2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Поставщик программного обеспечения Kaseya выпустил обновление безопасности, которое исправляет уязвимость нулевого дня VSA (Virtual System Administrator), используемую в недавней атаке вымогателей REvil. Патч появился более чем через неделю после того, как более 60 поставщиков управляемых услуг (MSP) и 1500 их клиентов пострадали от атаки вымогателей, источником которой вскоре была идентифицирована VSA Kaseya.

Злоумышленники, которые, как теперь известно, являются печально известной бандой REvil, использовали уязвимость в пакете программного обеспечения для удаленного мониторинга и управления VSA Kaseya для распространения вредоносной полезной нагрузки через хосты, управляемые программным обеспечением. Конечным результатом стало 60 MSP и более 1500 компаний, пострадавших от атак программ-вымогателей.

Уязвимости в VSA Касеи были обнаружены в апреле исследователями Dutch Institute for Vulnerability Disclosure из DIVD. Согласно DIVD, вскоре после этого они раскрыли уязвимости Kaseya, что позволило компании-разработчику программного обеспечения выпустить патчи для устранения некоторых из них, прежде чем они могут быть неправильно использованы. К сожалению, в то время как DIVD хвалит Kaseya за их своевременную реакцию на раскрытие информации, злоумышленники смогли использовать неисправленные уязвимости в своей атаке вымогателей.

Уязвимости, раскрытые Kaseya DIVD в апреле, следующие:

Неспособность вовремя исправить 3 уязвимости позволила REvil использовать их для крупномасштабной атаки, которая затронула 60 поставщиков управляемых услуг, использующих VSA, и их 1500 бизнес-клиентов. Как только Kaseya заметила, что происходит, она предупредила локальных клиентов VSA немедленно закрыть свои серверы, пока не выпустят патч. К сожалению, многие компании все же стали жертвами атаки вымогателей, виновные которой потребовали выкуп в размере до 5 миллионов долларов. Позже банда REvil предложила универсальный дешифратор за 70 миллионов долларов, что является крупнейшим требованием выкупа.

Обновление VSA 9.5.7a (9.5.7.2994) исправляет уязвимости, использованные во время атаки вымогателей REvil

11 июля Kaseya выпустила VSA 9.5.7a (9.5.7.2994) patch для исправления оставшихся уязвимостей, которые были использованы в атаке вымогателей.

Обновление VSA 9.5.7a (9.5.7.2994) исправляет следующее:

Тем не менее, Касея предупреждает, что для того, чтобы избежать каких-либо дополнительных проблем, On Premises VSA Startup Readiness Guide следует соблюдать « ».

Прежде чем администраторы приступают к восстановлению полного подключения между серверами Kaseya VSA и развернутыми агентами, они должны выполнить следующие действия:

Банда REvil, похоже, потемнеет

Банда вымогателей REvil была довольно быстро идентифицирована как виновные в нападении. Первоначально предложив универсальный дешифратор за 70 миллионов долларов, они снизили цену до 50 миллионов долларов. Теперь кажется, что инфраструктура и веб-сайты REvil были отключены, хотя причины не совсем ясны. Инфраструктура REvil состоит как из прозрачных, так и из темных веб-сайтов, которые используются для таких целей, как утечка данных и переговоры о выкупе. Однако сайты больше не доступны.

Пока неясно, решил ли REvil закрыть свою инфраструктуру по техническим причинам или из-за повышенного контроля со стороны правоохранительных органов и правительства США. Известно, что REvil действует из России, и президент США Байден ведет переговоры с президентом России Путиным об атаках, предупреждая, что если Россия не предпримет действий, США это сделают. Имеет ли это какое-либо отношение к очевидному закрытию REvil, пока неясно.