2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Softwareleverancier Kaseya heeft een beveiligingsupdate uitgebracht die de VSA (Virtual System Administrator) zero-day kwetsbaarheid patcht die wordt gebruikt bij de recente REvil ransomware-aanval. De patch komt meer dan een week nadat meer dan 60 managed service providers (MSP) en 1500 van hun klanten werden getroffen door een ransomware-aanval, waarvan de bron al snel werd geïdentificeerd als Kaseya’s VSA.

Aanvallers, nu bekend als de beruchte REvil bende, gebruikten een kwetsbaarheid in Kaseya’s VSA remote monitoring en management softwarepakket om een kwaadaardige payload te verspreiden via hosts die worden beheerd door de software. Het eindresultaat was 60 MSP’s en meer dan 1500 bedrijven die werden getroffen door ransomware-aanvallen.

De kwetsbaarheden in Kaseya’s VSA werden in april ontdekt door onderzoekers van de Dutch Institute for Vulnerability Disclosure (DIVD). Volgens DIVD, ze onthulden de kwetsbaarheden aan Kaseya kort daarna, waardoor het softwarebedrijf patches vrij te geven om een aantal van hen op te lossen voordat ze kunnen worden misbruikt. Helaas, terwijl DIVD Kaseya prijst voor hun on-point en tijdige reactie op de openbaarmaking, konden kwaadwillende partijen de ongepatchte kwetsbaarheden gebruiken in hun ransomware-aanval.

De kwetsbaarheden bekendgemaakt aan Kaseya door DIVD in april zijn de volgende:

Door 3 van de kwetsbaarheden niet op tijd te patchen, kon REvil ze gebruiken voor een grootschalige aanval die 60 managed service providers beïnvloedde die VSA en hun 1500 zakelijke klanten gebruikten. Zodra Kaseya merkte wat er aan de hand was, waarschuwde het on-premise VSA-klanten om hun servers onmiddellijk af te sluiten totdat het een patch uitbracht. Helaas werden veel bedrijven nog steeds het slachtoffer van een ransomware-aanval waarvan de daders tot $ 5 miljoen losgeld eisten. De REvil bende bood later een universele decryptor voor $70 miljoen, de grootste losgeld eis ooit.

De VSA 9.5.7a (9.5.7.2994) update lost kwetsbaarheden op die worden gebruikt tijdens de REvil ransomware aanval

Op 11 juli, Kaseya vrijgegeven de VSA 9.5.7a (9.5.7.2994) patch om de resterende kwetsbaarheden die werden gebruikt in de ransomware aanval op te lossen.

De VSA 9.5.7a (9.5.7.2994) update patches het volgende:

Kaseya waarschuwt echter dat om nog meer problemen te voorkomen, de ” On Premises VSA Startup Readiness Guide ” moet worden gevolgd.

Voordat beheerders doorgaan met het herstellen van de volledige connectiviteit tussen Kaseya VSA-server(s) en geïmplementeerde agents, moeten ze het volgende doen:

De REvil bende lijkt donker te zijn geworden.

De REvil ransomware bende werden vrij snel geïdentificeerd als de daders achter de aanval. Na aanvankelijk het aanbieden van een universele decryptor voor $ 70 miljoen, verlaagden ze de prijs tot $ 50 miljoen. Het lijkt er nu op dat de infrastructuur en websites van REvil offline zijn gehaald, hoewel de redenen niet helemaal duidelijk zijn. De infrastructuur van REvil bestaat uit zowel duidelijke als donkere websites die worden gebruikt voor doeleinden zoals het lekken van gegevens en het onderhandelen over het losgeld. De sites zijn echter niet meer bereikbaar.

Het is nog niet duidelijk of REvil heeft besloten om zijn infrastructuur te sluiten om technische redenen of vanwege de toegenomen controle door de wetshandhaving en de Amerikaanse overheid. REvil staat erom bekend dat hij vanuit Rusland opereert, en de Amerikaanse president Biden is in gesprek met de Russische president Poetin over de aanslagen en waarschuwt dat als Rusland geen actie onderneemt, de VS dat zullen doen. Of dat iets te maken heeft met de schijnbare shutdown van REvil is nog niet duidelijk.