تعتمد توصيات ZDNET على ساعات طويلة من الاختبار والبحث والمقارنة بين المنتجات. نقوم بجمع البيانات من أفضل المصادر المتاحة، بما في ذلك قوائم البائعين وتجار التجزئة بالإضافة إلى مواقع المراجعة الأخرى ذات الصلة والمستقلة. ونحن ندقق في مراجعات العملاء لمعرفة ما يهم الأشخاص الحقيقيين الذين يمتلكون بالفعل ويستخدمون المنتجات والخدمات التي نقوم بتقييمها.
عند النقر من موقعنا إلى أحد بائعي التجزئة وشراء منتج أو خدمة، قد نكسب عمولات تابعة. يساعد هذا في دعم عملنا، لكنه لا يؤثر على ما نغطيه أو كيفية تغطيته، ولا يؤثر على السعر الذي تدفعه. لا يتم تعويض ZDNET ولا المؤلف عن هذه المراجعات المستقلة. في الواقع، نحن نتبع إرشادات صارمة تضمن عدم تأثر المحتوى التحريري الخاص بنا مطلقًا بالمعلنين.
يكتب فريق التحرير في ZDNET نيابة عنك، أيها القارئ. هدفنا هو تقديم المعلومات الأكثر دقة والمشورة الأكثر دراية قدر الإمكان من أجل مساعدتك على اتخاذ قرارات شراء أكثر ذكاءً فيما يتعلق بالمعدات التقنية ومجموعة واسعة من المنتجات و خدمات. يقوم محررونا بمراجعة كل مقالة والتحقق من صحتها بدقة للتأكد من أن المحتوى الخاص بنا يلبي أعلى المعايير. إذا ارتكبنا خطأ أو نشرنا معلومات مضللة، فسنقوم بتصحيح أو توضيح المقال. إذا رأيت عدم دقة في المحتوى الخاص بنا، فيرجى الإبلاغ عن الخطأ عبر
هذا من.كاسيايقع المقر الرئيسي الدولي لشركة في دبلن، أيرلندا، وللشركة مقر رئيسي في الولايات المتحدة في ميامي، فلوريدا. يحتفظ البائع بوجوده في 10 دول.
توفر Kaseya حلول تكنولوجيا المعلومات بما في ذلك VSA، وهي أداة موحدة للمراقبة والإدارة عن بعد للتعامل مع الشبكات ونقاط النهاية. بالإضافة إلى ذلك، توفر الشركة أنظمة الامتثال ومكاتب الخدمة ومنصة أتمتة الخدمات المهنية.
تم تصميم برنامج الشركة مع وضع المؤسسات ومقدمي الخدمات المُدارة (MSPs) في الاعتبار، ويقول Kaseya إن أكثر من 40.000 مؤسسة حول العالم تستخدم حلاً برمجيًا واحدًا على الأقل من Kasya. باعتبارها مزودًا للتكنولوجيا لمقدمي خدمات MSP، الذين يخدمون شركات أخرى، تعد Kasya مركزًا مركزيًا لسلسلة توريد برمجيات أوسع.
في 2 يوليو الساعة 2:00 ظهرًا بتوقيت شرق الولايات المتحدة، كما ذكر سابقًا ZDNet، الرئيس التنفيذي لشركة Kasya أعلن فريد فوكولا "هجوم محتمل ضد VSA يقتصر على عدد صغير من العملاء داخل الشركة."
في الوقت نفسه، ومن باب الحذر الشديد، حث Voccola العملاء على إغلاق خوادم VSA الخاصة بهم على الفور.
وقال المسؤول التنفيذي: "من المهم أن تفعل ذلك على الفور لأن أحد الأشياء الأولى التي يفعلها المهاجم هو إيقاف الوصول الإداري إلى VSA".
كان العملاء تم إخطاره بالانتهاك عبر البريد الإلكتروني والهاتف والإشعارات عبر الإنترنت.
