2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

O fornecedor de software Kaseya lançou uma atualização de segurança que corrige a vulnerabilidade de zero-day do VSA (Virtual System Administrator) usada no recente ataque de ransomware REvil. O patch vem mais de uma semana depois que mais de 60 provedores de serviços gerenciados (MSP) e 1500 de seus clientes foram impactados por um ataque de ransomware, a fonte que logo foi identificada como sendo o VSA da Kaseya.

Os atacantes, agora conhecidos por serem a famosa gangue REvil, usaram uma vulnerabilidade no pacote de software de monitoramento remoto e gerenciamento VSA da Kaseya para distribuir uma carga maliciosa através de hosts que são gerenciados pelo software. O resultado final foi de 60 MSPs e mais de 1500 empresas afetadas por ataques de ransomware.

As vulnerabilidades no VSA de Kaseya foram descobertas em abril por pesquisadores do Dutch Institute for Vulnerability Disclosure (DIVD). De acordo com a DIVD, eles divulgaram as vulnerabilidades para Kaseya logo depois, permitindo que a empresa de software liberasse patches para resolver vários deles antes que pudessem ser mal utilizados. Infelizmente, enquanto o DIVD elogia Kaseya por sua resposta pontual e pontual à divulgação, as partes mal-intencionadas foram capazes de usar as vulnerabilidades não reparadas em seu ataque de ransomware.

As vulnerabilidades divulgadas à Kaseya pela DIVD em abril são as seguintes:

A não correção de 3 das vulnerabilidades a tempo permitiu que a REvil as utilizasse para um ataque em larga escala que impactou 60 provedores de serviços gerenciados usando o VSA e seus 1500 clientes comerciais. Assim que Kaseya percebeu o que estava acontecendo, ele alertou os clientes da VSA no local para desligarem imediatamente seus servidores até que ele liberasse um patch. Infelizmente, muitas empresas ainda se tornaram vítimas de um ataque de ransomware cujos criminosos exigiram até US$ 5 milhões em resgate. Mais tarde, a gangue REvil ofereceu um decodificador universal por 70 milhões de dólares, o maior pedido de resgate de todos os tempos.

A atualização VSA 9.5.7a (9.5.7.2994) corrige vulnerabilidades usadas durante o ataque do ransomware REvil

Em 11 de julho, Kaseya lançou VSA 9.5.7a (9.5.7.2994) patch o para corrigir as vulnerabilidades restantes que foram usadas no ataque de ransomware.

A atualização VSA 9.5.7a (9.5.7.2994) é a seguinte:

No entanto, Kaseya adverte que para evitar mais problemas, o ” On Premises VSA Startup Readiness Guide ” deve ser seguido.

Antes que os administradores prossigam para restaurar a conectividade completa entre os servidores Kaseya VSA e os agentes implantados, eles devem fazer o seguinte:

A gangue REvil parece ter enlouqueido.

A gangue de ransomware REvil foi rapidamente identificada como os autores por trás do ataque. Depois de inicialmente oferecer um descriptografador universal por US$ 70 milhões, eles reduziram o preço para US$ 50 milhões. Agora parece que a infraestrutura e os sites da REvil foram retirados do ar, embora as razões não sejam totalmente claras. A infraestrutura da REvil é composta por sites claros e escuros que são usados para fins como vazamento de dados e negociação do resgate. No entanto, os locais não são mais acessíveis.

Ainda não está claro se a REvil decidiu desligar sua infraestrutura por razões técnicas ou por causa do aumento do escrutínio da aplicação da lei e do governo dos EUA. A REvil é conhecida por operar a partir da Rússia, e o presidente dos EUA Biden tem estado em negociações com o presidente russo Putin sobre os ataques, alertando que se a Rússia não agir, os EUA irão. Ainda não está claro se isso tem algo a ver com o aparente desligamento da REvil.