2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Vendor perangkat lunak Kaseya telah merilis pembaruan keamanan yang menambal kerentanan vsa (Administrator Sistem Virtual) nol hari yang digunakan dalam serangan ransomware REvil baru-baru ini. Patch ini datang lebih dari seminggu setelah lebih dari 60 penyedia layanan terkelola (MSP) dan 1500 pelanggan mereka terkena dampak serangan ransomware, sumber yang segera diidentifikasi sebagai VSA Kaseya.

Penyerang, yang sekarang dikenal sebagai geng REvil yang terkenal, menggunakan kerentanan dalam paket perangkat lunak pemantauan dan manajemen jarak jauh VSA Kaseya untuk mendistribusikan muatan berbahaya melalui host yang dikelola oleh perangkat lunak. Hasil akhirnya adalah 60 anggota parlemen dan lebih dari 1500 perusahaan yang terkena dampak serangan ransomware.

Kerentanan dalam VSA Kaseya ditemukan pada bulan April oleh para peneliti di Dutch Institute for Vulnerability Disclosure (DIVD). Menurut DIVD, mereka mengungkapkan kerentanan kepada Kaseya segera setelah itu, memungkinkan perusahaan perangkat lunak untuk merilis tambalan untuk menyelesaikan sejumlah dari mereka sebelum mereka dapat disalahgunakan. Sayangnya, sementara DIVD memuji Kaseya atas tanggapan mereka yang tepat waktu dan tepat waktu terhadap pengungkapan, pihak-pihak jahat dapat menggunakan kerentanan yang tidak terkidah dalam serangan ransomware mereka.

Kerentanan yang diungkapkan kepada Kaseya oleh DIVD pada bulan April adalah sebagai berikut:

Gagal menambal 3 kerentanan tepat waktu memungkinkan REvil untuk memanfaatkannya untuk serangan skala besar yang berdampak pada 60 penyedia layanan terkelola menggunakan VSA dan 1500 pelanggan bisnis mereka. Segera setelah Kaseya memperhatikan apa yang sedang terjadi, itu memperingatkan pelanggan VSA lokal untuk segera mematikan server mereka sampai merilis patch. Sayangnya, banyak perusahaan masih menjadi korban serangan ransomware yang pelakunya menuntut tebusan hingga $ 5 juta. Geng REvil kemudian menawarkan dekripsi universal seharga $ 70 juta, permintaan tebusan terbesar yang pernah ada.

VSA 9.5.7a (9.5.7.2994) memperbarui memperbaiki kerentanan yang digunakan selama serangan ransomware REvil

Pada 11 Juli, Kaseya VSA 9.5.7a (9.5.7.2994) patch merilis untuk memperbaiki kerentanan yang tersisa yang digunakan dalam serangan ransomware.

VsA 9.5.7a (9.5.7.2994) memperbarui patch berikut:

Namun, Kaseya memperingatkan bahwa untuk menghindari masalah lagi, On Premises VSA Startup Readiness Guide ” ” harus diikuti.

Sebelum admin melanjutkan untuk memulihkan konektivitas penuh antara server VSA Kaseya dan agen yang diterapkan, mereka harus melakukan hal berikut:

Geng REvil tampaknya telah menjadi gelap

Geng ransomware REvil cukup cepat diidentifikasi sebagai pelaku di balik serangan itu. Setelah awalnya menawarkan dekripsi universal seharga $ 70 juta, mereka menurunkan harga menjadi $ 50 juta. Sekarang tampaknya infrastruktur dan situs web REvil telah diambil secara offline, meskipun alasannya tidak sepenuhnya jelas. Infrastruktur REvil terdiri dari situs web yang jelas dan gelap yang digunakan untuk tujuan seperti membocorkan data dan menegosiasikan tebusan. Namun, situs-situs tersebut tidak lagi dapat dijangkau.

Belum jelas apakah REvil memutuskan untuk menutup infrastrukturnya karena alasan teknis atau karena peningkatan pengawasan oleh penegak hukum dan pemerintah AS. REvil diketahui beroperasi dari Rusia, dan Presiden AS Biden telah melakukan pembicaraan dengan Presiden Rusia Putin tentang serangan itu, memperingatkan bahwa jika Rusia tidak mengambil tindakan, AS akan melakukannya. Apakah itu ada hubungannya dengan shutdown REvil yang jelas belum jelas.