van San Diego CNET
Ransomware: Een cheat sheet voor professionals TechRepublic
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters