2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

ผู้จําหน่ายซอฟต์แวร์ Kaseya ได้ออกการปรับปรุงความปลอดภัยที่แก้ไขช่องโหว่ VSA (ผู้ดูแลระบบเสมือน) ศูนย์วันที่ใช้ในการโจมตีแรนซัมแวร์ REvil ล่าสุด แพทช์มามากกว่าหนึ่งสัปดาห์หลังจากกว่า 60 ผู้ให้บริการที่มีการจัดการ (MSP) และ 1500 ของลูกค้าของพวกเขาได้รับผลกระทบจากการโจมตี ransomware, แหล่งที่มาซึ่งเร็ว ๆ นี้ถูกระบุว่าเป็น VSA ของ Kaseya.

ผู้โจมตีซึ่งตอนนี้เป็นที่รู้จักกันว่าเป็นแก๊ง REvil ที่มีชื่อเสียงใช้ช่องโหว่ในแพคเกจซอฟต์แวร์การตรวจสอบและการจัดการระยะไกล VSA ของ Kaseya เพื่อกระจายน้ําหนักบรรทุกที่เป็นอันตรายผ่านโฮสต์ที่จัดการโดยซอฟต์แวร์ ผลลัพธ์สุดท้ายคือ 60 MSP และ บริษัท กว่า 1,500 แห่งที่ได้รับผลกระทบจากการโจมตีแรนซัมแวร์

ช่องโหว่ใน VSA ของ Kaseya ถูกค้นพบในเดือนเมษายนโดยนักวิจัยที่ Dutch Institute for Vulnerability Disclosure (DIVD) ตาม DIVD พวกเขาเปิดเผยช่องโหว่ของ Kaseya หลังจากนั้นไม่นานทําให้ บริษัท ซอฟต์แวร์สามารถปล่อยแพตช์เพื่อแก้ไขช่องโหว่จํานวนมากก่อนที่จะถูกนําไปใช้ในทางที่ผิด น่าเสียดายที่ในขณะที่ DIVD ยกย่อง Kaseya สําหรับการตอบสนองที่ตรงจุดและตรงเวลาต่อการเปิดเผยผู้ประสงค์ร้ายสามารถใช้ช่องโหว่ที่ไม่มีการปะในการโจมตีแรนซัมแวร์ของพวกเขา

ช่องโหว่ที่เปิดเผยต่อ Kaseya โดย DIVD ในเดือนเมษายนมีดังต่อไปนี้:

การไม่แก้ไขช่องโหว่ 3 รายการตรงเวลาทําให้ REvil สามารถใช้ช่องโหว่เหล่านี้สําหรับการโจมตีขนาดใหญ่ที่ส่งผลกระทบต่อผู้ให้บริการที่มีการจัดการ 60 รายโดยใช้ VSA และลูกค้าธุรกิจ 1500 ราย ทันทีที่ Kaseya สังเกตเห็นสิ่งที่เกิดขึ้นมันเตือนลูกค้า VSA ในสถานที่ให้ปิดเซิร์ฟเวอร์ของพวกเขาทันทีจนกว่าจะเปิดตัวแพตช์ น่าเสียดายที่หลาย บริษัท ยังคงตกเป็นเหยื่อของการโจมตีแรนซัมแวร์ซึ่งผู้กระทําผิดเรียกร้องค่าไถ่สูงถึง $ 5 ล้าน ต่อมาแก๊ง REvil ได้เสนอตัวถอดรหัสสากลในราคา 70 ล้านดอลลาร์ซึ่งเป็นความต้องการเรียกค่าไถ่ที่ใหญ่ที่สุดเท่าที่เคยมีมา

การปรับปรุง VSA 9.5.7a (9.5.7.2994) แก้ไขช่องโหว่ที่ใช้ในระหว่างการโจมตีแรนซัมแวร์ REvil

เมื่อวันที่ 11 กรกฎาคม Kaseya VSA 9.5.7a (9.5.7.2994) patch ได้เปิดตัวเพื่อแก้ไขช่องโหว่ที่เหลือซึ่งใช้ในการโจมตีแรนซัมแวร์

การปรับปรุง VSA 9.5.7a (9.5.7.2994) แพทช์ต่อไปนี้:

อย่างไรก็ตาม Kaseya เตือนว่าเพื่อหลีกเลี่ยงปัญหาใด ๆ เพิ่มเติม On Premises VSA Startup Readiness Guide ควรปฏิบัติตาม ” ”

ก่อนที่ผู้ดูแลระบบจะดําเนินการคืนค่าการเชื่อมต่อเต็มรูปแบบระหว่างเซิร์ฟเวอร์ Kaseya VSA และตัวแทนที่ปรับใช้พวกเขาควรทําสิ่งต่อไปนี้:

แก๊ง REvil ดูเหมือนจะมืดไปแล้ว

แก๊งแรนซัมแวร์ REvil ถูกระบุว่าเป็นผู้กระทําผิดที่อยู่เบื้องหลังการโจมตีอย่างรวดเร็ว หลังจากเสนอตัวถอดรหัสสากลในราคา $ 70 ล้านพวกเขาลดราคาเป็น $ 50 ล้าน ตอนนี้ปรากฏว่าโครงสร้างพื้นฐานและเว็บไซต์ของ REvil ได้รับการดําเนินการแบบออฟไลน์แม้ว่าเหตุผลจะไม่ชัดเจนทั้งหมด โครงสร้างพื้นฐานของ REvil ประกอบด้วยเว็บไซต์ทั้งที่ชัดเจนและมืดที่ใช้สําหรับวัตถุประสงค์เช่นการรั่วไหลของข้อมูลและการเจรจาต่อรองค่าไถ่ อย่างไรก็ตามเว็บไซต์ไม่สามารถเข้าถึงได้อีกต่อไป

ยังไม่ชัดเจนว่า REvil ตัดสินใจที่จะปิดโครงสร้างพื้นฐานเนื่องจากเหตุผลทางเทคนิคหรือเนื่องจากการตรวจสอบที่เพิ่มขึ้นโดยหน่วยงานบังคับใช้กฎหมายและรัฐบาลสหรัฐ เป็นที่ทราบกันดีว่า REvil ดําเนินงานจากรัสเซียและประธานาธิบดี Biden ของสหรัฐฯได้พูดคุยกับประธานาธิบดีปูตินของรัสเซียเกี่ยวกับการโจมตีเตือนว่าหากรัสเซียไม่ดําเนินการสหรัฐฯจะ ไม่ว่านั่นจะเกี่ยวข้องกับการปิดระบบที่ชัดเจนของ REvil ยังไม่ชัดเจนหรือไม่