Обзор

Эта статья обсудит информацию, касающуюся атаки вымогательского ПО в цепочке поставок Kaseya VSA, и шаги, предпринятые Cato для обеспечения защиты наших клиентов.

По состоянию на 7 июля 2021 года, все известные IOCs, связанные с атакой вымогательского ПО Kaseya VSA, были реализованы в Cato Threat Intelligence Platform. Любой трафик, соответствующий этому Профилю или подобному, будет активно блокироваться нашей IPS.

Фон

По состоянию на 3 июля 2021 года, несколько организаций и поставщиков управляемых услуг (MSP) стали целями вымогательского ПО REvil (также известного как Sodinokibi). Это было осуществлено в рамке атаки относительно цепочки поставок, направленной на программное обеспечение Kaseya VSA. Эта атака заставила Kaseya призвать клиентов выключить свои VSA серверы для предотвращения их компрометации.

REvil (часто обнаруживается системами защиты от угроз как Ransom.Sodinokibi) представляет собой семейство вымогательского ПО, используемое в целевых атаках. Атакующие попытаются зашифровать все компьютеры в сети жертвы, предотвращая доступ к файлам или данным, если не будет выплачена большая сумма денег.

Воздействие

Как только целевой компьютер инфицирован вымогательским ПО Sodinokibi, административный Доступ отключен, и вредоносный Код начнет шифровать Данные. Это начальный шаг перед требованием «выкупа».

После завершения процесса шифрования обои рабочего стола системы устанавливаются на изображение с надписью "Все ваши файлы зашифрованы" с ссылкой на файл readme, подробно описывающий, как восстановить доступ к машине.  Каждое инфицированное Устройство зашифровано уникальным для данного хоста Закрытым ключом, который используется в процессе расшифровки вымогательского ПО. Эта тактика обеспечивает, что извлечение данных традиционными способами приводит к повреждению приватного ключа и потере данных навсегда.

В случае, если Устройство станет инфицированным вымогательским ПО, Данные не будут доступны (или извлекаемы) с Устройства, если не будет выплачен выкуп.

Что делает Cato?

Аналитики безопасности Cato Networks неустанно работают над тем, чтобы идентифицировать, уточнять и снижать потенциальные уязвимости или угрозы, которым могут подвергаться наши клиенты. 

• После проведения судебного анализа профилей трафика клиентов Cato, мы идентифицировали несколько клиентов, которые в настоящее время используют продукты Kaseya. 
• Наш предварительный анализ не показывает доказательств инфицирования в нашей клиентской базе. Это основано на Индикаторах Компрометации (IOC), опубликованных в открытых источниках и связанных с атакой).
• Cato Networks добавило все IOC, связанные с этой атакой в нашу Платформу Интеллекта Угроз. Это обеспечит, что любой Трафик такого типа будет блокироваться нашей IPS. 
• Рекомендуется, чтобы любой клиент, использующий продукты Kaseya, следовал продолжающимся консультациям Kaseya.

Эта ситуация в настоящее время развивается в мире ИТ, и Cato Networks активно следит и расследует ситуацию для обеспечения защиты наших клиентов.