أثناء قيام فريق الاستجابة للحوادث في Kasya بالتحقيق، قرر البائع أيضًا إغلاق خوادم SaaS بشكل استباقي وسحب مراكز البيانات الخاصة به دون اتصال بالإنترنت.
وبحلول 4 يوليو/تموز، كانت الشركة قد قامت بمراجعة أفكارها بشأن خطورة الحادث، ووصفت نفسها بأنها "ضحية هجوم إلكتروني متطور".
وقد تم الاستعانة بخبراء الطب الشرعي السيبراني من فريق FireEye's Mandiant، إلى جانب شركات أمنية أخرى، للمساعدة.
"تواصل فرق الأمن والدعم والبحث والتطوير والاتصالات والعملاء لدينا العمل على مدار الساعة في جميع المناطق الجغرافية لحل هذه المشكلة. وقال كاسيا: "قم بإصدار واستعادة عملائنا للخدمة"، مضيفًا أن هناك حاجة إلى مزيد من الوقت قبل إعادة مراكز البيانات الخاصة بها متصل.
بمجرد تشغيل خوادم SaaS، ستقوم Kasya بنشر جدول زمني لتوزيع تصحيح الأمان على العملاء المحليين.
وفي تحديث بتاريخ 5 يوليو، قال Kasya إنه تم تطوير الإصلاح وسيتم نشره أولاً في بيئات SaaS، بمجرد اكتمال عمليات الاختبار والتحقق من الصحة.
وقالت الشركة: "نحن نعمل على تطوير التصحيح الجديد للعملاء المحليين بالتوازي مع استعادة مركز بيانات SaaS". "نحن ننشر SaaS أولاً لأننا نتحكم في كل جانب من جوانب تلك البيئة. وبمجرد أن يبدأ ذلك، سننشر الجدول الزمني لتوزيع التصحيح للعملاء المحليين."
مكتب التحقيقات الفدرالي الموصوفة الحادثة بإيجاز: "هجوم ببرنامج فدية لسلسلة التوريد يستفيد من ثغرة أمنية في برنامج Kaseya VSA ضد العديد من مقدمي خدمات MSP وعملائهم."
الصيادة (1,2) تتبعت 30 MSP متورطين في الاختراق وتعتقد "بثقة عالية" أن الهجوم قد تم تشغيله عبر ثغرة أمنية في تجاوز المصادقة في واجهة الويب Kaseya VSA.
وفقًا لشركة الأمن السيبراني، فقد سمح هذا للمهاجمين بالتحايل على ضوابط المصادقة والحصول على معلومات سرية جلسة مصادق عليها، وتحميل حمولة ضارة، وتنفيذ الأوامر عبر حقن SQL، وتحقيق تنفيذ التعليمات البرمجية في العملية.
أخبر كايل هانسلوفان، الرئيس التنفيذي والمؤسس المشارك لشركة Huntress، الحضور في ندوة عبر الإنترنت ناقشت الجوانب الفنية للهجوم في 6 يوليو، أن الجهات الفاعلة في مجال التهديد المسؤولة كانت "فعالة بشكل جنوني".
"لا يوجد دليل على أن الجهات الفاعلة في مجال التهديد كانت لديها أي فكرة عن عدد الشركات التي استهدفوها VSA"، علق هانسلوفان، مضيفًا أن الحادث يبدو أنه تم تشكيله بشكل أكبر بسبب "السباق ضد وقت."
"تتمثل بعض وظائف خادم VSA في نشر البرامج وأتمتة مهام تكنولوجيا المعلومات،" وأشار سوفوس. "وبالتالي، فهي تتمتع بمستوى عالٍ من الثقة في أجهزة العملاء. من خلال اختراق خادم VSA، سيقوم أي عميل متصل بتنفيذ أي مهمة يطلبها خادم VSA دون أدنى شك. وهذا على الأرجح أحد أسباب استهداف كاسيا".
وقد قدم البائع أيضا التحليل الفني المتعمق من الهجوم.
