ZDNET'in önerileri saatlerce süren test, araştırma ve karşılaştırmalı alışverişe dayanmaktadır. Satıcı ve perakendeci listelerinin yanı sıra diğer ilgili ve bağımsız inceleme siteleri de dahil olmak üzere mevcut en iyi kaynaklardan veri topluyoruz. Ayrıca, değerlendirdiğimiz ürün ve hizmetlere halihazırda sahip olan ve bunları kullanan gerçek kişiler için nelerin önemli olduğunu öğrenmek amacıyla müşteri incelemelerini inceliyoruz.
Sitemizden bir perakendeciye tıkladığınızda ve bir ürün veya hizmet satın aldığınızda ortaklık komisyonları kazanabiliriz. Bu, işimizi desteklemeye yardımcı olur ancak neyi veya nasıl kapsadığımızı ve ödediğiniz ücreti etkilemez. Bu bağımsız incelemeler için ne ZDNET'e ne de yazara herhangi bir ödeme yapılmaz. Aslında, editoryal içeriğimizin asla reklamverenlerden etkilenmemesini sağlayan katı kurallara uyuyoruz.
ZDNET'in editör ekibi siz okuyucularımız adına yazıyor. Amacımız mümkün olan en doğru bilgiyi ve en bilgili tavsiyeyi sunmaktır. Teknolojik ekipmanlar ve geniş bir ürün yelpazesi hakkında daha akıllı satın alma kararları vermenize yardımcı olmak için Hizmetler. Editörlerimiz, içeriğimizin en yüksek standartları karşıladığından emin olmak için her makaleyi kapsamlı bir şekilde inceliyor ve doğruluğunu kontrol ediyor. Bir hata yapmışsak veya yanıltıcı bilgi yayınlamışsak, makaleyi düzeltecek veya açıklığa kavuşturacağız. İçeriğimizde yanlışlıklar görürseniz lütfen hatayı şu adresten bildirin:
bu form.KaseyaUluslararası genel merkezi Dublin, İrlanda'dadır ve şirketin ABD merkezi Miami, Florida'da bulunmaktadır. Satıcı 10 ülkede varlığını sürdürmektedir.
Kaseya, ağların ve uç noktaların yönetimi için birleşik bir uzaktan izleme ve yönetim aracı olan VSA dahil olmak üzere BT çözümleri sağlar. Ayrıca şirket uyumluluk sistemleri, hizmet masaları ve profesyonel hizmet otomasyon platformu da sağlıyor.
Firmanın yazılımı, işletmeler ve yönetilen hizmet sağlayıcılar (MSP'ler) göz önünde bulundurularak tasarlandı ve Kaseya, dünya çapında 40.000'den fazla kuruluşun en az bir Kaseya yazılım çözümü kullandığını söylüyor. Diğer şirketlere hizmet veren MSP'lere teknoloji sağlayıcısı olarak Kaseya, daha geniş bir yazılım tedarik zincirinin merkezinde yer alıyor.
Kaseya CEO'su ZDNet tarafından daha önce bildirildiği üzere 2 Temmuz saat 14:00 EDT'de Fred Voccola açıkladı "VSA'ya yönelik, az sayıda şirket içi müşteriyle sınırlı olan potansiyel bir saldırı."
Aynı zamanda Voccola, ihtiyatlı davranarak müşterilerini VSA sunucularını derhal kapatmaya çağırdı.
Yönetici, "Bunu hemen yapmanız çok önemli çünkü saldırganın yaptığı ilk şeylerden biri VSA'ya idari erişimi kapatmaktır" dedi.
Müşteriler ihlal bildirildi e-posta, telefon ve çevrimiçi bildirimler yoluyla.
Kaseya'nın Olay Müdahale ekibinin araştırması sırasında satıcı ayrıca SaaS sunucularını proaktif olarak kapatmaya ve veri merkezlerini çevrimdışına almaya karar verdi.
