Kaseya supply chain-aanval trof bijna 40 serviceproviders met REvil-ransomware

Kaseya supply chain-aanval trof bijna 40 serviceproviders met REvil-ransomware

De dreigingsactoren achter de REvil-ransomwarering lijken de ransomware te hebben gepusht via een update van Kaseya’s IT-beheersoftware, waardoor bijna 40 klanten over de hele wereld werden besmet, voor het geval een ransomware-aanval in de toeleveringsketen zich verspreidt.

“Vanaf vrijdag 2 juli 2021 rond het middaguur (EST/VS) werd het Kaseya Incident Response Team zich bewust van een mogelijk beveiligingsincident met betrekking tot ons VSA-programma”, aldus CEO Fred Fukulla. Hij zei In een verklaring die eind vrijdag werd gedeeld.

Stack Overflow-teams

Na het incident zei het bedrijf voor IT- en beveiligingsbeheerdiensten dat het onmiddellijk maatregelen had genomen om onze SaaS-servers uit voorzorg af te sluiten, en om zijn lokale klanten op de hoogte te stellen om hun VSA-servers af te sluiten om te voorkomen dat ze worden gehackt.

Kaseya REvil Ransomware-aanval

Fokola zei ook dat het bedrijf de bron van de kwetsbaarheid heeft geïdentificeerd en een patch voorbereidt om aanhoudende problemen te verhelpen. In de tussentijd heeft het bedrijf ook aangegeven dat het van plan is om alle VSA on-premises, SaaS en VSA-hosted servers gesloten te houden totdat het veilig is om de activiteiten te hervatten.

Volgens Sophos Malware Analyst Mark Lowman, een industriebrede supply chain-aanval vijzels Kaseya VSA publiceert een variant van REvil-ransomware In de omgeving van het slachtoffer, met de REvil binaire kant geladen via de valse Windows Defender-applicatie om de bestanden van het slachtoffer te versleutelen.

Datalekken voorkomen

Loman voegde eraan toe dat de aanvalsketen ook pogingen omvat om realtime monitoring van Microsoft Defender via PowerShell uit te schakelen. Huntress Labs zei dat de trojan wordt verspreid in de vorm van “Kaseya VSA Agent Hot-fix” laatste reddit Gedetailleerd hoe de inbreuk werkt.

Kaseya REvil Ransomware-aanval

De onderzoekers merken op dat ze acht Managed Service Providers (MSP’s), bedrijven die IT-diensten leveren aan andere bedrijven, getroffen hebben door de aanval. Huntress Labs zei dat ongeveer 200 bedrijven die door MSP’s worden bediend, zijn geblokkeerd voor delen van zijn netwerk.

Terwijl de ransomware-crisis blijft escaleren, zijn MSP’s een winstgevend doelwit geworden, vooral omdat een succesvolle hack de toegang tot meerdere klanten opent, waardoor ze allemaal tegelijk kwetsbaar zijn.

You May Also Like

About the Author: Tatiana Roelink

'Webgeek. Wannabe-denker. Lezer. Freelance reisevangelist. Liefhebber van popcultuur. Gecertificeerde muziekwetenschapper.'

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *