2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Ohjelmistotoimittaja Kaseya on julkaissut tietoturvapäivityksen, joka korjaa äskettäisessä REvil-kiristyshaittaohjelmahyökkäyksessä käytetyn VSA (Virtual System Administrator) -nollapäivähaavoittuvuuden. Korjaustiedosto tulee yli viikko sen jälkeen, kun yli 60 hallittua palveluntarjoajaa (MSP) ja 1500 heidän asiakastaan joutui ransomware-hyökkäyksen kohteeksi, jonka lähde tunnistettiin pian Kaseyan VSA:ksi.

Hyökkääjät, jotka tunnetaan nykyään pahamaineisena REvil-jenginä, käyttivät Kaseyan VSA-etävalvonta- ja hallintaohjelmistopaketin haavoittuvuutta jakaakseen haitallisen hyötykuorman ohjelmiston hallinnoimien isäntien kautta. Lopputuloksena oli 60 MSP:tä ja yli 1500 yritystä, joihin kiristyshaittaohjelmahyökkäykset vaikuttivat.

Kaseyan VSA:n haavoittuvuudet havaittiin huhtikuussa Dutch Institute for Vulnerability Disclosure (DIVD) tutkijoiden toimesta. DIVD:n mukaan he julkistivat haavoittuvuudet Kaseyalle pian sen jälkeen, jolloin ohjelmistoyritys pystyi julkaisemaan korjaustiedostoja ratkaistakseen useita niistä ennen kuin niitä voitiin käyttää väärin. Valitettavasti, vaikka DIVD ylistää Kaseyaa heidän kohtaisesta ja ajoissa reagoinnistaan paljastukseen, pahantahtoiset osapuolet pystyivät käyttämään tahattoman haavoittuvuuden kiristysohjelmahyökkäyksessä.

DIVD:n Kaseyalle huhtikuussa paljastamat haavoittuvuudet ovat seuraavat:

Jos 3 haavoittuvuutta ei onnistuttu paikkaamaan ajoissa, REvil voi käyttää niitä laajamittaiseen hyökkäykseen, joka vaikutti 60 hallittuun palveluntarjoajaan VSA:n ja heidän 1500 yritysasiakkaansa avulla. Heti kun Kaseya huomasi, mitä oli tekeillä, se varoitti paikan päällä toimivia VSA-asiakkaita sulkemaan palvelimensa välittömästi, kunnes se julkaisi korjaustiedoston. Valitettavasti monet yritykset joutui edelleen kiristyshaittaohjelmahyökkäyksen uhreiksi, joiden tekijät vaativat jopa 5 miljoonan dollarin lunnaita. REvil-jengi tarjosi myöhemmin yleistä salauksenrikkojaa 70 miljoonalla dollarilla, joka on kaikkien aikojen suurin lunnasvaatimus.

VSA 9.5.7a (9.5.7.2994) -päivitys korjaa REvil-kiristyshaittaohjelmahyökkäyksen aikana käytetyt haavoittuvuudet

11. heinäkuuta Kaseya julkaisi -järjestelmän VSA 9.5.7a (9.5.7.2994) patch korjatakseen jäljellä olevat haavoittuvuudet, joita käytettiin kiristyshaittaohjelmahyökkäyksessä.

VSA 9.5.7a (9.5.7.2994) -päivitys korjaa seuraavat:

Kaseya kuitenkin varoittaa, että uusien ongelmien välttämiseksi on On Premises VSA Startup Readiness Guide noudatettava ” ” – näätää.

Ennen kuin järjestelmänvalvojat palauttavat täyden yhteyden Kaseya VSA -palvelimien ja käyttöön otettujen agenttien välille, heidän on tehtävä seuraavat toimet:

REvil-jengi näyttää pimenneen.

REvil-kiristyshaittaohjelmajengi tunnistettiin melko nopeasti hyökkäyksen tekijöiksi. Kun he olivat alun perin tarjoaneet yleisen salauksen salauksen 70 miljoonalla dollarilla, he laskivat hinnan 50 miljoonaan dollariin. Nyt näyttää siltä, että REvilin infrastruktuuri ja verkkosivustot on poistettu käytöstä, vaikka syyt eivät ole täysin selvät. REvilin infrastruktuuri on sekä selkeitä että pimeitä verkkosivustoja, joita käytetään esimerkiksi tietojen vuotamiseen ja lunnaiden neuvottelemiseen. Sivustot eivät kuitenkaan ole enää tavoitettavissa.

Vielä ei ole selvää, päättikö REvil sulkea infrastruktuurinsa teknisistä syistä vai lainvalvontaviranomaisten ja Yhdysvaltain hallituksen lisääntyneen valvonnan vuoksi. REvilin tiedetään toimivan Venäjältä, ja Yhdysvaltain presidentti Biden on käynyt iskuista keskusteluja Venäjän presidentin Putinin kanssa varoittaen, että jos Venäjä ei ryhdy toimiin, Yhdysvallat ryhtyy. Ei ole vielä selvää, liittyykö se REvilin ilmeiseen sulkemiseen.