ОБНОВЛЕНИЕ: в заявлении поздно вечером в пятницу генеральный директор Kaseya Фред Воккола подтвердил, что группа реагирования на инциденты узнала об атаке в полдень и немедленно отключила свои серверы SaaS в качестве меры предосторожности, несмотря на то, что не получила никаких сообщений об атаке. взлом со стороны любых SaaS или размещенных клиентов.
"[We] немедленно уведомили наших локальных клиентов по электронной почте, уведомлениям в продукте и телефону, чтобы они отключили свои серверы VSA, чтобы предотвратить их взлом. Затем мы следовал установленному нами процессу реагирования на инциденты, чтобы определить масштаб инцидента и степень, в которой пострадали наши клиенты », — сказал Воккола.
«Мы привлекли нашу внутреннюю группу реагирования на инциденты и ведущих отраслевых экспертов к проведению судебно-медицинских расследований, чтобы помочь нам определить основную причину проблемы. Мы уведомили правоохранительные органы и государственные органы кибербезопасности, включая ФБР и CISA. индикаторы показали, что затронуто лишь очень небольшое количество клиентов, находящихся на территории предприятия, и был консервативным подходом к отключению серверов SaaS, чтобы обеспечить максимальную защиту более 36 000 клиентов ».
На данный момент компания заявила, что считает, что их клиенты SaaS «никогда не подвергались риску», и ожидает восстановления их услуг в течение следующих 24 часов, как только будет подтверждена их безопасность.
По данным Voccola, пострадали около 40 клиентов по всему миру, и компания готовит исправление, чтобы уменьшить уязвимость для любых локальных жертв.
«Мы слышали от подавляющего большинства наших клиентов, что у них вообще не было проблем, и я благодарен нашим внутренним командам, внешним экспертам и отраслевым партнерам, которые работали вместе с нами, чтобы быстро реализовать эту к успешному исходу ", — добавил Воккола.
Разделы комментариев на Reddit теперь завалены отзывами клиентов, пытающихся отреагировать на атаку и восстановить системы.
ПРЕДЫДУЩИЙ: Kaseya объявила, что имеет дело с масштабной атакой с использованием программ-вымогателей, которая теперь может затронуть как минимум восемь MSP и сотни организаций.
В сообщении, размещенном на ее веб-сайте, удаленный Поставщик управленческих решений заявил, что он «испытывает потенциальную атаку на VSA, которая была ограничена небольшим количеством локальных клиентов только по состоянию на 14:00 по восточному времени сегодня».
«Мы находимся в процессе расследования основной причины инцидента с большой осторожностью, но мы рекомендуем вам НЕМЕДЛЕННО выключить сервер VSA, пока вы не получите от нас дальнейшее уведомление», — заявили в компании.
«Очень важно, чтобы вы сделали это немедленно, потому что первое, что делает злоумышленник, — это закрывает административный доступ к VSA».
Kaseya отключил все экземпляры SaaS своего VSA инструмент удаленного мониторинга и управления в свете атаки.
Джон Хаммонд, старший исследователь безопасности в Huntress, сказал ZDNet что они были впервые уведомлены об атаке в 12:35 по восточному времени и сказали, что это "было всесторонним вмешательством. эволюция, чтобы отреагировать и сделать сообщество осведомленным ".
Хаммонд приписал атаку многочисленной группе вымогателей REvil / Sodinikibi, а Bleeping Computer, The Record и NBC News также сообщили, что виновником была REvil или его дочерняя компания. Посредством обновления программного обеспечения VSA REvil якобы широко распространяет программы-вымогатели.
«Мы не можем достаточно подчеркнуть, что не знаем, как это внедряется в VSA Касеи. На данный момент никто этого не знает. Нам известно о четырех MSP, где затронуты все клиенты — 3 из США и один за границей. MSP с более чем тысячами конечных точек подвергаются атаке ", — сказал Хаммонд, прежде чем Huntress обновила общее количество до 8.
" Мы видели, что когда MSP скомпрометирован, мы видели доказательства того, что распространилась через VSA на всех клиентов MSP. VSA от Kaseya может быть либо локально, либо размещаться в облаке. В настоящее время все их облачные серверы отключены для аварийного обслуживания ».
Хаммонд добавил, что трое партнеров Huntress пострадали: «около 200 компаний были зашифрованы».
Он объяснил, что agent.crt удаляется Kaseya VSA, а затем декодируется с помощью certutil для выделения agent.exe, а внутри agent.exe он встроил `MsMpEng.exe` и` mpsvc.dll` .
![analysis.png "height =" auto "width =" 470 "data-original =" https://www.zdnet.com/a/hub/i/r/2021 /07/02/7d1d89e9-ceb6-4f2d-9cd2-96a122dcd006/resize/470xauto/0ace1dede6d8e77257dae05a472ac4e7/analysis.png"/>[19459010>[19459011/01_analysispng"/>[19459010_s_19459011_analysispng"/>[19459010_analysispng"] "470" /> </span> </noscript><figcaption> <span class=](https://data-to-data.ru/wp-content/uploads/2021/07/pre-kaseya-prizyvaet-klientov-nemedlenno-vyklyuchit-servery-vsa-posle-ataki-programm-vymogatelej.com)
Охотница
«Законный исполняемый файл Защитника Windows использовался для боковой загрузки вредоносной DLL. Это один и тот же двоичный файл для всех жертв», — сказал он.
Huntress имеет на Reddit угрозу обновлений о ситуации и заявила, что есть признаки того, что учетные записи администраторов VSA отключаются только за несколько мгновений до развертывания вымогателя.
CISA опубликовала заявление в Twitter, в котором говорилось, что Организация «принимает меры, чтобы понять и противодействовать атаке программ-вымогателей в цепочке поставок, направленной против Kaseya VSA и нескольких поставщиков услуг, использующих программное обеспечение VSA».
Марк Ломан, аналитик вредоносных программ компании Sophos, поделился длинной веткой в Twitter об атаке и сказал, что некоторые жертвы уже видят страницу с требованием выкупа, требующую 44 999 долларов. Хаммонд сообщил ZDNet, что Huntress уже видела требования выкупа в размере 5 миллионов долларов.
Это далеко не первый раз, когда инструменты Касеи использовались для распространения атаки программ-вымогателей. Как уже сообщал ZDNet, предшественник REvil Gandcrab дважды в 2019 году использовал Kaseya для запуска атак, сначала с использованием плагина Kaseya, а затем продуктов VSA в том же году.
Злоумышленники обычно запускают атаки по выходным или ночью, потому что меньше людей следят за системами.
Sophos выпустил подробное руководство для потенциальных жертв, позволяющее выяснить, подвергаются ли они атаке.
Крис Гроув, технологический евангелист компании Nozomi Networks, сказал, что такие типы атак на цепочки поставок, такие как SolarWinds, идут «прямо в яремную вену организаций, которые хотят восстановиться после взлома».
«Они типы решений для управления технологиями могут иметь высокую концентрацию риска из-за большого количества корпоративных учетных записей с повышенными привилегиями, неограниченных правил брандмауэра, необходимых для их работы, и культурного « доверия '' к тому, что трафик к ним и от них является законным и должен быть разрешено, — сказал Гроув.
