Công ty công nghệ Hoa Kỳ Kaseya, nơi chữa cháy lớn nhất từ trước đến nay cuộc tấn công ransomware chuỗi cung ứng trên sản phẩm VSA tại chỗ của mình, đã loại trừ khả năng cơ sở mã của nó đã bị giả mạo trái phép để phân phối phần mềm độc hại.
Trong khi các báo cáo ban đầu đưa ra suy đoán rằng băng đảng ransomware có thể đã giành được quyền truy cập vào cơ sở hạ tầng phụ trợ của Kaseya và lạm dụng nó để triển khai bản cập nhật độc hại cho các máy chủ VSA chạy trên cơ sở khách hàng, theo một mô thức tương tự như vụ hack SolarWinds tàn khốc, nó đã xuất hiện từ đó rằng một lỗ hổng bảo mật chưa từng thấy trước đây (CVE-2021-30116) trong phần mềm đã được tận dụng để đẩy ransomware cho khách hàng của Kaseya.
“Những kẻ tấn công có thể khai thác lỗ hổng zero-day trong sản phẩm VSA để bỏ qua xác thực và thực hiện lệnh thực thi tùy ý”, công ty có trụ sở tại Miami lưu ý trong phân tích sự cố. “Điều này cho phép những kẻ tấn công tận dụng chức năng sản phẩm VSA tiêu chuẩn để triển khai ransomware tới các điểm cuối. Không có bằng chứng nào cho thấy cơ sở mã VSA của Kaseya đã bị sửa đổi một cách độc hại.”
Nói cách khác, mặc dù bản thân việc khai thác zero-day thành công trên phần mềm Kaseya VSA không phải là một cuộc tấn công chuỗi cung ứng, nhưng việc lợi dụng việc khai thác để xâm phạm các nhà cung cấp dịch vụ được quản lý (MSP) và vi phạm khách hàng của họ sẽ được coi là một.
Tuy nhiên, vẫn chưa rõ bằng cách nào mà các tin tặc biết được các lỗ hổng bảo mật .. Chi tiết về những lỗ hổng đó vẫn chưa được công bố rộng rãi.
Theo Giám đốc điều hành Fred Voccola của công ty, từ 800 đến 1.500 doanh nghiệp hạ nguồn trên khắp thế giới đã bị tê liệt bởi cuộc tấn công bằng mã độc tống tiền, hầu hết trong số đó là những mối quan tâm nhỏ, như nha khoa, công ty kiến trúc, trung tâm phẫu thuật thẩm mỹ và thư viện.
Các tin tặc liên kết với nhóm ransomware-as-a-service (RaaS) REvil được liên kết với Nga ban đầu yêu cầu 70 triệu đô la Bitcoin để phát hành một công cụ giải mã để khôi phục tất cả dữ liệu của các doanh nghiệp bị ảnh hưởng, mặc dù họ đã nhanh chóng giảm giá chào bán đến 50 triệu đô la, cho thấy họ sẵn sàng thương lượng các yêu cầu của họ để đổi lại một số tiền thấp hơn.
“REvil ransomware đã được quảng cáo trên các diễn đàn ngầm trong ba năm và nó là một trong những hoạt động RaaS hiệu quả nhất”, các nhà nghiên cứu của Kaspersky nói Thứ hai, nói thêm “băng đảng đã kiếm được hơn 100 triệu đô la từ các hoạt động của nó vào năm 2020.”
Chuỗi tấn công hoạt động bằng cách triển khai đầu tiên một ống nhỏ giọt độc hại thông qua một tập lệnh PowerShell được thực thi thông qua phần mềm VSA của Kaseya.
“Tập lệnh này vô hiệu hóa Microsoft Defender cho các tính năng bảo vệ Điểm cuối và sau đó sử dụng tiện ích certutil.exe để giải mã tệp thực thi độc hại (agent.exe) làm rơi tệp nhị phân Microsoft hợp pháp (MsMpEng.exe, phiên bản cũ hơn của Microsoft Defender) và thư viện độc hại ( mpsvc.dll), là phần mềm tống tiền REvil. Thư viện này sau đó được tải bởi MsMpEng.exe hợp pháp bằng cách sử dụng Kỹ thuật tải bên DLL“, các nhà nghiên cứu nói thêm.
Vụ việc cũng khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra hướng dẫn giảm thiểu, kêu gọi các doanh nghiệp kích hoạt xác thực đa yếu tố, hạn chế giao tiếp với các khả năng giám sát và quản lý từ xa (RMM) với các cặp địa chỉ IP đã biết và đặt các giao diện quản trị. của RMM đằng sau mạng riêng ảo (VPN) hoặc tường lửa trên mạng quản trị chuyên dụng.
