Η software εταιρεία Kaseya επιβεβαίωσε ότι περίπου 1.500 επιχειρήσεις επηρεάστηκαν από την εκμετάλλευση του λογισμικού διαχείρισης απομακρυσμένων συσκευών της εταιρείας, το οποίο χρησιμοποιήθηκε για τη διάδοση του REvil ransomware.
Οι επιτιθέμενοι πραγματοποίησαν μια supply chain ransomware επίθεση, αξιοποιώντας μια ευπάθεια στο λογισμικό VSA της Kaseya, το οποίο χρησιμοποιείται από πολλούς MSPs. Έτσι επηρεάστηκαν τόσο οι ίδιοι όσο και οι πελάτες τους.
“Μέχρι σήμερα, γνωρίζουμε λιγότερους από 60 πελάτες της Kaseya που χρησιμοποιούσαν το προϊόν VSA και παραβιάστηκαν άμεσα από αυτήν την επίθεση. Καθώς πολλοί από αυτούς τους πελάτες παρέχουν IT υπηρεσίες σε πολλές άλλες εταιρείες, συμπεραίνουμε ότι συνολικά μπορεί να έχουν επηρεαστεί περίπου 1.500 εταιρείες. Δεν έχουμε βρει στοιχεία που να αποδεικνύουν ότι κάποιος από τους SaaS πελάτες μας έχει παραβιαστεί“, δήλωσε η Kaseya.
Δείτε επίσης: Η ομάδα πίσω από το Trickbot συνδέεται με το ransomware Diavol
Οι επιτιθέμενοι εκμεταλλεύτηκαν μια ευπάθεια στο λογισμικό VSA της Kaseya, ένα λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης, το οποίο χρησιμοποιείται για τη διαχείριση endpoints, όπως υπολογιστές, διακομιστές και ταμειακές μηχανές. Επίσης, χρησιμοποιείται για διαχείριση και τη διόρθωση ευπαθειών. Η εταιρεία είχε ενημερωθεί από ερευνητές για την ευπάθεια και είχε δημιουργήσει ένα patch, αλλά δεν είχε προλάβει να το κυκλοφορήσει στους πελάτες της.
Την Κυριακή, η REvil ransomware συμμορία ζήτησε 70 εκατομμύρια δολάρια για την παροχή ενός εργαλείου αποκρυπτογράφησης, που θα ξεκλειδώσει τα συστήματα όλων των θυμάτων.
Μάθετε περισσότερα: REvil ransomware Kaseya: Οι hackers ζητούν $ 70 εκατομ. για αποκρυπτογράφηση όλων των συστημάτων
Η Kaseya δήλωσε ότι κανέα άλλο προϊόν της εταιρείας δεν έχει παραβιαστεί.
Ωστόσο, παρόλο που το software-as-a-service (SaaS) line του VSA δεν επηρεάστηκε, οι servers τέθηκαν εκτός σύνδεσης.
Μια ενημερωμένη έκδοση κώδικα για τους πελάτες που εκτελούν VSA θα πρέπει να είναι διαθέσιμο 24 ώρες μετά την επαναφορά των SaaS διακομιστών της εταιρείας, το οποίο εκτιμά ότι θα συμβεί σήμερα, 6 Ιουλίου, δήλωσε η Kaseya σε μια ενημέρωση.
Δείτε επίσης: Kaseya Ransomware Επίθεση: Ο Biden καλεί τις εταιρείες που επηρεάστηκαν να το αναφέρουν
Η εταιρεία συνεργάστηκε με το FBI και τη CISA για τη διερεύνηση κάποιων βασικών στοιχείων, πριν την αποκατάσταση των συστημάτων.
Η Kaseya κυκλοφόρησε επίσης ένα νέο δωρεάν εργαλείο ανίχνευσης, το οποίο μπορούν να χρησιμοποιήσουν οι πελάτες για να ελέγξουν τα δίκτυα και τους υπολογιστές τους. Το εργαλείο της Kaseya αναζητά δείκτες παραβίασης, κρυπτογράφηση δεδομένων και το σημείωμα λύτρων της REVil ransomware συμμορίας.
Η Kaseya προτρέπει τους πελάτες να διατηρήσουν τους διακομιστές VSA εκτός σύνδεσης έως ότου είναι ασφαλές να προχωρήσουν σε προσπάθειες αποκατάστασης.
Πηγή: ZDNet