خبير أمني قال كيفن بومونت تم دفع برنامج الفدية هذا عبر تحديث برنامج آلي ومزيف وضار باستخدام Kaseya VSA المسمى "Kaseya VSA Agent Hot-fix".
وعلق بومونت قائلاً: "يتم بعد ذلك نشر هذا التحديث المزيف في جميع أنحاء العقار - بما في ذلك أنظمة عملاء MSP - لأنه [هو] تحديث وكيل إدارة مزيف". "إن تحديث وكيل الإدارة هذا هو في الواقع برنامج REvil Ransomware. لكي نكون واضحين، هذا يعني أن المؤسسات التي ليست من عملاء Kasya ما زالت مشفرة."
وبموجب نصيحة من RiskIQ، تحقق Huntress أيضًا في عنوان IP الخاص بـ AWS والذي ربما تم استخدامه كنقطة انطلاق للهجوم.
في 5 يوليو، أصدر كاسيا أغنية نظرة عامة على الهجوم، والتي بدأت في 2 يوليو مع تقارير عن انتشار برامج الفدية على نقاط النهاية.
"في ضوء هذه التقارير، اجتمع الفريق التنفيذي واتخذ قرارًا باتخاذ خطوتين لمحاولة منع انتشار أي برامج ضارة: لقد أرسلنا إشعارات إلى العملاء المحليين لإغلاق خوادم VSA الخاصة بهم وقمنا بإغلاق البنية التحتية لـ VSA SaaS الخاصة بنا،" كما تقول الشركة.
وفقًا للشركة، استغل المهاجمون ثغرات يوم الصفر لتفعيل مصادقة التجاوز وتنفيذ التعليمات البرمجية، مما يسمح لهم بإصابة نقاط النهاية ببرامج الفدية. ومع ذلك، يؤكد كاسيا على أنه لا يوجد دليل على أن قاعدة بيانات VSA "تم تعديلها بشكل ضار".
فيتس بونسترا، باحث في المعهد الهولندي للكشف عن نقاط الضعف (DIVD)، تم تحديدها سابقا عدد من الثغرات الأمنية، التي تم تتبعها باسم CVE-2021-30116، والتي تم استخدامها في هجمات برامج الفدية. تم الإبلاغ عنها بموجب اتفاقية الكشف عن نقاط الضعف المنسقة.
"بمجرد أن علم Kasya بنقاط الضعف التي تم الإبلاغ عنها، كنا على اتصال وتعاون مستمر معهم. وعندما كانت البنود الواردة في تقريرنا غير واضحة، طرحوا الأسئلة الصحيحة"، تقول DIVD. "كما تمت مشاركة التصحيحات الجزئية معنا للتحقق من فعاليتها. خلال العملية برمتها، أظهر Kasya أنهم على استعداد لبذل أقصى جهد ومبادرة في هذه الحالة لإصلاح هذه المشكلة وتصحيح عملائهم. "
خلال عطلة نهاية الأسبوع، قال Kasya إن عملاء SaaS "لم يكونوا معرضين للخطر أبدًا" وتشير التقديرات الحالية إلى أن أقل من 40 عميلًا محليًا في جميع أنحاء العالم قد تأثروا.
ومع ذلك، تجدر الإشارة إلى أنه على الرغم من أن عددًا صغيرًا من عملاء Kasya قد يكونون مباشرين المصابة، مثل MSPs، يمكن أن يتأثر عملاء الشركات الصغيرة والمتوسطة في أسفل السلسلة الذين يعتمدون على هذه الخدمات دورهم.
حسب إلى التقاريراضطر 800 متجر من سلسلة متاجر Coop في السويد إلى الإغلاق مؤقتًا لأنهم لم يتمكنوا من فتح سجلات النقد الخاصة بهم.
وقالت الصيادة في أ شرح رديت أن ما يقدر بنحو 1000 شركة لديها خوادم ومحطات عمل مشفرة. وأضاف البائع أنه من المعقول الإشارة إلى أن "الآلاف من الشركات الصغيرة" ربما تأثرت.
