Tam tatil hafta sonunu mahvetmek için tam zamanında, fidye yazılımı saldırganları, görünüşe göre BT hizmetlerini uzaktan yönetmeye yardımcı olmak için tasarlanmış bir yazılım platformu olan Kaseya’yı yüklerini teslim etmek için kullandılar. Sophos direktörü ve etik hacker Mark Loman bugün erken saatlerde saldırı hakkında tweet attı ve şimdi etkilenen sistemlerin kilidinin açılması için 44.999 dolar talep edeceğini bildirdi. Kaseya’nın web sitesindeki bir not, müşterilerin VSA sunucularını şimdilik kapatmalarını istiyor, çünkü “saldırganın yaptığı ilk şeylerden biri VSA’ya yönetim erişimini kapatmaktır.”
Flaş Haber: siber suçlular bir$$deliktir.
Bu tatil hafta sonu tüm Olay Müdahale ekiplerini aklında tutun, çünkü onlar yine yoğun.
Kaseya VSA kullanıyorsanız, yeniden etkinleştirip IR’yi başlatması söylenene kadar *şimdi* kapatın. İşte ikili dosya: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
— Chris Krebs (@C_C_Krebs) 2 Temmuz 2021
Bleeping’den bir rapora göre Bilgisayar, saldırı altı büyük MSP’yi hedef aldı ve 200 kadar şirketin verilerini şifreledi.
DoublePulsar’da Kevin Beaumont, saldırının nasıl çalıştığı hakkında daha fazla ayrıntı yayınladı, REvil fidye yazılımı bir Kaseya aracılığıyla ulaştı. sistemlere bulaşmak için platformun yönetici ayrıcalıklarını güncellemek ve kullanmak. Yönetilen Hizmet Sağlayıcılara virüs bulaştığında, sistemleri uzak BT hizmetleri sağladıkları istemcilere saldırabilir (diğer şeylerin yanı sıra ağ yönetimi, sistem güncellemeleri ve yedeklemeler).
Bir açıklamada Kaseya, The Verge, “Yalnızca az sayıda şirket içi müşterimizle sınırlı olduğunu gösteren VSA’ya yönelik olası bir saldırıyı araştırıyoruz.” Bir bildirim, tüm bulut sunucularının şu anda “bakım modunda” olduğunu iddia ediyor.
Yalnızca az sayıda şirket içi müşterimizle sınırlı olduğunu belirten VSA’ya yönelik olası bir saldırıyı araştırıyoruz. SaaS sunucularımızı çok dikkatli bir şekilde proaktif olarak kapattık.
Olayın temel nedenini büyük bir dikkatle araştırma sürecindeyiz, elimizde:
a. Tüm şirket içi müşterilerimize VSA sunucularını derhal kapatmalarını bildirdi
b. SaaS Sunucularımızı Kapatın
Birkaç güvenlik firması tarafından konuyla ilgili daha fazla bilgi aldık ve onlarla da yakın bir şekilde çalışıyoruz. Olayı araştırmaya devam ederken, daha fazla bilgiye sahip olduğumuz için müşterilerimizi (ve ilgili tarafları) güncelleyeceğiz.
Dana Liedholm – Kıdemli Başkan Yardımcısı, Kurumsal İletişim Kaseya
Bugünün saldırısı, kötü şöhretli REvil fidye yazılımı çetesiyle bağlantılıydı (bundan önce Acer ve et tedarikçisi JBS’ye yapılan saldırılarla zaten bağlantılıydı) yıl) ve The Record, olayları birden fazla ad altında toplayarak, bunun Kaseya yazılımının üçüncü kez istismarlar için bir vektör olabileceğini belirtiyor.
