Kaseya, en IT-løsningsutvikler for MSP-er og bedriftskunder, kunngjorde at det hadde blitt offer for en nettangrep 2. juli i løpet av den amerikanske uavhengighetsdagen.
Hvem er ansvarlig?
Charlie Osborne | ZDNet
Cyberangrepet er tilskrevet REvil/Sodinikibi ransomware-gruppen, som har påtatt seg ansvaret på sitt Dark Web-lekkasjeside, “Happy Blog.”
I en oppdatering i helgen, antas operatørene å ha bånd. til Russland, hevdet at mer enn “en million” systemer har blitt infisert.
REvil har tilbudt en dekrypteringsnøkkel, angivelig universell og derfor i stand til å låse opp alle krypterte systemer, til en “pris” på $ 70 millioner i bitcoin (BTC) kryptokurrency.
REvil har tidligere vært knyttet til ransomware-angrep mot selskaper, inkludert JBS, Travelex og Acer.
Hva er betalingsvilkårene for løsepenger?
Ransomware-notatet hevder at filene er “kryptert, og foreløpig utilgjengelige.” Det er angivelig blitt brukt en filtype .csruj. Operatører krever betaling mot en dekrypteringsnøkkel, og en 'freebie' filkryptering er også på bordet for å bevise at dekrypteringsnøkkelen fungerer.
Operatørene legger til (stavemåten uendret):
“Det er bare en virksomhet. Vi bryr oss absolutt ikke om deg og dine avtaler, bortsett fra å få fordeler. Hvis vi ikke gjør vårt arbeid og forpliktelser – vil ingen ikke samarbeide med oss. Det er ikke i våre interesser. Hvis du ikke vil samarbeide med tjenesten vår – det betyr ikke noe for oss. Men du mister tid og data, for bare vi har den private nøkkelen. I praksis er tiden mye mer verdifull enn penger. “
< p> Sophos malware-analytiker Mark Loman delte et skjermbilde på Twitter av et ransomware-notat plantet på et infisert sluttpunkt som krevde $ 44.999.
John Hammond, senior sikkerhetsforsker ved Huntress, sa til ZDNet at selskapet allerede har sett løsesumskrav på opptil $ 5 millioner.
Kevin Beaumont sier at han dessverre har observert ofre som “dessverre forhandler” med ransomware-operatørene.
Fabian Wosar, CTO i Emsisoft, har også i en Twitter-tråd forklart hvorfor bruk av en nøkkel som er oppnådd av en enkelt organisasjon som betaler opp, neppe vil være en levedyktig vei for å låse opp alle ofrene.
“REvil har absolutt muligheten til å dekryptere bare et enkelt offer uten at disse kjøpte dekrypteringsverktøyene er anvendbare for andre ofre som er truffet av den samme offentlige nøkkelen til kampanjen,” bemerket sikkerhetseksperten.
CNBC rapporterer at det universelle løsepenger krever er redusert til $ 50 millioner i private samtaler. Fra 7. juli forblir imidlertid det offentlige kravet om $ 70 millioner på trusselgruppens lekkasjested uendret.
Hva er reaksjonene så langt?
På tidspunktet for bruddet varslet Kaseya politimyndigheter og nettvernsbyråer, inkludert Federal Bureau of Investigation (FBI) og US Cybersecurity and Infrastructure Security Agency (CISA).
FBI og CISA har gitt ut en felles uttalelse om sikkerhetshendelsen og oppfordrer kundene til å kjøre et verktøy levert av Kaseya for å bestemme risikoen for utnyttelse, og for å både aktivere og håndheve multifaktorautentisering (MFA) på bedriftskontoer, der det er mulig.
Kaseya har holdt møter med FBI og CISA “for å diskutere system- og nettverksherdingskrav før tjenestegjenoppretting for både SaaS og lokale kunder.”
Det hvite hus ber organisasjoner informere internettkriminalitet Klagesenter (IC3) hvis de mistenker at de er blitt kompromittert.
På lørdag sa USAs president Biden at han har pålagt føderale etterretningsbyråer å undersøke.
“Å målrette [en] MSP-plattform (som administrerer mange kunder samtidig) var veldig gjennomtenkt og planlagt,” sa Amit Bareket, administrerende direktør i Perimeter 81, til ZDNet. “Det unike er at hackere blir mer strategiske og målretter mot plattformer som vil filtrere ned til mange selskaper med ett skudd. RMMer (fjernovervåking og administrasjon) er i utgangspunktet nøkkelen til mange mange selskaper, noe som utgjør kongeriket for dårlige skuespillere.”
