Ransomware-angreb ledet af REvil (Sodikinibi) Cyber Gang påvirker 1.500 virksomheder over hele verden

revil ransomware angriber flere virksomheder Et stort ransomware-angreb udført af den berygtede REvil / Sodinikibi-cyberbande ved roret kan have angiveligt ramt op til 200 virksomheder i Amerika og tæt på 1500 på verdensplan. De russisk-bundne skurke kompromitterede en bestemt netværksadministrationssoftwarepakke for at sprede truslen, hvilket gjorde det muligt for dem at nå et utal af cloud-tjenesteudbydere.

Den pågældende fejlbehæftede software kaldes Virtual System Administrator eller VSA - et Remote Monitoring & Management-system udviklet og markedsført af Kaseya, et privat firma, der stræber efter at levere effektive og omkostningseffektive softwareløsninger til små og mellemstore virksomheder over hele kloden. . Malwaren begyndte at udføre ransomware på slutpunkter administreret af Kaseyas lokale VAS-pakke. Som et resultat kan den faktiske taktikstørrelse vise sig at være meget vigtigere end sikkerhedsforskere havde håbet.

Udnyttelse af populær software til en større indvirkning

Ransomware-angreb af den kaliber forsøger normalt at finde sikkerhedsfejl i velkendte, meget anvendte softwareprogrammer og derefter udnytte disse fejl til at plante malware længere nede i forsyningskæden. Dette er dog det første store ransomware-angreb i forsyningskæden, vi har observeret. I betragtning af det store antal virksomheder, der bruger Kaseyas VSA-pakke, er det ikke helt klart, hvor stor en procentdel af deres kunder, der hidtil er blevet offer for angrebet. Kaseyas ledelse har netop udsendt en officiel meddelelse, der opfordrer klienter til at lukke alle deres lokale VSA-servere for at begrænse spredningen af malware. Mens virksomheden har fundet mindre end tres berørte kunder, har sidstnævnte forretningsforbindelser med mange andre virksomheder på linjen, hvilket bringer det samlede antal berørte virksomheder til et skøn på 1500 eller deromkring.

Om aftenen den 4. juli - Tilfældighed eller et beregnet træk?

Sikkerhedsforskere mener, at tidspunktet for angrebet - fredag den 2. juli - var forsætligt i betragtning af at de fleste forretningsafdelinger, herunder it, typisk har nedsat bemanding før og under nationale helligdage. Huntress Labs 'John Hammond, der opdagede angrebet, har rapporteret mindst fire inficerede udbydere af administrerede tjenester, der hver især leverer it-infrastrukturhostingtjenester til mange andre virksomheder. Angrebets forsyningskædekarakter har et enormt skadepotentiale, fordi dets ultimative ofre er de små og mellemstore virksomheder, der er helt afhængige af deres leverandørers sikkerhed. Når sidstnævnte har lidt et brud, spreder det sig som en løbeild blandt deres forretningskunder længere nede i kæden.

Patch og forebyggende foranstaltninger (fra 6. juli kl. 12:00 EDT)

Kaseyas embedsmænd har rådet de berørte kunder til at lukke deres lokale VSA-servere indtil videre og undgå at klikke på eventuelle ransomware-relaterede webadresser og lover at udvikle en sikkerhedsopdatering, før serverne bringes tilbage online. Virksomheden fulgte trop ved også at sætte sin VSA SaaS-infrastruktur offline. Mens Kaseyas sikkerhedsspecialister håber at gendanne SaaS-tjenester inden kl. 19.00 EDT i dag, planlægger de også at gennemføre en række forbedrede sikkerhedsforanstaltninger for at minimere risikoen for fremtidige infektioner. Disse foranstaltninger spænder fra opsætning:

  • Et uafhængigt Security Operations Center (SOC) til overvågning af hver VSA-server
  • Et ekstra Content Delivery Network (CDN) med en tilsvarende Web Application Firewall (WAF) til hver VSA-server
  • Et kompromisdetekteringsværktøj til kunder, der er villige til at teste deres lokale VSA-servere for eventuelle overtrædelser
  • Et program til lokale VSA-kunder (allerede udviklet, gennemgår i øjeblikket test og validering).

Skulle alt gå som planlagt, vil Kaseyas VSA-kunder kunne få deres servere i gang inden for de næste par timer.