Technológia

Az oportunisták Kaseya REvil áldozatait célozták meg

Úgy tűnik, hogy az oportunisztikus számítógépes bűnügyi műveletek elkezdték kihasználni a több mint 1000 áldozatot a 70 millió dolláros REvil ransomware támadás a Kaseya kezelt szolgáltató (MSP) ügyfeleinél, amikor egy új rosszindulatú program elleni spam kampány bizonyítékai merülnek fel.

Először a Malwarebytes kutatói figyelték fel, az egyes brit szervezeteket megcélzó kampány a Microsoft által gyártott, érintett Kaseya VSA termék javításának állítólag javítását szolgálja. Tartalmaz egy SecurityUpdates.exe nevű mellékletet és egy linket, amelyre kattintva leesik Cobalt Strike, amelyet a támadók használhatnak, hogy hozzáférjenek áldozatuk hálózatához és rendszereihez, és további saját támadásokat hajtsanak végre, esetleg más váltságdíjakat is eldobva.

Amint a folyamatban lévő Kaseya-támadás ötödik napjára lép, a veszélyeztetett szereplők párhuzamos kampányainak megjelenése valószínűleg nem kapcsolódik a REvil bandához és annak leányvállalataihoz, nem jelent nagy meglepetést: az érintett MSP-k downstream kkv-ügyfelei lényegesen kevésbé megfelelő biztonsági technológia vagy képzett személyzet áll rendelkezésre a védelem érdekében, ezért bizonyos szempontból könnyű célpontot jelentenek.

Eközben a Kaseya július 6-án késõbb kezdte meg online szoftverként szolgáltatott (SaaS) VSA-kiszolgálóinak online telepítését, további biztonsági szolgáltatásokkal konfigurálva, de július 7-én, brit idő szerint hajnali 3 órakor felfüggesztette a bekapcsolást. egy nem nyilvánosságra hozott műszaki probléma azonosítása. A cég reméli, hogy a helyszíni VSA-kiszolgálók számára javítást tud biztosítani a SaaS-művelet teljes helyreállítását követő 24 órán belül, de nyilvánvalóan ez az idővonal csúszott.

Példa az új rosszindulatú programok elleni spam kampányra

Az új biztonsági intézkedések közé tartozik: a 24/7 független szolgáltatás biztosítása biztonsági műveleti központ (SOC) minden VSA-kiszolgálóhoz; kiegészítő tartalomszolgáltató hálózat (CDN) webalkalmazás tűzfala (WAF) minden VSA-kiszolgálóhoz, beleértve azokat a helyszíni felhasználókat is, akik szeretnének bekapcsolódni; és új követelmények az IP-címek engedélyezőlistára vételével az ezt megtevő ügyfelek számára. Kaseya szerint ez nagymértékben csökkentené az általános támadási szolgáltatást, amelynek a VSA ki van téve.

Egy újonnan rögzített videóban, Fred Voccola, a Kaseya vezérigazgatója szerint a cég „hihetetlenül konzervatív” volt a szolgáltatás helyreállításának ütemtervével kapcsolatban.

Ismét 50-re módosította az érintett MSP-k számát, körülbelül 10-rel kevesebbet mint korábban kijelentették. Szerinte a támadást „nagyon jól” adta át Kaseya biztonsági architektúrájának moduláris jellege, amely megakadályozta annak terjedését a VSA-n túl, valamint a cég gyorsreagálású csapata, valamint a külső bűnüldöző szervek, az amerikai kormány és a kibernyomozók támogatása.

Voccola megköszönte a cég néhány versenytársának a segítségnyújtási ajánlatokat, és ígéretet tett arra, hogy Kaseya munkatársai, akik közül néhányan szerinte július 3-a óta körülbelül négy órát aludtak, addig maradnak az állásukban, amíg „minden a lehető legtökéletesebb” .

“Amikor történik valami, az a szervezet mennyire volt felkészülve, milyen gyorsan ismeri el a szervezet a történteket, és nem próbálja elrejteni, segítséget kérni az emberektől, és megpróbál az ügyfelekre összpontosítani, és információt szerezni belőlük” – mondta. mondott.

“A lehető legjobban csináljuk, a világ legjobb embereinek tanácsával tesszük, és elkötelezettségünk az, hogy továbbra is ezt tegyük.”

Voccola korábban nem volt hajlandó kommentálni, hogy Kaseya kezdett-e tárgyalásokat a REvil-szel, vagy váltságdíjat szándékozik-e fizetni a bandának, amely – amint arról korábban beszámoltunk – gyakran hajlandóak lényegesen alacsonyabb kifizetésekről tárgyalni.