وعلق روس مكيرشار، نائب رئيس سوفوس، قائلا: "هذه واحدة من أبعد هجمات برامج الفدية الإجرامية التي شهدتها سوفوس على الإطلاق". "في الوقت الحالي، تظهر أدلتنا أن أكثر من 70 من مقدمي الخدمات المُدارة قد تأثروا، مما أدى إلى تأثر أكثر من 350 مؤسسة أخرى. نتوقع أن يكون النطاق الكامل للمنظمات الضحايا أعلى مما يتم الإبلاغ عنه من قبل أي شركة أمنية فردية."
في 5 يوليو، كاسيا التقديرات السابقة المعدلة إلى "أقل من 60" عميلاً، مضيفًا "أننا ندرك أن التأثير الإجمالي حتى الآن كان على أقل من 1500 شركة في المراحل النهائية."
الآن، في 6 يوليو تقدير ما بين 50 عميلاً مباشرًا، وما بين 800 و1500 شركة في أسفل السلسلة.
عندما يتعلق الأمر ببيئات SaaS، يقول Kasya: "لم نعثر على دليل على تعرض أي من عملاء SaaS لدينا للاختراق."
في بيان صحفي وبتاريخ 6 يوليو، أصر Kasya على أنه "على الرغم من أن هذا الهجوم أثر على ما يقرب من 50 من عملاء Kasya، إلا أنه لم يشكل تهديدًا على الإطلاق ولم يكن له أي تأثير على البنية التحتية الحيوية."
انخفض عدد خوادم Kasya الضعيفة عبر الإنترنت والمرئية والمفتوحة للمهاجمين بنسبة 96% من حوالي 1500 في 2 يوليو إلى 60 في 8 يوليو، وفقًا لشركة Palo Alto Networks.
Ransomware هو نوع من البرامج الضارة المتخصصة في تشفير الملفات ومحركات الأقراص.
فيما أصبح أحد أكثر المشكلات الأمنية خطورة وخطورة التي تواجهها الشركات الحديثة الآن، يتم استخدام برامج الفدية من قبل جهات التهديد في جميع أنحاء العالم لاختطاف الأنظمة وتعطيل العمليات.
بمجرد تشفير نظام أو شبكة الضحية، يضع مجرمو الإنترنت مذكرة فدية على النظام، ويطالبون بالدفع مقابل مفتاح فك التشفير (الذي قد يعمل أو لا يعمل).
قد يكون مشغلو برامج الفدية اليوم جزءًا من برامج الفدية كخدمة (RaaS)، عندما "يشتركون" للوصول إلى نوع معين من برامج الفدية واستخدامه. هناك اتجاه ناشئ آخر وهو الابتزاز المزدوج، حيث تتم سرقة معلومات الضحية أثناء غارة برامج الفدية.
إذا رفضوا الدفع، فقد يواجهون بعد ذلك احتمال بيع بياناتهم أو نشرها عبر الإنترنت.
تشمل عائلات برامج الفدية الشائعة والمعروفة REvil وLocky وWannaCry وGandcrab وCerber وNotPetya وMaze وDarkside.
واصل القراءة:ما هي برامج الفدية؟ كل ما تريد معرفته عن أحد أكبر التهديدات على الويب
أنظر أيضا:
- هجمات برامج الفدية ترفع معدلات إعادة التأمين السيبراني بنسبة 40%
- برامج الفدية: تتيح لك هذه الأداة المجانية الجديدة اختبار ما إذا كان الأمن السيبراني لديك قويًا بما يكفي لوقف أي هجوم
- تم إحباط هجوم برنامج الفدية الكبير هذا في اللحظة الأخيرة. وإليك كيف اكتشفوا ذلك
وقد نسب الهجوم السيبراني إلى ريفيل/سودينيكيبي مجموعة برامج الفدية، التي أعلنت مسؤوليتها عن موقع تسريب الويب المظلم الخاص بها، "Happy Blog".