4 Temmuz itibarıyla şirket, olayın ciddiyetine ilişkin düşüncelerini gözden geçirdi ve kendisini "karmaşık bir siber saldırının kurbanı" olarak nitelendirdi.
FireEye'ın Mandiant ekibinden siber adli tıp uzmanları, diğer güvenlik şirketlerinin yanı sıra yardım için görevlendirildi.
"Güvenlik, destek, Ar-Ge, iletişim ve müşteri ekiplerimiz sorunu çözmek için tüm coğrafyalarda 24 saat çalışmaya devam ediyor Sorunu giderin ve müşterilerimize hizmete geri döndürün" diyen Kaseya, veri merkezlerinin geri getirilmesinden önce daha fazla zamana ihtiyaç olduğunu da sözlerine ekledi. çevrimiçi.
SaaS sunucuları çalışır hale geldiğinde Kaseya, şirket içi istemcilere bir güvenlik yaması dağıtmak için bir program yayınlayacak.
5 Temmuz'daki güncellemede Kaseya, bir düzeltmenin geliştirildiğini ve test ve doğrulama kontrolleri tamamlandıktan sonra ilk olarak SaaS ortamlarına dağıtılacağını söyledi.
Şirket, "SaaS Veri Merkezi restorasyonuna paralel olarak şirket içi müşteriler için yeni yamayı geliştiriyoruz" dedi. "Bu ortamın her yönünü kontrol ettiğimiz için ilk önce SaaS'ı devreye alıyoruz. Bu başladıktan sonra yamayı şirket içi müşteriler için dağıtma planını yayınlayacağız."
FBI tarif edildi olay kısaca şöyle: "Kaseya VSA yazılımındaki bir güvenlik açığından birden fazla MSP'ye ve onların müşterilerine karşı yararlanan bir tedarik zinciri fidye yazılımı saldırısı."
Avcı (1,2) ihlale karışan 30 MSP'yi takip etti ve saldırının Kaseya VSA web arayüzündeki bir kimlik doğrulama atlama güvenlik açığı yoluyla tetiklendiğine "yüksek güvenle" inanıyor.
Siber güvenlik firmasına göre bu, saldırganların kimlik doğrulama kontrollerini atlatmasına, kimliği doğrulanmış oturum, kötü amaçlı bir veri yükleme ve SQL enjeksiyonu aracılığıyla komutları yürütme, böylece kod yürütme işleminin gerçekleştirilmesi süreç.
Huntress'in CEO'su ve kurucu ortağı Kyle Hanslovan, 6 Temmuz'daki saldırının teknik yönlerinin tartışıldığı bir web seminerinde katılımcılara, sorumlu tehdit aktörlerinin "çılgınca etkili" olduklarını söyledi.
"Tehdit aktörlerinin, saldırı yoluyla kaç işletmeyi hedef aldıklarına dair herhangi bir fikri olduğuna dair hiçbir kanıt yok. VSA" yorumunu yapan Hanslovan, olayın daha çok "karşı bir yarış" nedeniyle şekillenmiş gibi göründüğünü ekledi. zaman."
"Bir VSA Sunucusunun bazı işlevleri, yazılımın dağıtımı ve BT görevlerinin otomasyonudur." Sophos kaydetti. "Bu nedenle müşteri cihazlarına yüksek düzeyde güven var. VSA Sunucusuna sızarak, bağlı herhangi bir istemci, VSA Sunucusunun istediği görevi sorgusuz sualsiz gerçekleştirecektir. Muhtemelen Kaseya'nın hedef alınmasının nedenlerinden biri de budur."
Satıcı ayrıca bir derinlemesine teknik analiz saldırının.
Güvenlik uzmanı Kevin Beaumont dedi ki Bu fidye yazılımının, "Kaseya VSA Agent Hot-fix" olarak adlandırılan Kaseya VSA kullanılarak otomatik, sahte ve kötü amaçlı bir yazılım güncellemesi aracılığıyla gönderildiği belirtildi.
