Giữa khối lượng lớn cuộc tấn công ransomware chuỗi cung ứng đã kích hoạt một chuỗi lây nhiễm làm ảnh hưởng đến hàng nghìn doanh nghiệp vào thứ Sáu, chi tiết mới đã xuất hiện về cách băng nhóm tội phạm mạng REvil khét tiếng có liên hệ với Nga có thể đã thực hiện vụ hack chưa từng có.
Viện công bố lỗ hổng bảo mật của Hà Lan (DIVD) vào Chủ nhật tiết lộ nó đã cảnh báo Kaseya về một số lỗ hổng zero-day trong phần mềm VSA của nó (CVE-2021-30116) mà nó cho biết đang bị khai thác như một đường dẫn để triển khai ransomware. Tổ chức phi lợi nhuận cho biết công ty đang trong quá trình giải quyết các vấn đề như một phần của việc tiết lộ lỗ hổng phối hợp khi cuộc tấn công ngày 2 tháng 7 diễn ra.
Chi tiết cụ thể hơn về các sai sót không được chia sẻ, nhưng chủ tịch DIVD Victor Gevers gợi ý rằng zero-days là tầm thường để khai thác. Ít nhất 1.000 doanh nghiệp được cho là đã bị ảnh hưởng bởi các cuộc tấn công, với các nạn nhân được xác định ở ít nhất 17 quốc gia, bao gồm Anh, Nam Phi, Canada, Argentina, Mexico, Indonesia, New Zealand và Kenya, theo ESET.
Kaseya VSA là giải pháp quản lý CNTT và giám sát từ xa dựa trên đám mây dành cho các nhà cung cấp dịch vụ được quản lý (MSP), cung cấp bảng điều khiển tập trung để giám sát và quản lý các điểm cuối, tự động hóa các quy trình CNTT, triển khai các bản vá bảo mật và kiểm soát quyền truy cập thông qua xác thực hai yếu tố.
REvil Đòi 70 triệu đô la tiền chuộc
Hoạt động kể từ tháng 4 năm 2019, REvil (hay còn gọi là Sodinokibi) được biết đến nhiều nhất với tống tiền 11 triệu đô la từ công ty xử lý thịt JBS vào đầu tháng trước, với mảng kinh doanh dịch vụ ransomware chiếm khoảng 4,6% các cuộc tấn công vào khu vực công và tư nhân trong quý đầu tiên của năm 2021.
Nhóm hiện đang yêu cầu khoản tiền chuộc 70 triệu đô la để xuất bản một trình giải mã đa năng có thể mở khóa tất cả các hệ thống đã bị tê liệt bởi ransomware mã hóa tệp.
“Vào thứ Sáu (02.07.2021), chúng tôi đã phát động một cuộc tấn công vào các nhà cung cấp MSP. Hơn một triệu hệ thống đã bị nhiễm. Nếu ai đó muốn thương lượng về trình giải mã phổ quát – giá của chúng tôi là 70.000.000 đô la BTC và chúng tôi sẽ công bố công khai trình giải mã giải mã các tệp của tất cả nạn nhân, vì vậy mọi người sẽ có thể phục hồi sau cuộc tấn công trong vòng chưa đầy một giờ “, nhóm REvil đăng trên trang web rò rỉ dữ liệu dark web của họ.
Kaseya, đã tranh thủ sự giúp đỡ của FireEye để giúp điều tra vụ việc, nói nó dự định “đưa các trung tâm dữ liệu SaaS của chúng tôi trở lại trực tuyến trên cơ sở từng cái một bắt đầu với các trung tâm dữ liệu ở EU, Vương quốc Anh và Châu Á – Thái Bình Dương, sau đó là các trung tâm dữ liệu Bắc Mỹ của chúng tôi.”
Các máy chủ VSA tại chỗ sẽ yêu cầu cài đặt bản vá trước khi khởi động lại, công ty lưu ý, cho biết thêm rằng nó đang trong quá trình chuẩn bị sửa lỗi để phát hành vào ngày 5 tháng 7.
Tư vấn các vấn đề của CISA
Sự phát triển đã thúc đẩy Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra một lời khuyên, thúc giục khách hàng tải xuống Công cụ phát hiện thỏa hiệp mà Kaseya đã cung cấp để xác định bất kỳ dấu hiệu xâm nhập nào (IoC), cho phép xác thực đa yếu tố, giới hạn giao tiếp với các khả năng giám sát và quản lý từ xa (RMM) đối với các cặp địa chỉ IP đã biết và Đặt các giao diện quản trị của RMM đằng sau một mạng riêng ảo ( VPN) hoặc tường lửa trên mạng quản trị chuyên dụng.
“Ít hơn mười tổ chức [across our customer base] Barry Hensley, Giám đốc Tình báo Mối đe dọa tại Secureworks, nói với The Hacker News qua email.
“Chúng tôi chưa thấy bằng chứng về việc các tác nhân đe dọa cố gắng di chuyển theo chiều ngang hoặc lan truyền ransomware thông qua các mạng bị xâm nhập. Điều đó có nghĩa là các tổ chức có triển khai Kaseya VSA rộng rãi có khả năng bị ảnh hưởng nhiều hơn so với các tổ chức chỉ chạy nó trên một hoặc hai máy chủ. “
Bằng cách thỏa hiệp với một nhà cung cấp phần mềm để nhắm mục tiêu đến các MSP, họ cung cấp cơ sở hạ tầng hoặc bảo trì thiết bị làm trung tâm và hỗ trợ cho các doanh nghiệp vừa và nhỏ khác, sự phát triển một lần nữa nhấn mạnh tầm quan trọng của việc đảm bảo chuỗi cung ứng phần mềm, đồng thời cũng làm nổi bật cách các tác nhân thù địch tiếp tục thúc đẩy động cơ tài chính của họ bằng cách kết hợp các mối đe dọa song sinh của các cuộc tấn công chuỗi cung ứng và ransomware tấn công hàng trăm nạn nhân cùng một lúc.
Kevin Reed, giám đốc an ninh thông tin tại Acronis cho biết: “MSP là những mục tiêu có giá trị cao – chúng có bề mặt tấn công lớn, khiến chúng trở thành mục tiêu ngon lành cho tội phạm mạng”. “Một MSP có thể quản lý CNTT cho hàng chục đến một trăm công ty: thay vì làm ảnh hưởng đến 100 công ty khác nhau, bọn tội phạm chỉ cần hack một MSP để có quyền truy cập vào tất cả.”
