الفدية: هجوم سلسلة توريد Kaseya VSA

نظرة عامة

ستناقش هذه المقالة المعلومات المتعلقة بهجوم الفدية على سلسلة توريد Kaseya VSA، والخطوات التي اتخذتها Cato لضمان بقاء عملائنا محميين.

اعتبارًا من 7 يوليو 2021، تم تنفيذ جميع مؤشرات الضعف المعروفة المتعلقة بهجوم الفدية Kaseya VSA ضمن منصة المعلومات التهديدية من Cato. أي حركة مرور تتطابق مع هذا الملف الشخصي (أو مشابه) سيتم حظرها بنشاط بواسطة IPS الخاص بنا.

الخلفية

اعتبارًا من 3 يوليو 2021، تم استهداف العديد من المنظمات ومقدمي الخدمات المدارة (MSPs) بواسطة برنامج الفدية REvil (المعروف أيضًا باسم Sodinokibi). تم تنفيذ ذلك في هجوم سلسلة توريد يركز على برنامج Kaseya VSA. أدى هذا الهجوم إلى حث Kaseya العملاء على إيقاف تشغيل خوادم VSA الخاصة بهم لمنع تعرضهم للاختراق.

REvil (غالبًا ما يتم اكتشافه بواسطة أنظمة الحماية من التهديدات كـ Ransom.Sodinokibi) هو عائلة من برامج الفدية المستخدمة في الهجمات المستهدفة. سيحاول المهاجمون تشفير جميع أجهزة الكمبيوتر في شبكة الضحية، مما يمنع الوصول إلى الملفات أو البيانات ما لم يتم دفع مبلغ كبير من المال.

التأثير

بمجرد أن يتم إصابة جهاز الكمبيوتر المستهدف ببرنامج الفدية Sodinokibi، يتم تعطيل الوصول الإداري ويبدأ الكود الضار في تشفير البيانات. هذه هي الخطوة الأولية قبل المطالبة بالفدية.

بمجرد اكتمال عملية التشفير، يتم ضبط خلفية سطح مكتب النظام على صورة تفيد بأن "جميع ملفاتك مشفرة"، مع رابط لملف تعليمات يوضح كيفية استعادة الوصول إلى الجهاز.  يتم تشفير كل جهاز مصاب باستخدام مفتاح خاص فريد لذلك المضيف، ويستخدم في عملية فك تشفير برنامج الفدية. تضمن هذه التكتيكة أن استرجاع البيانات باستخدام الوسائل التقليدية يتكبد عنصرًا من تلف المفتاح الخاص وفقد دائم للبيانات.

في حالة إصابة الجهاز بهذه البرمجيات الخبيثة، لن تكون البيانات قابلة للوصول (أو الاستخراج) من الجهاز إلا إذا تم دفع الفدية.

 

ماذا تفعل Cato؟

يعمل محللو الأمن في Cato Networks بلا كلل لتحديد وتشخيص وتخفيف أي ثغرات أو تعرض محتمل قد يواجهه عملاؤنا من هذا التهديد. 

  • بعد استخدام تحليل جنائي لملفات حركة مرور العملاء في Cato، حددنا العديد من العملاء الذين يستخدمون حاليًا منتجات Kaseya. 
  • يظهر تحليلنا الأولي عدم وجود دليل على العدوى في قاعدة عملائنا. ويستند ذلك إلى مؤشرات الضعف المنشورة التي تتعلق بالهجوم).
  • أضافت Cato Networks جميع مؤشرات الضعف المتعلقة بهذا الهجوم إلى منصة المعلومات التهديدية لدينا. سيضمن هذا أن أي حركة مرور من هذا النوع سيتم حظرها بواسطة IPS الخاص بنا. 
  • يوصى بأن يتبع أي عميل يستخدم منتجات Kaseya الاستشارات المستمرة الخاصة بها

يتطور هذا الوضع حاليًا داخل مشهد تكنولوجيا المعلومات، وتتابع Cato Networks التحقيق في الوضع لضمان بقاء عملائنا محميين.

هل كان هذا المقال مفيداً؟

2 من 2 وجدوا هذا مفيداً

لا توجد تعليقات