Technológia

Mintegy 60 Kaseya-ügyfelet sújtott a REvil

A kezelt szolgáltató (MSP) ügyfelek számát széles körűen befolyásolja REvil / Sodinokibi ransomware támadás a Kaseya VSA termékén keresztül hangszerelték, 40-ről 60-ra emelkedett.

A július 2-án kibontakozott támadás eddig mintegy 1500 downstream ügyfélnél okozott fennakadásokat – közülük sokan az érintett MSP-k kis- és középvállalkozásai.

Egy új nyilatkozatban az elmúlt 24 órán belül kiadták, Kaseya azt mondta, hogy július 3-a óta nem érkezett jelentés a VSA-felhasználók további kompromisszumairól, és nem talált bizonyítékot arra, hogy bármely szoftver-as-a-service (SaaS) ügyfelét érintették volna. Hozzátette, hogy a VSA az egyetlen termék, amely veszélybe került, és minden egyéb szolgáltatását ez nem érinti.

„Végrehajtó bizottságunk ma délután ült össze [5 July] 18.30-kor EDT-ben [11.30pm BST] hogy visszaállítsuk az idővonalat és a folyamatot, amellyel a SaaS és a helyszíni ügyfelek újra online elérhetővé válnak ”- mondta a cég.

„A helyszíni ügyfelek javítását fejlesztették, és jelenleg a tesztelési és validációs folyamaton megy keresztül. Arra számítunk, hogy a javítás 24 órán belül elérhető lesz, miután a SaaS-kiszolgálóink ​​megjelentek. “

A Kaseya jelenleg arra számít, hogy SaaS szervereit később, július 6-án, 19 és 22 óra között, brit idő szerint újra online lesz, és erről hamarosan végső döntést hoz. Azt mondta, hogy a szolgáltatások gyorsabb helyreállításához kiadja a VSA-t szakaszos funkcionalitással, az első kiadás egyelőre megakadályozza bizonyos funkciókhoz való hozzáférést.

Találkozott az Egyesült Államok hatóságaival is, hogy megvitassák a rendszer és a hálózat keményítési követelményeit mind a SaaS, mind a helyi ügyfelek számára, és ezeket a követelményeket ismét hamarosan közzéteszi. Valószínű, hogy az újraindítás előtt telepíteni kell a javítást. Addig az összes helyszíni VSA-kiszolgálónak offline állapotban kell maradnia.

“Külső szakértőink azt tanácsolják, hogy azok az ügyfelek, akik ransomware-t tapasztaltak és kommunikációt kaptak a támadóktól, ne kattintson egyetlen linkre sem – lehet, hogy fegyverrel vannak ellátva” – tette hozzá.

Eddig az érintett MSP-ügyfelek közül kevesen azonosították magukat, de a holland székhelyű Velzart, a felhő-, informatikai és hálózati szolgáltatásokat nyújtó vállalat folyamatosan tájékoztatta ügyfeleit a helyreállítási folyamatról blogján keresztül.

Július 6-án, hétfőn a cég arról számolt be, hogy az érintett szerverek 70% -át technikailag megjavította és az ügyfelek rendelkezésére bocsátotta, és várhatóan szerdáig helyreállítja szerverállományának többi részét. A cég ezúton is köszönetet mondott ügyfeleinek a türelemért és megértésükért, valamint a technikai segítségért és még a frissítőkért is.

Mivel a támadással kapcsolatban egyre több információ csordogál, mostanra nyilvánvalóvá válik, hogy a REvil egy újonnan feltárt nulla napos – amint azt korábban ismertettük, valószínűleg SQL injekciós biztonsági résen keresztül – hozzáférést nyújtott a VSA szerver helyszíni példányaihoz, és a ransomware hasznos terheit továbbította automatikus frissítés került bevezetésre felügyeleti ügynöknek álcázva.

Mint Sophos megjegyezte többek között ez további fedezetet adott a bandának a múltbeli védekezés elrablásához azáltal, hogy kihasználta a VSA termék iránti bizalmat.