Kaseya birgðakeðju árás – gagnagíslataka

5. júlí 2021

Kaseya VSA er fjarstýrð stjórnunar- og eftirlits lausn (e. Remote Monitoring and Management) sem notað er af þjónustuaðilum til að viðhalda kerfum hjá viðskiptavinum sínum.

Þann 2.júlí síðastliðinn var gerð birgðakeðju árás þar sem komist var inn í kerfi hjá Kaseya. Ekki er komin út staðfest tilkynning um hvað nákvæmlega gerðist en upplýst hefur verið að af innrásinni leiddu árásir í kerfi viðskiptavina og komið fyrir gagnagíslatökuforriti. Nýttur var veikleikinn CVE-2021-30116 við innrásir.

Talið er að fórnalömb séu í að minnsta kosti 17 löndum með flest fórnalömb í Bretlandi, Suður-Afríku, Þýskalandi og Bandaríkjunum.

REvil gengið hefur lýst yfir ábyrgð á þessari árás og lausnargjaldi hefur verið USD 50.000 eða USD 5.000.000 eftir því hvort um er að ræða tölvur tengdar fyrirtækjaneti eða eigi. REvil gaf út tilkynningu að þeir eru til í að gefa út afdulkóðara sem afdulkóðar alla sem hafa orðið fyrir þessari árás fyrir USD 70.000.000 í Bitcoin.

Kaseya er stöðugt að senda frá sér nýjar tilkynningar um stöðu mála og tilmæli á vefsíðu sinni sem er hægt að finna að neðan [1]. Einnig hefur Kaseya gefið út tól sem leitar eftir spillivísum [2] og er mælt með að hafa slökkt á öllum Kaseya VSA þjónum þar til annað er tekið fram á vefsíðu þeirra.

Gefnir hafa verið út spillivísar af öryggisfyrirtæki á GitHub [3] .

Viðskiptavinum Kasyea er bent á að fylgjast með vefsíðu Kaseya og fylgja þeirra tilmælum. Einnig er ráðlagt að kerfisstjórar nýti sér þekkta spillivísa til að athuga hvort einhver umferð tengd vísunum sjáist í atburðarskrám og að uppfæra eldveggjareglur og reglur í öðrum öryggiskerfum.

Tilvísanir:
[1] https://www.kaseya.com/potential-attack-on-kaseya-vsa/
[2] https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
[3] https://github.com/cado-security/DFIR_Resources_Revil_Kaseya/
[4] https://therecord.media/revil-ransomware-executes-supply-chain-attack-via-malicious-kaseya-update/
[5] https://therecord.media/kaseya-zero-day-involved-in-ransomware-attack-patches-coming/
[6] https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html
[7] https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa

Til baka