Beaumont, "Bu sahte güncelleme daha sonra MSP müşteri müşterilerinin sistemleri de dahil olmak üzere tüm siteye dağıtılıyor çünkü bu sahte bir yönetim aracısı güncellemesi." "Bu yönetim aracısı güncellemesi aslında REvil fidye yazılımıdır. Açıkça söylemek gerekirse bu, Kaseya'nın müşterisi olmayan kuruluşların hâlâ şifrelenmiş olduğu anlamına geliyor."
Huntress, RiskIQ'dan gelen bir ipucuyla, saldırının başlangıç noktası olarak kullanılmış olabilecek bir AWS IP adresini de araştırıyor.
5 Temmuz'da Kaseya bir yayın yayınladı saldırıya genel bakış2 Temmuz'da uç noktalarda fidye yazılımı dağıtımı raporlarıyla başladı.
"Bu raporların ışığında yönetim ekibi toplandı ve herhangi bir kötü amaçlı yazılımın yayılmasını önlemek için iki adım atmaya karar verdi: şirket içi müşterilerimize VSA sunucularını kapatmaları için bildirimler gönderdik ve VSA SaaS altyapımızı kapattık" diyor şirket.
Firmaya göre, saldırganlar, kimlik doğrulamayı atlamak ve kod yürütmek için sıfır gün güvenlik açıklarından yararlanarak uç noktalara fidye yazılımı bulaştırmalarına olanak sağladı. Ancak Kaseya, VSA kod tabanının "kötü niyetli olarak değiştirildiğine" dair hiçbir kanıt bulunmadığını vurguluyor.
Hollanda Güvenlik Açığı Açıklama Enstitüsü (DIVD) araştırmacısı Wietse Boonstra, önceden tanımlanmış Fidye yazılımı saldırılarında kullanılan, CVE-2021-30116 olarak takip edilen bir dizi güvenlik açığı. Bunlar Koordineli Güvenlik Açığı Açıklama anlaşması kapsamında rapor edildi.
"Kaseya, bildirdiğimiz güvenlik açıklarının farkına vardıktan sonra onlarla sürekli iletişim ve işbirliği içinde olduk. Raporumuzdaki maddeler net olmadığında doğru soruları sordular" diyor DIVD. "Ayrıca, etkililiğini doğrulamak için kısmi yamalar bizimle paylaşıldı. Tüm süreç boyunca Kaseya, hem bu sorunun çözülmesi hem de müşterilerinin yamalanması için bu vakaya maksimum çabayı ve inisiyatifi göstermeye istekli olduklarını gösterdi. "
Hafta sonu Kaseya, SaaS müşterilerinin "hiçbir zaman risk altında olmadığını" söyledi ve mevcut tahminler, dünya çapında 40'tan az şirket içi müşterinin etkilendiğini gösteriyor.
Ancak az sayıda Kaseya müşterisinin doğrudan MSP'ler enfekte olduğundan, bu hizmetlere güvenen zincirin daha alt kısımlarındaki KOBİ müşterileri de etkilenebilir. onların sırası.
Binaen raporlaraİsveç'te 800 Coop süpermarket zinciri mağazası kasalarını açamadıkları için geçici olarak kapanmak zorunda kaldı.
Avcı dedi ki Reddit açıklayıcısı Tahminen 1000 şirketin sunucuları ve iş istasyonları şifrelendi. Satıcı, "binlerce küçük işletmenin" etkilenmiş olabileceğini öne sürmenin makul olduğunu ekledi.
Sophos Başkan Yardımcısı Ross McKerchar, "Bu, Sophos'un şimdiye kadar gördüğü en kapsamlı fidye yazılımı saldırılarından biri" yorumunu yaptı. "Şu anda elimizdeki kanıtlar 70'ten fazla yönetilen hizmet sağlayıcının etkilendiğini ve bunun sonucunda 350'den fazla kuruluşun daha fazla etkilendiğini gösteriyor. Mağdur örgütlerin tam kapsamının, herhangi bir güvenlik şirketinin rapor ettiğinden daha yüksek olmasını bekliyoruz."
