अवलोकन

इस लेख में Kaseya VSA आपूर्ति-श्रृंखला रैन्समवेयर हमले से संबंधित जानकारी और यह सुनिश्चित करने के लिए Cato द्वारा उठाए गए कदमों की चर्चा की जाएगी कि हमारे ग्राहक सुरक्षित रहें।

7 जुलाई 2021 तक, Kaseya VSA रैंसमवेयर हमले से संबंधित सभी ज्ञात आईओसी Cato Threat Intelligence प्लेटफ़ॉर्म के भीतर लागू कर दिए गए हैं। कोई भी ट्रैफ़िक जो इस प्रोफाइल (या ऐसे ही) के साथ मेल खाता है, उसे हमारे IPS द्वारा सक्रिय रूप से अवरुद्ध किया जाएगा।

पृष्ठभूमि

3 जुलाई 2021 तक, कई संगठन और प्रबंधित सेवा प्रदाता (MSP) REvil (उर्फ Sodinokibi) रैंसमवेयर द्वारा लक्षित किए गए हैं। यह Kaseya VSA सॉफ़्टवेयर पर केंद्रित एक आपूर्ति शृंखला हमले में किया गया है। इस हमले ने Kaseya को ग्राहकों को अपने VSA सर्वर बंद करने के लिए प्रेरित किया है ताकि उन्हें समझौता से बचाया जा सके।

REvil (आमतौर पर खतरा सुरक्षा प्रणालियों द्वारा Ransom.Sodinokibi के रूप में पता लगाया गया) लक्षित हमलों में उपयोग किए जाने वाले रैन्समवेयर का एक परिवार है। हमलावर पीड़ित के नेटवर्क पर सभी कंप्यूटरों को एन्क्रिप्ट करने का प्रयास करेंगे, जब तक कि बड़ी राशि का भुगतान नहीं किया जाता है, फ़ाइलों या डेटा तक पहुंच को रोकेंगे।

प्रभाव

एक बार लक्ष्य कंप्यूटर Sodinokibi रैन्समवेयर से संक्रमित हो जाने पर, प्रशासनिक पहुँच अक्षम हो जाती है और हानिकारक कोड डेटा को एन्क्रिप्ट करना शुरू कर देता है। यह 'रैनसम' की मांग किए जाने से पहले का प्रारंभिक कदम है।

एक बार एन्क्रिप्शन प्रक्रिया पूर्ण हो जाने के बाद, सिस्टम की डेस्कटॉप वॉलपेपर को "सभी आपकी फाइलें एन्क्रिप्टेड हैं" कहते हुए एक तस्वीर पर सेट कर दिया जाता है, जिसमें मशीन तक पहुंच को पुनर्स्थापित करने की प्रक्रिया को वर्णित करने वाली एक readme फाइल का लिंक होता है।  प्रत्येक संक्रमित मशीन को उस होस्ट के लिए अद्वितीय निजी कुंजी के साथ एन्क्रिप्ट किया जाता है, जिसका उपयोग रैन्समवेयर डिक्रिप्शन प्रक्रिया में किया जाता है। यह युक्ति सुनिश्चित करती है कि पारंपरिक तरीकों का उपयोग करके डेटा पुनःप्राप्ति में निजी कुंजी का भ्रष्टाचार और स्थायी डेटा हानि का तत्व शामिल है।

यदि कोई मशीन इस रैन्समवेयर से संक्रमित हो जाती है, तो डेटा उपकरण से तब तक अप्राप्य (या निष्कर्षण योग्य) नहीं होगा जब तक कि एक फिरौती का भुगतान नहीं किया जाता।

Kato क्या कर रहा है?

Cato Networks के सुरक्षा विश्लेषक किसी भी संभावित नुक़सान या खतरा से हमारे ग्राहकों को बचाने के प्रयास में, लगातार उन्हें पहचानने के लिए कार्य कर रहे हैं। 

• Cato ग्राहक ट्रैफ़िक प्रोफाइल्स के फोरेंसिक विश्लेषण का उपयोग करने के बाद, हमने कई ग्राहकों की पहचान की है जो वर्तमान में Kaseya उत्पादों का उपयोग करते हैं। 
• हमारे प्रारंभिक विश्लेषण में हमारे ग्राहक बेस में संक्रमण का कोई सबूत नहीं मिला है। यह हमले से संबंधित समस्याग्रस्त संकेतकों (IOC) पर आधारित है जो जंगली में प्रकाशित किए गए हैं।
• Cato Networks ने इस हमले से संबंधित सभी IOC हमारे Threat Intelligence Platform में जोड़ दिए हैं। यह सुनिश्चित करेगा कि इस प्रकार के सभी ट्रैफ़िक को हमारे IPS द्वारा अवरुद्ध किया जाएगा। 
• यह सिफारिश की जाती है कि Kaseya उत्पादों का उपयोग करने वाला कोई भी ग्राहक Kaseya की अनवरत सलाह को पालन करें।

यह स्थिति वर्तमान में आईटी परिदृश्य के भीतर विकसित हो रही है, और Cato Networks यह सुनिश्चित करने के लिए स्थिति की सक्रिय निगरानी और जांच कर रही है कि हमारे ग्राहक सुरक्षित रहें।