وفي تحديث خلال عطلة نهاية الأسبوع، ادعى المشغلون، الذين يُعتقد أن لهم علاقات بروسيا، أن أكثر من "مليون" نظام قد أصيب.
عرضت REvil مفتاح فك تشفير، يُزعم أنه عالمي، وبالتالي قادر على فتح جميع الأنظمة المشفرة، مقابل سعر "صفقة" قدره 70 مليون دولار في عملة البيتكوين (BTC).
وقد تم ربط REvil سابقًا بهجمات برامج الفدية ضد الشركات، بما في ذلك جي بي اس، ترافيليكس، و أيسر.
ال مذكرة الفدية يدعي أن الملفات "مشفرة وغير متوفرة حاليًا". وبحسب ما ورد تم استخدام ملحق الملف .csruj. يطالب المشغلون بالدفع مقابل مفتاح فك التشفير، كما أن فك تشفير ملف "الهدية الترويجية" واحد مطروح أيضًا على الطاولة لإثبات عمل مفتاح فك التشفير.
يضيف المشغلون (الإملاء دون تغيير):
"إنها مجرد عمل. نحن بالتأكيد لا نهتم بك وبصفقاتك، باستثناء الحصول على الفوائد. إذا لم نقم بعملنا ومسؤولياتنا - فلن يتعاون معنا أحد. ليس في مصلحتنا. إذا لم تتعاون مع خدمتنا، فلا يهم بالنسبة لنا. لكنك ستفقد وقتك وبياناتك، لأننا نملك المفتاح الخاص فقط. ومن الناحية العملية فإن الوقت أكثر قيمة من المال."
محلل البرمجيات الخبيثة سوفوس مارك لومان تمت مشاركة لقطة الشاشة على تويتر لمذكرة فدية مزروعة على نقطة نهاية مصابة تطالب بمبلغ 44.999 دولارًا.
وقال جون هاموند، كبير الباحثين الأمنيين في Huntress، لـ ZDNet إن الشركة شهدت بالفعل طلبات فدية تصل إلى 5 ملايين دولار.
يقول كيفن بومونت إنه لسوء الحظ وقد لاحظ الضحايا "التفاوض للأسف" مع مشغلي برامج الفدية.
وأوضح أيضًا فابيان ووسار، المدير التنفيذي للتكنولوجيا في Emsisoft في موضوع تويتر لماذا من غير المرجح أن يكون استخدام المفتاح الذي حصلت عليه منظمة واحدة تدفع ثمنه طريقًا قابلاً للتطبيق لفتح قفل جميع الضحايا.
"تتمتع REvil تمامًا بالقدرة على فك تشفير ضحية واحدة فقط دون الحاجة إلى شرائها أدوات فك التشفير قابلة للتطبيق على الضحايا الآخرين الذين تعرضوا لنفس المفتاح العام للحملة". وأشار الخبير.
تقارير سي ان بي سي أن طلب الفدية العالمي قد تم تخفيضه إلى 50 مليون دولار في المحادثات الخاصة. ومع ذلك، اعتبارًا من 7 يوليو، ظل الطلب العام بمبلغ 70 مليون دولار على موقع التسريب الخاص بمجموعة التهديد دون تغيير.
وفي وقت حدوث الانتهاك، أبلغ كاسيا وكالات إنفاذ القانون والأمن السيبراني، بما في ذلك مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA).
لقد أطلق مكتب التحقيقات الفيدرالي وCISA بيان مشترك بشأن الحادث الأمني ونحث العملاء على تشغيل الأداة التي توفرها Kasya لتحديد المخاطر استغلال وتمكين وتنفيذ المصادقة متعددة العوامل (MFA) على حسابات المؤسسة، أينما ممكن.
عقد Kaseya اجتماعات مع مكتب التحقيقات الفيدرالي وCISA "لمناقشة متطلبات تقوية الأنظمة والشبكات قبل استعادة الخدمة لكل من SaaS والعملاء المحليين."