Det hvite hus har forsøkt å styrke sin holdning til nettkriminalitet i lys av dette angrepet, og advarte Russlands president Vladimir Putin om at med mindre han takler problemet i sin egen bakgård, “vil vi ta grep eller forbeholde oss retten til å iverksette tiltak alene. ”
Er det noen gjenopprettingsplaner?
Fra 4. juli sier Kaseya at selskapet nå har gått videre fra en grunnårsaksanalyse av angrepet til gjenopprettings- og patchplaner, bestående av:
Kommunikasjon av vår trinnvise gjenopprettingsplan med SaaS først etterfulgt av lokale kunder. Kaseya vil publisere et sammendrag av angrepet og hva vi har gjort for å redusere det. Noen lett brukte eldre VSA-funksjoner vil bli fjernet som en del av denne utgivelsen av en overflod av forsiktighet. En spesifikk liste over funksjonaliteten og dens innvirkning på VSA-funksjonene vil bli beskrevet i versjonsmerknadene. Det vil bli implementert nye sikkerhetstiltak, inkludert forbedret sikkerhetsovervåking av SaaS-serverne våre av FireEye og aktivering av forbedrede WAF-muligheter. Vi har fullført en ekstern sårbarhetsskanning, sjekket SaaS-databasene for indikatorer for kompromiss, og har fått eksterne sikkerhetseksperter til å gjennomgå koden vår for å sikre en vellykket omstart av tjenesten.
Datasentre starter med EU vil bli gjenopprettet, etterfulgt av de britiske, APAC og deretter nordamerikanske systemene.
Sent på kvelden 5. juli sa Kaseya at en oppdatering er utviklet, og det er firmaets intensjon å bringe tilbake VSA med “iscenesatt funksjonalitet” for å fremskynde prosessen. Selskapet forklarte:
Den første utgivelsen vil forhindre tilgang til funksjonalitet som brukes av en veldig liten brøkdel av brukerbasen vår, inkludert: Classic Ticketing Classic Remote Control (ikke LiveConnect). Brukerportal
Kaseya har nå publisert en oppdatert tidslinje for restaureringsarbeidet, og starter med relanseringen av SaaS-serverne, nå satt til 6. juli, 16:00 EDT og 19:00 EDT. Konfigurasjonsendringer for å forbedre sikkerheten vil følge, inkludert en oppdatering på stedet, som forventes å lande om 24 timer eller mindre, fra SaaS-serverne kommer tilbake på nettet.
“Vi er fokusert på å krympe denne tidsrammen til det minimale mulige – men hvis det er noen problemer som oppstår under utvidelsen av SaaS, vil vi fikse dem før vi lokker våre lokale kunder opp,” sier firmaet.
Ytterligere sikkerhetsforbedringer inkluderer opprettelsen av SOC 24/7 for VSA, samt en gratis CDN med en webapplikasjonsbrannmur (WAF) for hver VSA.
Oppdater 7. juli : Tidslinjen er ikke oppfylt. Kaseya sa at “det ble oppdaget et problem som har blokkert utgivelsen” av VSA SaaS-lanseringen.
“Vi beklager forsinkelsen, og FoU og operasjoner fortsetter å jobbe døgnet rundt for å løse dette problemet og gjenopprette tjenesten,” kommenterte Kaseya.
I en tjenesteoppdatering sa leverandøren at det ikke har vært mulig. for å løse problemet.
“FoU- og operasjonsteamene jobbet gjennom natten og vil fortsette å jobbe til vi har blokkert utgivelsen,” la Kaseya til.
7. juli kl 12 EDT :
Kaseya håper å løse utrullingen av SaaS-systemene senest på kvelden torsdag 8. juli. En lekebok er for tiden under utarbeiding, som skal publiseres i dag, som vil gi retningslinjer for berørte virksomheter for å distribuere den kommende lokale VSA-oppdateringen.
Gjeldende gjenopprettingsstatus
Fra 8. juli har Kaseya publisert to kjørte bøker, “VSA SaaS Startup Guide” og “On Premises VSA Startup Readiness Guide”, for å hjelpe klienter med forbereder seg på tilbakevending til service og patch distribusjon.
Gjenoppretting tar imidlertid lenger tid enn opprinnelig forventet.
“Vi er i ferd med å tilbakestille tidslinjene for distribusjon av VSA SaaS og VSA On-Premises,” sier selskapet. “Vi beklager forsinkelsen og endringene i planene når vi arbeider gjennom denne flytende situasjonen.”
