概要

この記事では、Kaseya VSA サプライチェーンランサムウェア攻撃に関する情報と、顧客を保護するためにCatoが講じた措置について説明します。

2021年7月7日現在、Kaseya VSA ランサムウェア攻撃に関連するすべての既知のIOCがCato 脅威インテリジェンスプラットフォームに実装されています。 このプロファイルまたは類似のものに一致するすべてのトラフィックは、当社の侵入防止システム(IPS)によって積極的にブロックされます。

背景

2021年7月3日現在、複数の組織とマネージドサービスプロバイダー（MSP）がREvil（別名Sodinokibi）ランサムウェアの標的となっています。 これはKaseya VSAソフトウェアに焦点を当てたサプライチェーン攻撃で実行されました。 この攻撃により、KaseyaはVSAサーバーをシャットダウンするよう顧客に要請しています。

REvil（脅威保護システムによってRansom.Sodinokibiとして頻繁に検出される）は、標的型攻撃で使用されるランサムウェアの一群です。 攻撃者は被害者のネットワーク上の全てのコンピュータを暗号化しようと試み、大金を支払わない限りファイルやデータへのアクセスを防ぎます。

影響

ターゲットコンピュータがSodinokibiランサムウェアに感染すると、管理アクセスが無効化され、悪意のあるコードがデータを暗号化し始めます。 これは「ランサム」が要求される前の初期段階です。

暗号化プロセスが完了すると、システムのデスクトップ壁紙が「あなたのファイルは全て暗号化されています」という画像に設定され、マシンへのアクセスを復旧する方法を詳述するreadmeファイルへのリンクが表示されます。  感染した各マシンは、そのホストに固有な秘密鍵で暗号化されており、この鍵はランサムウェアの復号プロセスで使用されます。 この戦術は、従来の方法でデータを取得すると秘密鍵の破損と永久的なデータ損失を引き起こすことを保証します。

このランサムウェアにデバイスが感染した場合、ランサムが支払われない限りデータはデバイスからアクセス（または抽出）できません。

Catoは何をしていますか？

Cato Networksのセキュリティアナリストは、お客様がこの脅威にさらされる可能性のある脆弱性や露出を特定し、特定し、軽減するために絶え間なく働いています。 

• Cato顧客のトラフィックプロファイルのフォレンジック分析を使用した後、現時点でKaseya製品を使用している複数の顧客を特定しました。 
• 私たちの予備分析では、顧客基盤に感染の証拠はありません。 これは、攻撃に関連する公表された侵害指標（IOC）に基づいています）。
• Cato Networksは、この攻撃に関連するすべてのIOCを脅威インテリジェンスプラットフォームに追加しました。 これにより、このタイプのトラフィックは当社のIPSによってブロックされることを保証します。 
• Kaseya製品を使用している顧客は、Kaseyaの継続アドバイザリーに従うように推奨されます

この状況は現在ITの状況内で進行中であり、Cato Networksは顧客が保護されたままであることを保証するために、積極的に状況の監視と調査を行っています。