ال البيت الابيض تطلب من المنظمات إبلاغ مركز شكاوى جرائم الإنترنت (IC3) إذا اشتبهت في تعرضها للاختراق.
وقال الرئيس الأميركي بايدن، السبت، إنه يتولى توجيه الاستخبارات الفيدرالية الوكالات للتحقيق.
وقال أميت باريكيت، الرئيس التنفيذي لشركة Perimeter 81، لـ ZDNet: "إن استهداف منصة MSP (التي تدير العديد من العملاء في وقت واحد) كان مدروسًا ومخططًا جيدًا للغاية". "الأمر الفريد هو أن المتسللين أصبحوا أكثر استراتيجية ويستهدفون المنصات التي ستصل إلى العديد من الشركات بطلقه واحدة. إن RMMs [المراقبة والإدارة عن بعد] هي في الأساس مفاتيح للعديد من الشركات، والتي ترقى إلى مستوى المملكة بالنسبة للجهات الفاعلة السيئة."
وقد حاول البيت الأبيض تعزيز موقفها من الجرائم الإلكترونية وفي ضوء هذا الهجوم، حذر الرئيس الروسي فلاديمير بوتين من أنه ما لم يتعامل مع المشكلة في حديقته الخلفية، "فسوف نتخذ إجراءً أو نحتفظ بالحق في اتخاذ إجراء بأنفسنا".
اعتبارًا من 4 يوليو، يقول Kasya إن الشركة انتقلت الآن من تحليل السبب الجذري للهجوم إلى خطط التعافي والتصحيح، والتي تتكون من:
- توصيل خطة الاسترداد المرحلية الخاصة بنا مع SaaS أولاً متبوعًا بالعملاء المحليين.
- سوف ينشر كاسيا ملخصًا للهجوم وما فعلناه للتخفيف منه.
- ستتم إزالة بعض وظائف VSA القديمة المستخدمة قليلًا كجزء من هذا الإصدار من باب الحذر الشديد. سيتم توضيح قائمة محددة بالوظائف وتأثيرها على إمكانيات VSA في ملاحظات الإصدار.
- سيتم تنفيذ إجراءات أمنية جديدة بما في ذلك المراقبة الأمنية المحسنة لخوادم SaaS الخاصة بنا بواسطة FireEye وتمكين قدرات WAF المحسنة.
- لقد أكملنا بنجاح فحص الثغرات الأمنية الخارجية، وفحصنا قواعد بيانات SaaS الخاصة بنا بحثًا عن المؤشرات من الاختراق، وقد طلبنا من خبراء الأمن الخارجيين مراجعة الكود الخاص بنا لضمان نجاح الخدمة إعادة تشغيل.
وستتم استعادة مراكز البيانات بدءًا من الاتحاد الأوروبي، تليها أنظمة المملكة المتحدة ومنطقة آسيا والمحيط الهادئ، ثم أنظمة أمريكا الشمالية.
بحلول وقت متأخر من مساء يوم 5 يوليو، قال Kasya إنه قد تم تطوير التصحيح وأن الشركة تعتزم إعادة VSA مع "وظيفة مرحلية" لتسريع العملية. وأوضحت الشركة:
- سيمنع الإصدار الأول الوصول إلى الوظائف التي يستخدمها جزء صغير جدًا من قاعدة مستخدمينا، بما في ذلك:
- التذاكر الكلاسيكية
- جهاز التحكم عن بعد الكلاسيكي (وليس LiveConnect).
- بوابة المستخدم
نشرت Kaseya الآن جدولًا زمنيًا محدثًا لجهود الاستعادة، بدءًا من إعادة إطلاق خوادم SaaS، المقرر الآن في 6 يوليو، الساعة 4:00 مساءً بتوقيت شرق الولايات المتحدة و7:00 مساءً بتوقيت شرق الولايات المتحدة. ستتبع ذلك تغييرات التكوين لتحسين الأمان، بما في ذلك التصحيح الداخلي، المتوقع وصوله خلال 24 ساعة، أو أقل، من وقت عودة خوادم SaaS إلى الإنترنت.
