2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

أصدرت بائع البرمجيات Kaseya تحديثا أمنيا أن بقع VSA (مسؤول النظام الافتراضي) ثغرة أمنية في اليوم صفر المستخدمة في الهجوم الأخير REvil انتزاع الفدية. التصحيح يأتي بعد أكثر من أسبوع من أكثر من 60 مقدمي الخدمات المدارة (MSP) و 1500 من عملائها تأثرت بهجوم انتزاع الفدية، والتي سرعان ما تم تحديد مصدرها ليكون VSA كاسيا.

استخدم المهاجمون ، المعروفون الآن باسم عصابة REvil سيئة السمعة ، ثغرة أمنية في حزمة برامج المراقبة والإدارة عن بعد VSA من Kaseya لتوزيع حمولة ضارة من خلال المضيفين الذين يديرهم البرنامج. وكانت النتيجة النهائية 60 MSPs وأكثر من 1500 شركة المتضررة من هجمات انتزاع الفدية.

تم اكتشاف نقاط الضعف في VSA كاسيا في نيسان/أبريل من قبل الباحثين في Dutch Institute for Vulnerability Disclosure (DIVD). وفقا لDIVD، كشفوا عن نقاط الضعف لكاسيا بعد فترة وجيزة، مما يسمح لشركة البرمجيات للافراج عن بقع لحل عدد منهم قبل أن يمكن أن يساء استخدامها. لسوء الحظ ، في حين يشيد DIVD Kaseya لردهم على نقطة وفي الوقت المناسب للكشف ، والأطراف الخبيثة كانت قادرة على استخدام نقاط الضعف unpatched في هجومهم انتزاع الفدية.

نقاط الضعف التي كشفت عنها مدينة كاسيا في أبريل هي:

فشل في تصحيح 3 من نقاط الضعف في الوقت المحدد سمح REvil لاستخدامها لهجوم واسع النطاق التي أثرت على 60 مقدمي الخدمات المدارة باستخدام VSA وعملائها الأعمال 1500. بمجرد أن لاحظت Kaseya ما كان يحدث ، حذرت عملاء VSA الداخليين من إغلاق خوادمهم على الفور حتى تصدر تصحيحا. لسوء الحظ، العديد من الشركات لا تزال ضحية لهجوم انتزاع الفدية الذي طالب الجناة تصل إلى 5 ملايين دولار كفدية. عرضت عصابة REvil في وقت لاحق فك تشفير عالمي مقابل 70 مليون دولار ، وهو أكبر طلب فدية على الإطلاق.

يعمل تحديث VSA 9.5.7a (9.5.7.2994) على إصلاح نقاط الضعف المستخدمة أثناء هجوم برامج الفدية REvil

في 11 يوليو، أصدرت كاسيا VSA 9.5.7a (9.5.7.2994) patch لإصلاح نقاط الضعف المتبقية التي استخدمت في هجوم انتزاع الفدية.

تصحيحات التحديث VSA 9.5.7a (9.5.7.2994) ما يلي:

بيد ان كاسيا يحذر من انه لتجنب المزيد من القضايا On Premises VSA Startup Readiness Guide ” يجب اتباعها ” .

قبل المتابعة المسؤولين لاستعادة الاتصال الكامل بين خادم (ملقمات) KASEYA VSA و وكلاء المنشورة، يجب القيام بما يلي:

عصابة REvil يبدو أنها أصبحت مظلمة

تم التعرف على عصابة REvil انتزاع الفدية بسرعة كبيرة على أنها الجناة وراء الهجوم. بعد أن عرضوا في البداية فك تشفير عالمي مقابل 70 مليون دولار ، خفضوا السعر إلى 50 مليون دولار. يبدو الآن أن البنية التحتية ومواقع REvil قد اتخذت حاليا ، على الرغم من أن الأسباب ليست واضحة تماما. تتكون البنية التحتية ل REvil من مواقع ويب واضحة ومظلمة تستخدم لأغراض مثل تسريب البيانات والتفاوض على الفدية. ومع ذلك، لم يعد من الممكن الوصول إلى المواقع.

ولم يتضح بعد ما اذا كانت اريفل قررت اغلاق بنيتها التحتية لاسباب فنية او بسبب زيادة التدقيق من جانب قوات تنفيذ القانون والحكومة الامريكية . ومن المعروف أن ريفل يعمل من روسيا، ويجري الرئيس الأمريكي بايدن محادثات مع الرئيس الروسي بوتين حول الهجمات، محذرا من أنه إذا لم تتخذ روسيا أي إجراء، فإن الولايات المتحدة سوف تفعل ذلك. ولم يتضح بعد ما إذا كان لذلك أي علاقة بإغلاق شركة REvil الواضح.