I en andre videomelding spilt inn av firmaets administrerende direktør sa Voccola:
“Det faktum at vi måtte ta ned VSA er veldig skuffende for meg, det er veldig skuffende for meg personlig. Jeg føler at jeg har sviktet dette samfunnet. Jeg sviktet selskapet mitt, vårt firma sviktet deg. [..] Dette er ikke BS, dette er virkeligheten. “
Den nye utgivelsestiden for VSA er søndag på ettermiddagen, Eastern Time, for også å herde programvaren og styrke sikkerheten før distribusjonen.
12. juli : Kaseya har nå gitt ut en oppdatering og jobber med lokale kunder for å distribuere sikkerhetskorrigeringen. Nå er 100% av alle SaaS-kunder live, ifølge selskapet.
“Våre supportteam fortsetter å jobbe med lokale VSA-kunder som har bedt om hjelp med oppdateringen,” la Kaseya til.
Hva kan kundene gjøre?
Kaseya har gitt ut et verktøy, inkludert Indicators of Compromise (IoC), som kan lastes ned via Box. Det er to PowerShell-skript for bruk: ett på en VSA-server, og det andre er designet for endepunktsskanning.
Selvvurderingsskriptene bør brukes i frakoblet modus. De ble oppdatert 5. juli for også å skanne etter datakryptering og REvil's løsepenger.
Imidlertid er skriptene bare for potensiell utnyttelse av risikodeteksjon og er ikke sikkerhetsoppdateringer. Kaseya vil frigjøre oppdateringer så raskt som mulig, men i mellomtiden må kundene bare vente til søndag.
Kaseya har til hensikt å bringe kundene tilbake online 11. juli klokken 16 EDT.
“Alle lokale VSA-servere bør fortsette å være frakoblet til ytterligere instruksjoner fra Kaseya om når det er trygt å gjenopprette driften,” sa firmaet. “En oppdatering må installeres før du starter VSA på nytt.”
Cado Security har levert et GitHub-lager for respondenter, inkludert malware-prøver, IoCs og Yara-regler.
Truesec CSIRT har også gitt ut et skript på GitHub for å identifisere og redusere skader på infiserte systemer.
Kaseya har også advart om at svindlere prøver å utnytte situasjonen.
“Spammere bruker nyhetene om Kaseya-hendelsen til å sende ut falske e-postvarsler som ser ut til å være Kaseya-oppdateringer. Dette er phishing-e-post som kan inneholde ondsinnede lenker og/eller vedlegg.
Ikke klikk på noen lenker eller last ned noen vedlegg som hevder å være en Kaseya-rådgiver. “
Er REvil fremdeles aktiv? REvil ransomware-gruppens lekkasjeside ble beslaglagt og tatt ned av lovhåndhevelse.
Fjernelsen inkluderte REvils betalingsside, offentlig domene, helpdesk-chatplattform og forhandlingsportalen.
Mens intensjonen var å sikre en eller annen form for kontroll over gruppen, bør det bemerkes at ransomware-operatører ofte stenger nettsteder, ommerker og omgrupperer.
En bivirkning av fjerningen er at fjerning av forhandlinger og muligheten for å kjøpe en dekrypteringsnøkkel har etterlatt ofre med uopprettelige systemer. Et offer som betalte opp for en dekrypteringsnøkkel – som til slutt ikke fungerte – er nå ute av lommen og ikke i stand til å sikre assistanse fra nettkriminelle.
En dekrypteringsnøkkel?
22. juli sa Kaseya at selskapet har klart å sikre en dekrypteringsnøkkel. Oppnådd av en “tredjepart” har dekrypteringsnøkkelen blitt testet vellykket i offermiljøer – og forslaget er at dekrypteringsnøkkelen kan være universell.
Selskapet jobber med Emsisoft for å nå ut til kunder som fortsatt lider på grunn av låste systemer og har behov for en dekrypteringsnøkkel.
“Vi er fortsatt forpliktet til å sikre de høyeste sikkerhetsnivåene for våre kunder, og vil fortsette å oppdatere her etter hvert som flere detaljer blir tilgjengelige,” sa Kaseya. “Kunder som har blitt påvirket av ransomware vil bli kontaktet av Kaseya-representanter.”
Kaseya angrep
Kaseya ransomware supply chain attack: Hva du trenger å vite 1500 selskaper som er berørt, bekrefter Kaseya USAs undersøkelse ettersom gjengen krever gigantisk betaling på $ 70 millioner Kaseya ber kundene omgående å stenge VSA-serveren
Relaterte emner:
Tech Industry Security TV Data Management CXO Data Centers 