Gli hacker hanno utilizzato un due-anno-vecchio vulnerabilità in un pacchetto software utilizzato da remoto È il sostegno alle imprese di ottenere un punto d’appoggio su reti vulnerabili e distribuire il GandCrab ransomware su queste aziende clienti di postazioni di lavoro.
Almeno una società è stata colpita già, secondo un rapporto su Reddit, confermato dai cyber-sicurezza ditta Cacciatrice Labs.
La vulnerabilità è utilizzato dagli hacker impatti Kaseya plugin per il ConnectWise Gestire il software, che offre servizi professionali di automazione (PSA) prodotto usato il sostegno alle imprese.
Il Kaseya VSA plugin permette alle aziende di collegare i dati del Kaseya VSA il monitoraggio remoto e la soluzione per la gestione di un ConnectWise cruscotto.
Molte piccole aziende IT e altri tipi di fornitori di servizi gestiti (Msp) utilizzare le due applicazioni per centralizzare i dati dei loro clienti e gestire clienti di postazioni di lavoro da remoto posizione centrale.
Nel novembre del 2017, un ricercatore di sicurezza di nome Alex Wilson ha scoperto una vulnerabilità di tipo SQL injection (CVE-2017-18362) in questo plugin che potrebbe consentire a un utente malintenzionato di creare un nuovo account di amministratore sul principale Kaseya app. Ha, inoltre, pubblicato proof-of-concept codice su GitHub, in grado di automatizzare l’attacco.
Kaseya patch rilasciate al momento, tuttavia, sulla base di nuove prove, sembra che molte società non è riuscito a installare la versione aggiornata di Kaseya plugin su di loro ConnectWise cruscotti, lasciando le loro reti esposti.
Attacchi che sfruttano questa vulnerabilità è iniziato due settimane fa, intorno alla fine di gennaio 2019. Un rapporto pubblicato su Reddit descrive un incidente avvenuto in un MSP, dove gli hacker violato un MSP di rete e quindi distribuito GandCrab ransomware di 80 clienti postazioni di lavoro.
Un ora-cancellato il tweet che ZDNet non era in grado di verificare sostenuto che gli hacker hanno utilizzato lo stesso attacco di routine per infettare altri file Msp di chiusura, di più di 1.500 postazioni di lavoro.
ConnectWise ha emesso un avviso di sicurezza in risposta al crescente numero di segnalazioni che circonda questi attacchi ransomware, consigliando agli utenti di aggiornare il loro ConnectWise Gestire Kaseya plugin. La società ha detto che solo le aziende “che hanno il Plugin installato sul loro locali di [Kaseya] VSA”, sono coinvolti.
In un’intervista con MSSP Avviso, un sito di notizie tecnologiche focalizzate sulla MSP settore, Kaseya executive VP del marketing e della comunicazione Taunia Kipp ha detto che non ho identificato 126 aziende che non sono riuscito ad aggiornare il plugin e sono ancora a rischio.
“Abbiamo inviato una notifica di supporto/articolo al nostro help desk di supporto e inizia subito a raggiungere via telefono/e-mail a quelli identificati che erano a rischio di impatto con la risoluzione”, ha detto.
Cacciatrice di Laboratorio i ricercatori, che hanno detto di aver “conoscenza di prima mano” dell’incidente che ha coinvolto 80 cliente postazioni di lavoro che è stato infettato con GandCrab, aveva alcuni consigli per le aziende che sono ancora in esecuzione versioni obsolete di Kaseya plugin.
La prima cosa che si dovrebbe fare è quello di scollegare immediatamente il VSA server da internet fino a quando si può essere sicuri che non sia già stato infettato. Mentre gli attacchi che abbiamo visto questa settimana immediatamente distribuito ransomware è del tutto possibile che gli altri attaccanti hanno conosciuto questa vulnerabilità potrebbe già avere un punto d’appoggio all’interno del vostro sistema. Scollegare il VSA server almeno evitare che la distribuzione di ransomware mentre si indaga.
A questo punto si dovrebbe accuratamente controllare il VSA server e tutte le altre infrastrutture critiche per sospetto/dannoso appoggi, conti sospetti, ecc. Sappiamo che questo può essere un noioso e lungo processo ma voglio che tu a capire i rischi associati a un utente malintenzionato di accedere a questo livello.
Infine, rimuovere il ManagedITSync di integrazione e di sostituirlo con la versione più recente prima di ri-collegare il VSA server di internet.
Più ransomware di copertura:
Ransomware nuovo ceppo di blocco Bitcoin mining rig in ChinaRansomware: Un esecutivo a guida di una delle più grandi minacce sul webRansomware attenzione: Questa campagna di phishing offre nuovi malware variantsMoscow nuova funivia del sistema infettato con ransomware due giorni dopo il lancio
Ransomware avvertenza: Che romantico messaggio potrebbe nascondere un brutto surpriseMatrix si è lentamente evoluto in un ‘coltellino Svizzero’ di ransomware worldRansomware attacco colpisce Porto di San Diego CNET
Ransomware: Un cheat sheet per i professionisti TechRepublic
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati