თაღლითური შემსრულებლები იყენებენ Kaseya-ს უსაფრთხოების პრობლემებს მავნე პროგრამების გამოსაყენებლად

  • Sep 04, 2023

კომპანია თავს იჩენს ბოლოდროინდელი გამოსასყიდი პროგრამის შეტევის შედეგად.

Kaseya მოუწოდებს მომხმარებლებს, ფრთხილად იყვნენ ფიშინგული ელ.ფოსტის ტალღის მიმართ, რომლებიც ისარგებლებენ ბოლოდროინდელი გამოსასყიდი პროგრამის შეტევით გამოწვეული შეფერხებით.

კასეას შეტევა

  • Kaseya ransomware მიწოდების ჯაჭვის შეტევა: რა უნდა იცოდეთ
  • 1,500 კომპანია დაზარალდა, ადასტურებს Kaseya
  • აშშ იწყებს გამოძიებას, რადგან ბანდა გიგანტურ 70 მილიონი დოლარის გადახდას ითხოვს
  • Kaseya მოუწოდებს მომხმარებლებს დაუყოვნებლივ გათიშონ VSA სერვერი

გასულ პარასკევს, Kaseya - რომელიც ემსახურება მართული სერვისის პროვაიდერებს (MSP) მის კლიენტთა ბაზას შორის - მოხვდა REvil-ის მიერ, გამოსასყიდი პროგრამის ჯგუფი, რომელმაც მოახერხა დაუცველობის გამოყენება ფირმის VSA პროგრამულ უზრუნველყოფაში.

სიფრთხილის მიზნით, კომპანიამ გაიყვანა როგორც VSA, ასევე SaaS სერვერები ხაზგარეშე. თუმცა, დაახლოებით 50 პირდაპირი კლიენტი და 1,500-მდე ბიზნესი ჯაჭვის შემდგომ ზემოქმედებას განიცდის.

8 ივლისს პროგრამული გადაწყვეტილებების პროვაიდერმა განაცხადა, რომ თაღლითები არიან

უსაფრთხოების ინციდენტის გამოყენება "გააგზავნოთ ყალბი ელ.ფოსტის შეტყობინებები, რომლებიც, როგორც ჩანს, არის Kaseya განახლებები."

„ეს არის ფიშინგული ელფოსტა, რომელიც შეიძლება შეიცავდეს მავნე ბმულებს და/ან დანართებს“, დასძინა კომპანიამ.

ყალბი, ელექტრონული ფოსტით გაგზავნილი Kaseya რჩევების ნიმუშები, როგორც აღნიშნა Malwarebytes-მა, მოუწოდეთ მიმღებებს ჩამოტვირთონ და შეასრულონ დანართი სახელწოდებით "SecurityUpdates.exe", რათა მოაგვარონ დაუცველობა Kaseya-ში და დაიცვან თავი გამოსასყიდისგან.

თუმცა, დანართი, Windows-ის შესრულებადი, სინამდვილეში არის Cobalt Strike პაკეტი. საფრთხის ლეგიტიმური ემულაციის ინსტრუმენტი გამოიყენება შეღწევადობის ტესტერების მიერ, მაგრამ, სამწუხაროდ, ასევე ფართოდ გამოიყენება საფრთხის აქტორების მიერ.

Cobalt Strike შეიძლება გამოყენებულ იქნას ბრძანებისა და კონტროლის (C2) სერვერთან კავშირის დასაყენებლად. Metasploit-თან ერთად, ღია კოდის შეღწევადობის ტესტირების ხელსაწყოების ნაკრები, ეს ხელსაწყოები გამოიყენებოდა მეოთხედზე მეტის მასპინძლობისთვის. მავნე პროგრამასთან დაკავშირებული C2 2020 წელს.

ელ.ფოსტის ნიმუში ასევე შეიცავდა პირდაპირ ბმულს მავნე შესრულებადზე.

ადრე, როგორც ჩანს, კლიენტებისთვის გაგზავნილი ზოგიერთი ლეგიტიმური ელ.წერილი იყო შედის ბმულები კასიას დამხმარე მაგიდასთან; თუმცა, თუ კლიენტები შეჩვეულნი არიან ამ ტიპის ფორმატს, მაშინ ისინი შეიძლება უფრო მიდრეკილნი იყვნენ საფრთხის მოქმედი პირების მიერ ელექტრონული ფოსტით გაგზავნილ მავნე ბმულებზე დაწკაპუნებით.

უსაფრთხოების ამ პოტენციური რისკის გათვალისწინებით, რომელიც ემატება აღდგენის ძალისხმევის არსებულ ტვირთს, კომპანია ამბობს, რომ აღარ გაუგზავნის ელ.ფოსტის განახლებებს, რომლებიც შეიცავს რაიმე ბმულს ან დანართს.

კასეას გამოჯანმრთელების მცდელობების დროს გარკვეული პრობლემები შეექმნა. Ში 8 ივლისის განახლებაKaseya-ს CTO დენ ტიმპსონმა თქვა, რომ დაუცველობა გამოსწორდა და უსაფრთხოების დამატებითი ზომები „იქმნება განლაგებამდე ჩვენი პროდუქციის უსაფრთხოების ზოგადი მდგომარეობის გასაუმჯობესებლად“.

ამჟამად, კომპანია იმედოვნებს, რომ მომხმარებელს დაუბრუნდება ონლაინ ამ კვირას, საღამოს 4 საათზე EDT.

წინა და დაკავშირებული გაშუქება

  • Kaseya ransomware შეტევა: 1500 კომპანია დაზარალდა, კომპანია ადასტურებს
  • უნდა გადაიხადოს თუ არა კასეამ REvil გამოსასყიდი? ექსპერტები მოწყვეტილნი არიან
  • Kaseya მოუწოდებს მომხმარებლებს დაუყოვნებლივ დახურონ VSA სერვერები გამოსასყიდის პროგრამის შეტევის შემდეგ

გაქვთ რჩევა? უსაფრთხოდ დაუკავშირდით WhatsApp | სიგნალი +447713 025 499 ან მეტი Keybase-ზე: charlie0