Kaseya - масштабная атака

[walter_brian]

Атака на Kaseya VSA цепочку поставок затронула более 200 компаний. VSA был заражен Revil вымогателем


Source: https://www.bleepingcomputer[.]com/...its-200-companies-in-msp-supply-chain-attack/

 

[Unknown]

С днём независимости.

 

[KAJIT]

То самое чувство, когда кто то обидел, мексиканскую поломойку в годах, а порты не запаянны.
Клава не всегда = клава. Кланяюсь господа, и апладирую стоя. Браво.

зы Unknown - пора уже Вам парни донатить Илону или другим ракетчикам, тесновато уже на этой планете стало. Да и достнанут ведь ранно или поздно, надо менять локацию( жаль терять таких парней, это жеж какая потря для цеха )

ты же ведь ху* остановишься, пока амеры тебя не разху*рят авиаударом, как евреи --- >> hamas-base.

Палестинский подход кончается одинакого.

Однозначно - RESPECT. 100\100

 

[captain1337]

Happy day, no dependence.

Golden Teeth .....

 

[Topstrelok]

С днём независимости.

Из за такого массового лока одним билдом стоит только одной жертве заплатить выкуп и этого будет достаточно для расшифровки остальных жертв))

 

[Unknown]

Из за такого массового лока одним билдом стоит только одной жертве заплатить выкуп и этого будет достаточно для расшифровки остальных жертв))

Try.

 

[slack25]

?

 

[corax]

Из за такого массового лока одним билдом стоит только одной жертве заплатить выкуп и этого будет достаточно для расшифровки остальных жертв))

В локерах симметричные ключи генерируются при каждом запуске программы.

 

[flantod]

Ранее в этом месяце клиенты поставщика MSP-решений Kaseya пострадали от масштабной атаки шифровальщика REvil (Sodinokibi). Хакеры использовали 0-day уязвимости в продукте компании (VSA) и атаковали клиентов Kaseya.

Проблема заключается в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.

Kaseya VSA — это решение для удаленного управления и мониторинга, которое обычно используется MSP-провайдерами для поддержки своих клиентов. Компания может развернуть VSA локально, используя собственные серверы, а может использовать облачное SaaS-решение Kaseya.

Ранее Голландский институт раскрытия уязвимостей (DIVD) сообщал, что выявил семь уязвимостей в продуктах Kaseya:

• CVE-2021-30116: утечка учетных данных и проблема в бизнес-логике, патч будет включен в 9.5.7;
• CVE-2021-30117: SQL-инъекция, исправлена патчем от 8 мая 2021 года;
• CVE-2021-30118: RCE-уязвимость, устранена 10 апреля 2021 года;
• CVE-2021-30119: XSS-уязвимость, патч будет включен в 9.5.7;
• CVE-2021-30120: обход двухфакторной аутентификации, патч будет включен в 9.5.7;
• CVE-2021-30121: уязвимость типа local file inclusion, исправлена патчем от 8 мая 2021 года;
• CVE-2021-30201: уязвимость типа XML External Entity, исправлена патчем от 8 мая 2021 года.

Как можно понять из списка выше, Kaseya уже внедрила исправления для большинства уязвимостей в SaaS-версию VSA, но не успела завершить выпуск патчей для локальной версии продукта, чем и воспользовались операторы REvil. Доподлинно неизвестно, какие уязвимости эксплуатировали хакеры, но предполагается, что это была одна из уязвимостей CVE-2021-30116, CVE-2021-30119 и CVE-2021-30120, или их сочетание.


После атаки представители Kaseya призывал клиентов отключить VSA до тех пор, пока не будут готовы исправления. Теперь, спустя почти десять дней после инцидента, компания наконец выпустила обновленную версию VSA 9.5.7a (9.5.7.2994), в которой устранила последние баги, использованные REvil (CVE-2021-30116, CVE-2021-30119 и CVE-2021-30120). Также в этой версии были исправлены другие проблемы:

• исправлена ошибка, из-за которой для файлов cookie User Portal не использовался флаг безопасности;
• исправлена проблема, из-за которой некоторые ответы API содержали хэши паролей, потенциально подвергая любые слабые пароли брутфорс-атакам;
• исправлена уязвимость, которая допускала несанкционированную загрузку файлов на сервер VSA.

В компании подчеркивают, что локальные серверы VSA ни в коем случае не должны быть доступны из интернета при установке исправления и до этого. Также разработчики Kaseya призывают клиентов использовать инструмент Compromise Detection Tool (набор PowerShell-скриптов, который помогает определить, был ли взломан VSA-сервер или эндпоинты).

Source: https://xakep.ru/2021/07/12/kaseya-patches/

 

[J4RV15_97]

вижу много сообщений о том, что все сайты REVIL не работают

 

[monochrome76]

вижу много сообщений о том, что все сайты REVIL не работают

и саппорты в оффе

 

[LockBitSupp]

вижу много сообщений о том, что все сайты REVIL не работают

Неожиданно

 

[J4RV15_97]

Неожиданно

Я опубликовал статью