"نحن نركز على تقليص هذا الإطار الزمني إلى أدنى حد ممكن - ولكن إذا تم العثور على أي مشكلات أثناء عرض SaaS، نريد إصلاحها قبل جلب عملائنا المحليين إلى الخدمة." يقول.
تتضمن التحسينات الأمنية الإضافية إنشاء مراكز عمليات على مدار الساعة طوال أيام الأسبوع لـ VSA، بالإضافة إلى CDN مجاني مع جدار حماية لتطبيقات الويب (WAF) لكل VSA.
تحديث 7 يوليو: لم يتم الوفاء بالجدول الزمني. قال Kasya إنه "تم اكتشاف مشكلة منعت إصدار" طرح VSA SaaS.
وعلق كاسيا قائلاً: "نعتذر عن التأخير، ويستمر البحث والتطوير والعمليات على مدار الساعة لحل هذه المشكلة واستعادة الخدمة".
وفي تحديث الخدمة، قال البائع إنه غير قادر على حل المشكلة.
وأضاف كاسيا: "عملت فرق البحث والتطوير والعمليات طوال الليل وستواصل العمل حتى نرفع الحظر عن الإصدار".
7 يوليو، الساعة 12 ظهرًا بتوقيت شرق الولايات المتحدة:
تأمل Kasya في حل مشكلة طرح أنظمة SaaS في موعد لا يتجاوز مساء الخميس 8 يوليو. تتم حاليًا كتابة قواعد اللعبة، ومن المقرر نشرها اليوم، والتي ستوفر إرشادات للشركات المتأثرة لنشر تصحيح VSA المحلي القادم.
اعتبارًا من 8 يوليو، نشر كاسيا كتابين متتاليين، "دليل بدء تشغيل VSA SaaS،" و "دليل جاهزية بدء التشغيل VSA في أماكن العمل"، لمساعدة العملاء في الاستعداد للعودة إلى الخدمة ونشر التصحيح.
ومع ذلك، فإن التعافي يستغرق وقتًا أطول مما كان متوقعًا في البداية.
تقول الشركة: "نحن بصدد إعادة تعيين الجداول الزمنية لنشر VSA SaaS وVSA On-Premises". "نعتذر عن التأخير والتغييرات في الخطط بينما نعمل على حل هذا الوضع المتقلب."
في الفيديو الثاني قالت الرسالة التي سجلها الرئيس التنفيذي للشركة، فوكولا:
"حقيقة أننا اضطررنا إلى إسقاط VSA أمر مخيب للآمال للغاية بالنسبة لي، إنه مخيب للآمال للغاية بالنسبة لي شخصيًا. أشعر وكأنني خذلت هذا المجتمع. لقد خذلت شركتي، وشركتنا خذلتكم. [..] هذا ليس BS، هذا هو الواقع."
وقت الإصدار الجديد لـ VSA هو الأحد، في فترة ما بعد الظهر، بالتوقيت الشرقي، من أجل تعزيز البرنامج وتعزيز أمنه قبل النشر.
12 يوليو: كاسيا لديها الآن صدر التصحيح ويعمل حاليًا مع العملاء المحليين لنشر الإصلاح الأمني. الآن، أصبح 100% من جميع عملاء SaaS مباشرين، وفقًا للشركة.
وأضاف Kasya: "تواصل فرق الدعم لدينا العمل مع عملاء VSA المحليين الذين طلبوا المساعدة في التصحيح".
أصدرت Kaseya أداة، بما في ذلك مؤشرات التسوية (IoC)، والتي يمكن أن تكون تم التحميل عبر البوكس. هناك نوعان من برامج PowerShell النصية للاستخدام: أحدهما على خادم VSA، والآخر مصمم لفحص نقطة النهاية.
