2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Programvareleverandøren Kaseya har gitt ut en sikkerhetsoppdatering som løser nulldagssårbarheten VSA (Virtual System Administrator) som ble brukt i det nylige REvil ransomware-angrepet. Oppdateringen kommer mer enn en uke etter at over 60 administrerte tjenesteleverandører (MSP) og 1500 av kundene deres ble påvirket av et ransomware-angrep, hvis kilde snart ble identifisert som Kaseyas VSA.

Angripere, nå kjent for å være den beryktede REvil-gjengen, brukte et sikkerhetsproblem i Kaseyas VSA-programvarepakke for ekstern overvåking og administrasjon for å distribuere en ondsinnet nyttelast gjennom verter som administreres av programvaren. Sluttresultatet var 60 MSP-er og over 1500 selskaper berørt av ransomware-angrep.

Sårbarhetene i Kaseyas VSA ble oppdaget i april av forskere ved Dutch Institute for Vulnerability Disclosure (DIVD). Ifølge DIVD avslørte de sårbarhetene til Kaseya kort tid etter, slik at programvareselskapet kunne frigjøre oppdateringer for å løse en rekke av dem før de kunne misbrukes. Dessverre, mens DIVD roser Kaseya for deres på-punkt og rettidig respons på avsløringen, var ondsinnede parter i stand til å bruke de ikke-oppdaterte sårbarhetene i ransomware-angrepet.

Sikkerhetsproblemene som ble offentliggjort til Kaseya av DIVD i april, er følgende:

Hvis du ikke klarte å oppdatere tre av sikkerhetsproblemene i tide, kunne REvil bruke dem til et stort angrep som påvirket 60 administrerte tjenesteleverandører som brukte VSA og deres 1500 bedriftskunder. Så snart Kaseya la merke til hva som foregikk, advarte den lokale VSA-kunder om å umiddelbart slå av serverne sine til den ga ut en oppdatering. Dessverre ble mange selskaper fortsatt ofre for et ransomware-angrep hvis gjerningsmenn krevde opptil $ 5 millioner i løsepenger. REvil-gjengen tilbød senere en universell dekrypter for $ 70 millioner, det største kravet om løsepenger noensinne.

VSA 9.5.7a (9.5.7.2994)-oppdateringen løser sikkerhetsproblemer som brukes under REvil ransomware-angrepet

11. juli ga Kaseya ut VSA 9.5.7a (9.5.7.2994) patch for å fikse de resterende sårbarhetene som ble brukt i ransomware-angrepet.

OPPDATERINGEN VSA 9.5.7a (9.5.7.2994) oppdaterer følgende:

Kaseya advarer imidlertid om at for å unngå flere problemer, bør » On Premises VSA Startup Readiness Guide følges.

Før administratorer fortsetter å gjenopprette full tilkobling mellom Kaseya VSA-servere og distribuerte agenter, bør de gjøre følgende:

REvil-gjengen ser ut til å ha blitt mørk

REvil ransomware gjengen ble ganske raskt identifisert som gjerningsmennene bak angrepet. Etter først å ha tilbudt en universell dekrypter for $ 70 millioner, senket de prisen til $ 50 millioner. Det ser nå ut til at REvils infrastruktur og nettsteder er tatt offline, selv om årsakene ikke er helt klare. REvils infrastruktur består av både klare og mørke nettsteder som brukes til formål som å lekke data og forhandle løsepenger. Nettstedene kan imidlertid ikke lenger nås.

Det er ennå ikke klart om REvil bestemte seg for å stenge infrastrukturen på grunn av tekniske årsaker eller på grunn av den økte granskningen fra politiet og den amerikanske regjeringen. REvil er kjent for å operere fra Russland, og USAs president Biden har vært i samtaler med Russlands president Putin om angrepene, og advarte om at hvis Russland ikke tar grep, vil USA gjøre det. Hvorvidt det har noe med REvils tilsynelatende nedleggelse å gjøre, er ennå ikke klart.