2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Ο προμηθευτής λογισμικού Kaseya έχει κυκλοφορήσει μια ενημερωμένη έκδοση ασφαλείας που επιδιορθώνει την ευπάθεια μηδενικής ημέρας VSA (Διαχειριστής εικονικού συστήματος) που χρησιμοποιείται στην πρόσφατη επίθεση ransomware REvil. Το μπάλωμα έρχεται περισσότερο από μια εβδομάδα μετά από πάνω από 60 διαχειριζόμενους παρόχους υπηρεσιών (MSP) και 1500 από τους πελάτες τους επηρεάστηκαν από μια επίθεση ransomware, η πηγή της οποίας σύντομα αναγνωρίστηκε ότι είναι το VSA της Kaseya.

Οι επιτιθέμενοι, τώρα γνωστό ότι είναι η διαβόητη συμμορία REvil, χρησιμοποίησαν μια ευπάθεια στο πακέτο λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης VSA της Kaseya για να διανείμουν ένα κακόβουλο ωφέλιμο φορτίο μέσω κεντρικών υπολογιστών που διαχειρίζονται από το λογισμικό. Το τελικό αποτέλεσμα ήταν 60 MSPs και πάνω από 1500 εταιρείες που επηρεάστηκαν από επιθέσεις ransomware.

Τα τρωτά σημεία στο VSA της Kaseya ανακαλύφθηκαν τον Απρίλιο από ερευνητές στο Dutch Institute for Vulnerability Disclosure (DIVD). Σύμφωνα με το DIVD, αποκάλυψαν τα τρωτά σημεία στην Kaseya αμέσως μετά, επιτρέποντας στην εταιρεία λογισμικού να κυκλοφορήσει ενημερώσεις κώδικα για να επιλύσει ορισμένα από αυτά πριν γίνουν κατάχρηση. Δυστυχώς, ενώ το DIVD επαινεί την Kaseya για την έγκαιρη και έγκαιρη ανταπόκρισή τους στην αποκάλυψη, τα κακόβουλα μέρη ήταν σε θέση να χρησιμοποιήσουν τα μη ανταπληρωμένα τρωτά σημεία στην επίθεση ransomware τους.

Τα τρωτά σημεία που αποκαλύφθηκαν στην Kaseya από την DIVD τον Απρίλιο είναι τα εξής:

Η αποτυχία έγκαιρης ενημέρωσης 3 από τις ευπάθειες επέτρεψε στο REvil να τα χρησιμοποιήσει για μια μεγάλης κλίμακας επίθεση που επηρέασε 60 διαχειριζόμενους παρόχους υπηρεσιών που χρησιμοποιούσαν το VSA και τους 1500 επιχειρηματικούς πελάτες τους. Μόλις η Kaseya παρατήρησε τι συνέβαινε, προειδοποίησε τους πελάτες VSA να κλείσουν αμέσως τους διακομιστές τους μέχρι να κυκλοφορήσει ένα patch. Δυστυχώς, πολλές εταιρείες εξακολουθούν να είναι θύματα μιας επίθεσης ransomware των οποίων οι δράστες απαίτησαν έως και 5 εκατομμύρια δολάρια σε λύτρα. Η συμμορία REvil αργότερα προσέφερε έναν καθολικό αποκρυπτογραφητή για 70 εκατομμύρια δολάρια, τη μεγαλύτερη απαίτηση λύτρων που έχει γίνει ποτέ.

Η ενημερωμένη έκδοση VSA 9.5.7a (9.5.7.2994) διορθώνει ευπάθειες που χρησιμοποιούνται κατά τη διάρκεια της επίθεσης ransomware REvil

Στις 11 Ιουλίου, η Kaseya κυκλοφόρησε το VSA 9.5.7a (9.5.7.2994) patch για να διορθώσει τις υπόλοιπες ευπάθειες που χρησιμοποιήθηκαν στην επίθεση ransomware.

Η ενημερωμένη έκδοση VSA 9.5.7a (9.5.7.2994) ενημερώνει τα εξής:

Ωστόσο, ο Kaseya προειδοποιεί ότι για να αποφευχθούν άλλα ζητήματα, θα πρέπει να ακολουθηθεί το » On Premises VSA Startup Readiness Guide .

Πριν οι διαχειριστές προχωρήσουν στην επαναφορά της πλήρους συνδεσιμότητας μεταξύ διακομιστών ή διακομιστών Kaseya VSA και ανεπτυγμένων παραγόντων, θα πρέπει να κάνουν τα εξής:

Η συμμορία REvil φαίνεται να έχει σκοτεινιάσει.

Η συμμορία ransomware REvil αναγνωρίστηκε πολύ γρήγορα ως οι δράστες πίσω από την επίθεση. Αφού αρχικά πρόσφεραν έναν καθολικό αποκρυπτογραφητή για 70 εκατομμύρια δολάρια, μείωσαν την τιμή στα 50 εκατομμύρια δολάρια. Φαίνεται τώρα ότι η υποδομή και οι ιστότοποι της REvil έχουν αποσυνδεθεί, αν και οι λόγοι δεν είναι απολύτως σαφείς. Η υποδομή του REvil αποτελείται τόσο από σαφείς όσο και από σκοτεινές ιστοσελίδες που χρησιμοποιούνται για σκοπούς όπως η διαρροή δεδομένων και η διαπραγμάτευση των λύτρων. Ωστόσο, οι ιστότοποι δεν είναι πλέον προσβάσιμοι.

Δεν είναι ακόμα σαφές εάν η REvil αποφάσισε να κλείσει την υποδομή της για τεχνικούς λόγους ή λόγω του αυξημένου ελέγχου από τις αρχές επιβολής του νόμου και την κυβέρνηση των ΗΠΑ. Ο REvil είναι γνωστό ότι δρα από τη Ρωσία και ο Πρόεδρος των ΗΠΑ Μπάιντεν βρίσκεται σε συνομιλίες με τον Πρόεδρο της Ρωσίας Πούτιν για τις επιθέσεις, προειδοποιώντας ότι εάν η Ρωσία δεν αναλάβει δράση, οι ΗΠΑ θα το κάνουν. Το αν αυτό έχει να κάνει με το φαινομενικό κλείσιμο του REvil δεν είναι ακόμη σαφές.