Kaseya tedarik zinciri saldırısı 1000'den fazla şirketi etkiliyor

REvil grubu, 1 milyondan fazla cihaza virüs bulaştığını iddia ediyor ve evrensel bir şifre çözme anahtarı için 70 milyon dolar talep ediyor.

fidye yazılımı siber suç

Resim: Shutterstock/Vchal

Tek bir şirketin yazılım ürününe yönelik bir fidye yazılımı saldırısı, 1.000'den fazla kuruluşta dalga etkisi yaratıyor. 3 Temmuz'da kurumsal BT firması Kaseya, bir VSA ürününe karşı başarılı siber saldırı, Müşteriler için BT hizmetlerini uzaktan izlemek ve yönetmek için Yönetilen Hizmet Sağlayıcılar (MSP'ler) tarafından kullanılan bir program.

GÖRMEK: Bilgi grafiği: Bir fidye yazılımı saldırısının 5 aşaması (Teknoloji Cumhuriyeti)

O sırada Kaseya, olayın yalnızca çok az sayıda şirket içi müşteriyi etkilediğini söyledi. Ancak Kaseya'nın işinin tedarik zinciri yapısı, saldırının ardından çok daha fazla şirketin yakalandığı anlamına geliyor.

İçinde yeni blog yazısı, güvenlik firması Huntress, dünya çapında Kaseya VSA'nın 1.000'den fazla işletmedeki verileri şifrelemek için kullanıldığı yaklaşık 30 MSP'yi izlediğini söyledi. Bu rakamlar, Huntress'in 3 Temmuz'da sekiz MSP'nin etkilendiğini ve şifrelenmiş dosyalara sahip yaklaşık 200 işletmeyi etkilediğini belirten ilk raporundan alınmıştır. Güvenliği ihlal edilmiş MSP'ler için tüm VSA sunucuları şirket içinde bulunur.

Kaseya'nın etkilenen şirketlere ilişkin tahminleri daha da yüksek. Onun bir güncellemesinde devam eden blog yazısı, şirket, saldırının tümü VSA şirket içi ürününü kullanan 60'tan az müşteriyi etkilediğini söyledi. Kaseya'ya göre, dalgalanma etkisi ile toplam etki 1.500'den az alt işletme arasında hissedildi.

Risk koruma sağlayıcısı Digital Shadows'ta bilgi güvenliği şefi ve stratejiden sorumlu başkan yardımcısı Rick Holland, "Hırsızların daha fazla kurbanın ağına ilk erişim olarak hizmet edebilecek kritik BT yazılımlarını hedef alması şaşırtıcı olmamalı," dedi. "Yönetilen Hizmet Sağlayıcılar (MSP'ler) Kaseya'nın yazılımını kullanır, bu da onları çekici bir hedef haline getirir, çünkü gaspçılar potansiyel hedefleri hızla artırabilir. Ayrıca, MSP'lerden yararlanan şirketler genellikle daha az olgun küçük ve orta ölçekli (KOBİ'ler) işletmelerdir ve genellikle daha az olgunluğa sahiptir. güvenlik programları."

Çoğu zaman olduğu gibi, fidye yazılımı VSA yazılımındaki bir güvenlik açığından yararlanarak çalışır. Spesifik olarak, saldırı sıfır gün güvenlik açığından yararlanır etiketli CVE-2021–30116 Siber güvenlik haber sitesi Double Pulsar'daki Kevin Beaumont'a göre, sahte bir VSA güncellemesi aracılığıyla sağlanan yük ile. Yönetici haklarına sahip olan saldırı, MSP'lerin sistemlerine bulaşır ve daha sonra müşterilerin sistemlerine bulaşır.