يجب استخدام نصوص التقييم الذاتي في وضع عدم الاتصال. تم تحديثها في 5 يوليو للبحث أيضًا عن تشفير البيانات ومذكرة فدية REvil.
ومع ذلك، فإن البرامج النصية مخصصة فقط للكشف عن مخاطر الاستغلال المحتملة وليست إصلاحات أمنية. ستقوم Kasya بإصدار التصحيحات بأسرع ما يمكن، ولكن في هذه الأثناء، يتعين على العملاء ببساطة الانتظار حتى يوم الأحد.
تعتزم Kasya إعادة العملاء إلى الإنترنت مرة أخرى في 11 يوليو، الساعة 4 مساءً بتوقيت شرق الولايات المتحدة.
وقالت الشركة: "يجب أن تظل جميع خوادم VSA المحلية في وضع عدم الاتصال حتى الحصول على تعليمات أخرى من Kasya حول الوقت الآمن لاستعادة العمليات". "ستكون هناك حاجة إلى تثبيت التصحيح قبل إعادة تشغيل VSA."
كادو الأمن قدمت مستودع GitHub للمستجيبين، بما في ذلك عينات البرامج الضارة وIoCs وقواعد Yara.
لدى Truesec CSIRT أيضًا صدر البرنامج النصي على GitHub لتحديد الأضرار التي لحقت بالأنظمة المصابة وتخفيفها.
كاسيا وقد حذر أيضا أن المحتالين يحاولون الاستفادة من الوضع.
"يستخدم مرسلي البريد العشوائي الأخبار المتعلقة بحادثة Kaseya لإرسال إشعارات مزيفة عبر البريد الإلكتروني تبدو وكأنها تحديثات لـ Kaseya. هذه رسائل بريد إلكتروني تصيدية قد تحتوي على روابط و/أو مرفقات ضارة.
لا تنقر على أي روابط أو تنزل أي مرفقات تدعي أنها استشارية من Kasya."
وبعد أن أوضح بايدن موقفه لبوتين بشأن عصابات برامج الفدية، تم الكشف عن موقع التسريب الخاص بمجموعة برامج الفدية REvil تم الاستيلاء عليها وإنزالها عن طريق إنفاذ القانون.
تضمنت عملية الإزالة موقع الدفع الخاص بـ REvil والملكية العامة ومنصة الدردشة الخاصة بمكتب المساعدة وبوابة التفاوض.
وبينما كان القصد هو تأمين شكل ما من أشكال السيطرة على المجموعة، تجدر الإشارة إلى أن مشغلي برامج الفدية غالبًا ما يقومون بإغلاق المواقع وإعادة تصنيفها وإعادة تجميع صفوفها.
أحد الآثار الجانبية لعملية الإزالة هو أن إزالة التفاوض وإمكانية شراء مفتاح فك التشفير قد ترك للضحايا أنظمة غير قابلة للاسترداد. ضحية واحدة الذين دفعت ثمن مفتاح فك التشفير - الذي انتهى به الأمر إلى عدم العمل - أصبح الآن خارج جيوبه وغير قادر على تأمين المساعدة من مجرمي الإنترنت.
في 22 يوليو، قال كاسيا التي تمكنت الشركة من ذلك تأمين مفتاح فك التشفير. تم اختبار مفتاح فك التشفير، الذي تم الحصول عليه من قبل "طرف ثالث"، بنجاح في بيئات الضحية - والاقتراح هو أن مفتاح فك التشفير قد يكون عالميًا.
تعمل الشركة مع Emsisoft للوصول إلى العملاء الذين ما زالوا يعانون بسبب الأنظمة المقفلة ويحتاجون إلى مفتاح فك التشفير.
وقال كاسيا: "نحن ملتزمون بضمان أعلى مستويات الأمان لعملائنا وسنواصل التحديث هنا مع توفر المزيد من التفاصيل". "سيتم الاتصال بالعملاء الذين تأثروا ببرنامج الفدية من قبل ممثلي Kasya."
كاسيا وقد نفى الدفع لمفتاح فك التشفير.