حملات به سرورهای Kaseya در کمتر از 2 ساعت منجر به Ransomware شد

مدتی بعد از ساعت 14:30 UTC جمعه ، 2 ژوئیه ، ترافیک شبکه با ترکیب سه آسیب پذیری باعث به خطر افتادن تعداد زیادی از سرورهای Kaseya Virtual System Administrator (VSA) متصل به اینترنت توسط ارائه دهندگان خدمات مدیریت شده می شود. کد مهاجمان با زمان خاصی هماهنگ شده و سپس به خواب زمستانی می روند.

طبق تحلیلی که توسط Huntress Labs انجام شد ، در ساعت 4:30 بعد از ظهر به وقت محلی ، در همان ثانیه ، سرورهای خطرناک بیدار شده و یک اسکریپت فرمان اجرا کردند که انواع کنترل های امنیتی را غیرفعال کرده و بارهای مخرب را به هر سیستمی که توسط آن سرورها مدیریت می شود ، ارسال می کند. . در حالی که شرکت های امنیتی هنوز در حال غربالگری داده ها هستند ، مهندسی معکوس نشان داده است که حمله – از اولین بسته های بهره برداری از ده ها سرور VSA ، تا استقرار باج افزار در نقاط انتهایی صدها تا هزاران مشتری MSP – کمتر از دو ساعت به طول انجامیده است.

جان هاموند ، محقق ارشد تهدید آزمایشگاه های Huntress ، می گوید: سرعت اتوماسیون به پنجره ارائه دهندگان خدمات مدیریت شده و مشتریان آنها فقط دریچه بسیار محدودی را می دهد تا بتواند حملات را شناسایی كرده و آنها را مسدود كند. او می گوید شرکت ها برای اینکه تغییرات را بدست آورند باید مرتباً نظارت و هشدارها را انجام دهند.

هاموند می گوید: “متأسفانه ، این نوع ثبت و شناسایی بیش فعالی نادر است – ارائه دهندگان خدمات مدیریت شده اغلب منابعی ندارند ، چه رسد به اینکه پرسنل به طور مستمر اجزای عظیم نرم افزار و پشته خود را کنترل کنند.” “با این اوصاف ، هیچوقت کارایی و پتانسیل شکارچیان تهدیدات ناشی از انسان چیزی نیست که از این معادله خارج شود.”

چرخش سریع این حمله ، جدول زمانی فشرده شده مدافعان را برای پاسخ دادن به حملات خودکار تأکید می کند. گروه REvil و شرکتهای وابسته به آن ، که مسئول این حمله هستند ، سرورهای VSA متصل به اینترنت را اسکن کرده و پس از یافتن ، بهره برداری اولیه را ارسال کردند که سه آسیب پذیری را زنجیر می کرد.

با توجه به گزارش هایی که از آزمایشگاه های Huntress از MSP های آسیب دیده جمع آوری شده است ، در جمعه ، 2 ژوئیه در ساعت 14:48 UTC ، اولین بسته ها شروع به ضربه زدن به سرورهای Kaseya VSA می کنند. این نقص های سو included استفاده شده شامل بای پس احراز هویت ، بارگذاری پرونده خودسرانه و تزریق دستور بود. این فعالیت ادامه داشت ، تا اینکه فرایندهای خواب زمستانی در ساعت 16:30 UTC مجددا فعال شدند و شرکت های ضد ویروس ناگهان شروع به دیدن خوشه ها در شناسایی بار باج افزار کردند.

در یک ساعت پس از فعال شدن حمله ، بین ساعت 16:30 تا 17:30 UTC ، یک شرکت ضد ویروس Sophos جهش گسترده ای در فعالیت باج افزار مسدود شده در نقاط انتهایی خود مشاهده کرد.

شان گالاگر ، محقق ارشد تهدید در Sophos ، می گوید: “ما بلافاصله شروع به مشاهده دورسنجی كردیم زیرا سیستم های سرویس گیرنده ضربه می خوردند.” “تله متری در یک زمان ، در یک پنجره زمانی بسیار کوچک ، چرخید.” وی می گوید ، پس از آن ، حمله بیشتر ساكت شد.

از آنجا که Kaseya VSA سیستم های دیگر را مدیریت می کند ، این نرم افزار نه تنها از امتیازات بالاتری برخوردار است – معمولاً از امتیازات سرپرست – در سیستم های دیگر برخوردار است بلکه اغلب موارد استثنایی را نیز در نظر گرفته است تا نرم افزار آنتی ویروس فعالیت خود را به عنوان مخرب نشان ندهد. اسکریپت خط فرمان که در ساعت 16:30 UTC روز جمعه اجرا شد ، یک اسکریپت PowerShell اجرا کرد ، بسیاری از اقدامات امنیتی را غیرفعال کرد ، گواهی ها را بارگیری کرد و یک برنامه اجرایی مخرب را که به عنوان یک مجوز ، agent.crt مبدل شده بود ، اجرا کرد.

توهین نهایی: مهاجمان در نسخه منسوخ شده برنامه آنتی ویروس مایکروسافت ، Defender ، برای بارگذاری در آخرین بار باج افزار نصب کردند.

Sophos ‘Gallagher می گوید: “این از یک محصول ضد ویروس برای بارگذاری ویروس استفاده می کند.” “این یک نسخه منسوخ از Windows Defender است که مستعد حملات جانبی است … و DLL مخربی را نصب می کند [dynamic linked library] که همان DLL ای است که Windows Defender بارگیری می کند. “از آنجا که این قطعه ای از کد است که توسط مایکروسافت امضا شده است ، از برخی از محافظت در برابر بدافزار جلوگیری می کند زیرا یک کد کد قانونی به نظر می رسد ، حتی بیش از 6 سال از عمر آن می گذرد. .