Egress Tehdit İstihbaratı Başkan Yardımcısı Jack Chapman, "Bu saldırı, bilgisayar korsanlarının gevşek güvenlikten ve yamasız güvenlik açıklarından yıkıcı bir etki için yararlanmaya hazır olduğunu ve beklediğini bir kez daha vurguluyor" dedi. "Ayrıca, yalnızca kendi kuruluşunuzu değil, tedarik zincirinizi de güvence altına almanın önemini gösteriyor. Kuruluşlar, tedarikçilerinin güvenlik protokollerini yakından incelemeli ve tedarikçiler kendilerini sorumlu tutarak müşterilerinin sürekli büyüyen tehlike barajından korunmasını sağlamalıdır. kötü niyetli saldırılar."

Saldırının arkasındaki suçlu, diğer birçok üst düzey saldırıya karşı sorumlu olan rezil fidye yazılımı grubu REvil'dir. Grup, "Mutlu Blog"unda Kaseya'ya yapılan saldırının sorumluluğunu üstlendi, güvenlik firması Sophos'a göre 1 milyondan fazla sisteme virüs bulaştığını iddia ediyor. REvil ayrıca bu fidye yazılımı saldırısının tüm kurbanları için ilgi çekici bir teklif sundu. 70 milyon dolar değerinde bitcoin karşılığında grup, etkilenen tüm şirketler aracılığıyla dosyalarını kurtarabilecek evrensel bir şifre çözücü yayınlayacaktı.

Saldırıya verdiği yanıtta, Kaseya birkaç işlem yaptı. Şirket, herhangi bir SaaS veya barındırılan müşteriden herhangi bir güvenlik ihlali raporu almamasına rağmen, bir önlem olarak SaaS sunucularını derhal kapattığını söyledi. Ayrıca şirket içi müşterilerini e-posta, ürün içi bildirimler ve telefon yoluyla bilgilendirerek VSA sunucularını kapatmaları konusunda uyardı.

Ayrıca Kaseya, saldırının temel nedenini öğrenmek için dahili olay müdahale ekibinin yanı sıra adli soruşturmalarda dış uzmanlardan da yardım aldı. Ayrıca şirket, FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) dahil olmak üzere kolluk kuvvetleri ve devlet siber güvenlik kurumlarıyla temasa geçti.

Kaseya, CISA ve diğer taraflar, potansiyel olarak etkilenen şirketlere ve müşterilere tavsiyelerde bulunmak için hızlı davrandılar.

İlk olarak, şirket içi VSA sunucularına sahip kuruluşlardan daha fazla ödün vermemek için bunları kapatmaları istenir.

İkincisi, kuruluşlar bir dosya indirebilir ve çalıştırabilir. Uzlaşma Tespiti Aracı, herhangi bir güvenlik ihlali (IoC) göstergesi aramak için bir VSA sunucusunu veya yönetilen uç noktayı analiz eder. Bu aracın en son sürümü ayrıca veri şifreleme ve REvil fidye notunu da tarar. Bu nedenle, aracı zaten çalıştırmış olan şirketler bile bu en son sürümle yeniden çalıştırmalıdır.

Üçüncü, CISA ve FBI, etkilenen MSP'leri tavsiye etti tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek ve zorlamak için izin verilenler listesi uzaktan izleme ve yönetim (RMM) özellikleriyle iletişimi bilinen IP adresleriyle sınırlamak ve bir VPN veya güvenlik duvarının arkasında RMM'nin yönetim arabirimlerini kurmak.

Dördüncüsü, kuruluşlar, yedeklerin güncel olmasını ve ana ağdan hava açıklığı bulunan erişilebilir bir yerde saklanmasını sağlamalı, yeni yamaları hazır olur olmaz yükleyerek satıcı kılavuzunu izleyen manuel bir yama yönetimi sürecini benimsemeli ve anahtar ağ yöneticisi hesaplarında en az ayrıcalıklı erişim ilkesi.

Son olarak, etkilenen ve ilgili kuruluşlar aşağıdakileri izlemelidir: Kaseya'nın yardım masası blogu Günlük güncellemeler için fidye yazılımı saldırısında.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*