2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Kaseya szoftvergyártó kiadott egy biztonsági frissítést, amely javítója a VSA (Virtual System Administrator) nulladik napi biztonsági rését, amelyet a legutóbbi REvil ransomware támadásban használnak. A javítás több mint egy héttel azután érkezik, hogy több mint 60 felügyelt szolgáltatót (MSP) és 1500 ügyfelüket érintette egy ransomware támadás, amelynek forrása hamarosan a Kaseya VSA-jának bizonyult.

A támadók, akikről ma már tudjuk, hogy a hírhedt REvil banda, a Kaseya VSA távfelügyeleti és -kezelési szoftvercsomagjának biztonsági rését használták rosszindulatú hasznos teher terjesztésére a szoftver által kezelt házigazdákon keresztül. A végeredmény 60 MSP és több mint 1500 ransomware támadás által érintett vállalat volt.

A Kaseya VSA sebezhetőségeit áprilisban fedezték fel a Dutch Institute for Vulnerability Disclosure (DIVD) kutatói. A DIVD szerint nem sokkal később nyilvánosságra hozták a sebezhetőségeket a Kaseya-nak, lehetővé téve a szoftvercég számára, hogy javításokat adjon ki, hogy megoldjon néhányat, mielőtt visszaélnének velük. Sajnos, míg a DIVD dicséri a Kaseya-t a közzétételre adott pontos és időbeni válaszukért, a rosszindulatú felek használhatták a nem foltozott sebezhetőségeket ransomware támadásukban.

A DIVD által a Kaseya-nak áprilisban nyilvánosságra hozott biztonsági rések a következők:

A biztonsági rések 3-as javítása lehetővé tette az REvil számára, hogy felhasználja őket egy nagyszabású támadáshoz, amely 60, a VSA-t használó felügyelt szolgáltatót és 1500 üzleti ügyfelet érintett. Amint Kaseya észrevette, mi folyik itt, figyelmeztette a helyszíni VSA ügyfeleket, hogy azonnal zárják le szervereiket, amíg ki nem ad egy javítást. Sajnos sok vállalat még mindig ransomware támadás áldozatává vált, amelynek elkövetői akár 5 millió dollár váltságdíjat követeltek. Az REvil banda később felajánlott egy univerzális dekódoló 70 millió dollárt, a legnagyobb valaha váltságdíjat követelt.

A VSA 9.5.7a (9.5.7.2994) frissítés javítja az REvil ransomware támadás során használt biztonsági réseket

Július 11-én Kaseya kiadta a VSA 9.5.7a (9.5.7.2994) patch ransomware támadásban használt fennmaradó biztonsági rések javítását.

A VSA 9.5.7a (9.5.7.2994) frissítés a következőket javítóműszereket javító:

Kaseya azonban arra figyelmeztet, hogy a további problémák elkerülése érdekében a ” On Premises VSA Startup Readiness Guide ” -t követni kell.

Mielőtt az adminisztrátorok folytatják a Kaseya VSA szerver(ek) és a telepített ügynökök közötti teljes kapcsolat helyreállítását, a következőket kell tenniük:

Úgy tűnik, az REvil banda elsötétült.

Az REvil ransomware bandát elég gyorsan azonosították a támadás elkövetőiként. Miután eredetileg 70 millió dollárért kínáltak univerzális dekódoló, az árat 50 millió dollárra csökkentették. Most úgy tűnik, hogy a REvil infrastruktúrája és webhelyei offline állapotba kerültek, bár az okok nem teljesen világosak. A REvil infrastruktúrája világos és sötét webhelyekből áll, amelyeket olyan célokra használnak, mint az adatok kiszivárogtatása és a váltságdíjról szóló tárgyalások. A webhelyek azonban már nem érhetők el.

Egyelőre nem világos, hogy a REvil úgy döntött-e, hogy technikai okokból leállítja infrastruktúráját, vagy a bűnüldöző szervek és az amerikai kormány fokozott ellenőrzése miatt. A REvilről köztudott, hogy Oroszországból működik, Biden amerikai elnök pedig putyin orosz elnökkel tárgyalt a támadásokról, figyelmeztetve, hogy ha Oroszország nem lép, az USA megteszi. Hogy ennek van-e köze REvil látszólagos leálláshoz, még nem világos.