Ransomware Attack Led av REvil (Sodikinibi) Cyber Gang påverkar 1 500 företag över hela världen

En stor ransomware-attack utförd av det ökända REvil / Sodinikibi-cybergänget vid rodret kan ha påstått ha slagit upp till 200 företag i Amerika och nära 1500 över hela världen. De ryssbundet skurkarna komprometterade ett specifikt programvara för nätverkshantering för att sprida hotet, vilket gjorde det möjligt för dem att nå en myriad av molntjänstleverantörer.

Den felaktiga programvaran i fråga kallas Virtual System Administrator, eller VSA - ett fjärrövervaknings- och hanteringssystem som utvecklats och marknadsförs av Kaseya, ett privat företag, som strävar efter att tillhandahålla effektiva och kostnadseffektiva programvarulösningar till små och medelstora företag över hela världen. . Skadlig programvara började köra ransomware på slutpunkter som hanteras av Kaseyas lokala VAS-paket. Som ett resultat kan den faktiska omfattningen av taktiken visa sig vara betydligt viktigare än säkerhetsforskare hade hoppats på.

Utnyttja populär programvara för en större påverkan

Ransomware-attacker av den kalibern försöker vanligtvis hitta säkerhetsfel i välkända, allmänt använda program och utnyttjar sedan dessa brister för att plantera skadlig programvara längre ner i försörjningskedjan. Detta är dock den första storskaliga ransomware-attacken i leveranskedjan som vi har observerat. Med tanke på det stora antalet företag som använder Kaseyas VSA-paket är det inte helt klart hur stor andel av deras kunder som har blivit offer för attacken hittills. Kaseyas ledning har precis utfärdat ett officiellt meddelande som uppmanar kunder att stänga av alla sina lokala VSA-servrar för att begränsa spridningen av skadlig kod. Medan företaget har hittat mindre än sextio drabbade kunder, har de senare affärsrelationer med många andra företag, vilket gör det totala antalet berörda företag till en uppskattning av 1500 eller omkring.

På kvällen den 4 juli - Tillfällighet eller ett beräknat drag?

Säkerhetsforskare tror att tidpunkten för attacken - fredagen den 2 juli - var avsiktlig med tanke på att de flesta affärsavdelningar, inklusive IT, vanligtvis har minskad bemanning före och under nationella helgdagar. Huntress Labs John Hammond, som upptäckte attacken, har rapporterat åtminstone fyra infekterade hanterade tjänsteleverantörer, var och en av dem tillhandahåller tjänster för IT-infrastruktur till många andra företag. Attacken i försörjningskedjan har en enorm skadepotential eftersom dess yttersta offer är de små och medelstora företagen som är helt beroende av säkerheten hos sina leverantörer. När den senare har drabbats av ett brott sprider den sig som en löpeld bland deras företagskunder längre ner i kedjan.

Patch och förebyggande åtgärder (från och med 6 juli, 12:00 EDT)

Kaseyas tjänstemän har uppmanat berörda kunder att stänga av sina lokala VSA-servrar tills vidare och undvika att klicka på några ransomware-relaterade webbadresser, och lovar att utveckla en säkerhetsuppdatering innan de tar tillbaka servrarna online. Företaget följde efter genom att också sätta sin VSA SaaS-infrastruktur offline. Medan Kaseyas säkerhetsspecialister hoppas kunna återställa SaaS-tjänster till 19:00 EDT idag, planerar de också att genomföra en rad förbättrade säkerhetsåtgärder för att minimera risken för framtida infektioner. Dessa åtgärder sträcker sig från att ställa in:

• Ett oberoende Security Operations Center (SOC) för att övervaka varje VSA-server
• Ytterligare ett innehållsleveransnätverk (CDN) med motsvarande webbapplikationsvägg (WAF) för varje VSA-server
• Ett kompromissdetekteringsverktyg för kunder som är villiga att testa sina lokala VSA-servrar för eventuella överträdelser
• En patch för lokala VSA-kunder (redan utvecklade, för närvarande genomgår testning och validering).

Om allt skulle gå som planerat kommer Kaseyas VSA-kunder att kunna starta sina servrar inom några timmar.