م Instituteسسه هلندی برای آشکار سازی آسیب پذیری (DIVD) ، که حداقل یکی از آسیب پذیری های مورد استفاده در حمله را پیدا کرده بود ، در 7 ژوئیه اطلاعات بیشتری را درباره این مسائل منتشر کرد. این شرکت در حالی که امنیت خود را افزایش داده و تولید وصله ها را آغاز کرد

به طور کلی ، کسایا “سستی” نکرده و هر آنچه DIVD از آنها انتظار داشت را انجام داده است ، می گوید Victor Geverrs ، رئیس DIVD. وی می گوید ، این شرکت فرایندهای امنیتی در ماه آوریل را برای رسیدگی به الزامات وصله گذاری و پاسخ به حوادث انجام نداد ، اما به سرعت افزایش یافت.

او می گوید: “اگر از طریق جدول زمانی برگردید ، چند روز پس از اطلاع رسانی ، آنها می دانستند كه باید افراد امنیتی بیشتری استخدام كنند و این كار را انجام دادند.” “این نشان داد که وضعیت امنیتی آنها هنوز در حد مطلوبی نیست.”

روز دوشنبه ، Kaseya تخمین زد كه كمتر از 60 مشتری ، هر كدام از نسخه داخلی سرور VSA استفاده می كنند ، تحت تأثیر قرار گرفتند و كمتر از 1500 مشاغل پایین دستی تحت تأثیر قرار گرفتند. در مصاحبه ها ، کارشناسان امنیتی انتظار داشتند که این تعداد افزایش یابد.

از ساعت 8 صبح به وقت ET در 7 ژوئیه ، Kaseya همچنان در وصله بندی این مسئله با مشکل روبرو شد و ارائه راه حل برای مشتریان داخلی را به تأخیر انداخت.

اعداد “بیش از حد”؟

به گفته کارشناسان امنیتی ، در حالی که مهاجمان ادعا می کنند بیش از یک میلیون نقطه پایان توسط باج افزار رمزگذاری شده است ، اما این تعداد احتمالاً بیش از حد زیاد است. با این حال ، بسیاری از شرکت ها به دلیل حمله دچار اختلال شده اند. به گزارش رویترز ، زنجیره مواد غذایی سوئدی Coop مجبور شد روز صدها فروشگاه را به دلیل حمله باج افزار تعطیل کند و چندین مدرسه در نیوزیلند تحت تأثیر قرار گرفتند.

دولت بایدن در روز سه شنبه اظهار داشت كه این حمله حداقل خسارت به مشاغل آمریكایی وارد كرده است ، اما قصد دارد فشار فزاینده ای به روسیه وارد كند تا مهاجمانی را كه از داخل مرزهای آن عمل می كنند ، مهار كند. به گزارش واشنگتن پست ، دبیر مطبوعاتی کاخ سفید روز سه شنبه گفت: “اگر دولت روسیه نتواند اقدامی علیه بازیگران جنایتکار مقیم روسیه انجام دهد یا نخواهد ، ما اقدام خواهیم کرد یا حق اقدام برای خود را برای خود محفوظ می داریم.”

حمله می توانست بدتر باشد. طبق داده های DIVD ، در آغاز ، حدود 2200 سرور آسیب پذیر VSA به اینترنت متصل شدند. کوری ناچراینر ، افسر ارشد امنیتی در WatchGuard Technologies ، می گوید بدون وصله ای از Kaseya ، یا حتی یک اعلان یا راه حل ، MSP های میزبان آن سرورها برای دفاع در برابر حمله تحت فشار قرار خواهند گرفت.

وی می گوید: “در بسیاری از موارد ، هیچ گونه محافظت واقعی در برابر سوits استفاده های شبانه روزی شبکه وجود ندارد ، که ممکن است افراد را نسبت به شاخص های حمله تا قبل از آن واقعیت نابینا کند.” “همانطور که گفته شد ، راه حل های امنیتی وجود دارد که باج افزار درگیر را شناسایی کرده و می تواند از منظر نقطه انتهایی فردی از آن جلوگیری کند.”

اگرچه ممکن است استفاده از یک آسیب پذیری ناشناخته قبلی و حمله سریع و خودکار منجر به این شود که بسیاری حمله را سو explo استفاده روز صفر بنامند ، اما هاموند از آزمایشگاه های Huntress با این توصیف مسئله را بررسی می کند.

“در ذهن من ، یک روز صفر به عنوان مدافعانی که صفر روز آماده سازی دارند تعریف شده است. اما Kaseya قبلاً با DIVD کار می کرد ، بنابراین من باید یک علامت ستاره را برای مفهومی که آنها صفر روز آماده می کنند قرار دهم.”

مشتریان تجاری کوچک و متوسط ​​ارائه دهندگان خدمات مدیریت شده در خدمات خود مشترک شده اند زیرا آنها تخصص لازم برای مدیریت فناوری خود را ندارند. هاموند می گوید ، فروشندگان و MSP ها باید مسئولیت امنیت خود را به عهده بگیرند.

وی می گوید: “ما با طراحی ، دادن دسترسی اداری و ابرقدرت های خدایی مانند همه مشتریان بالقوه ، در مورد این خدمات كمی صدا كرده ایم.” “فروشندگان و شرکت ها ، از جمله ما ، باید کد منبع را بررسی کنند ، با داشتن آن تیم داخلی قرمز ، و اطمینان کامل داشته باشند تا مطمئن شوند این فناوری برای جهانیان سخت شده و از امنیت بالایی برخوردار است.”

سئو PBN | خبر های جدید سئو و هک و سرور