5 Temmuz'da Kaseya önceki tahminlerin revize edilmesi "60'tan az" müşteriye, "şu ana kadar toplam etkinin 1.500'den az alt işletme üzerinde olduğunu anlıyoruz" diye ekledi.
Şimdi 6 Temmuz'da tahmin etmek 50 arasında doğrudan müşteri ve zincirde 800 ile 1.500 arasında işletme bulunmaktadır.
SaaS ortamları söz konusu olduğunda Kaseya, "Hiçbir SaaS müşterimizin güvenliğinin ihlal edildiğine dair kanıt bulamadık" diyor.
İçinde basın bülteni 6 Temmuz tarihli bir raporda Kaseya, "Kaseya'nın yaklaşık 50 müşterisini etkilemesine rağmen, bu saldırının hiçbir zaman bir tehdit oluşturmadığı ve kritik altyapıya herhangi bir etkisi olmadığı" konusunda ısrar etti.
Palo Alto Networks'e göre çevrimiçi, görünür ve saldırganlara açık olan savunmasız Kaseya sunucularının sayısı 2 Temmuz'da yaklaşık 1.500'den 8 Temmuz'da 60'a %96 düşüş gösterdi.
Fidye yazılımı, dosyaların ve sürücülerin şifrelenmesinde uzmanlaşmış bir kötü amaçlı yazılım türüdür.
Modern işletmelerin şu anda karşılaştığı en şiddetli ve ciddi güvenlik sorunlarından biri haline gelen fidye yazılımları, dünya çapındaki tehdit aktörleri tarafından sistemleri ele geçirmek ve operasyonları aksatmak için kullanılıyor.
Bir kurbanın sistemi veya ağı şifrelendiğinde, siber suçlular sisteme bir fidye notu yerleştirecek ve şifre çözme anahtarı (çalışabilir veya çalışmayabilir) karşılığında ödeme talep edeceklerdir.
Günümüzün fidye yazılımı operatörleri, belirli bir fidye yazılımı türüne erişmek ve onu kullanmak için 'abone olduklarında' Hizmet Olarak Fidye Yazılımının (RaaS) bir parçası olabilirler. Ortaya çıkan bir diğer trend ise, fidye yazılımı baskını sırasında kurbanın bilgilerinin çalındığı çifte gasptır.
Ödemeyi reddederlerse verilerinin çevrimiçi olarak satılması veya yayınlanması ihtimaliyle karşı karşıya kalabilirler.
Yaygın ve iyi bilinen fidye yazılımı aileleri arasında REvil, Locky, WannaCry, Gandcrab, Cerber, NotPetya, Maze ve Darkside yer alıyor.
Okumaya devam etmek:Fidye yazılımı nedir? İnternetteki en büyük tehditlerden biri hakkında bilmeniz gereken her şey
Ayrıca bakınız:
- Fidye yazılımı saldırıları siber reasürans oranlarını %40 artırdı
- Fidye Yazılımı: Bu yeni ücretsiz araç, siber güvenliğinizin bir saldırıyı durduracak kadar güçlü olup olmadığını test etmenizi sağlar
- Bu büyük fidye yazılımı saldırısı son dakikada engellendi. İşte bunu nasıl fark ettiler
Siber saldırının nedeni şunlar: REvil/Sodinikibi Dark Web sızıntı sitesi "Happy Blog"un sorumluluğunu üstlenen fidye yazılımı grubu.
Hafta sonu yapılan bir güncellemede, Rusya ile bağları olduğuna inanılan operatörler, "bir milyondan fazla" sisteme virüs bulaştığını iddia etti.
REvil, evrensel olduğu iddia edilen ve bu nedenle tüm şifrelenmiş sistemlerin kilidini açabilen bir şifre çözme anahtarını, bitcoin (BTC) kripto para biriminde 70 milyon dolarlık 'pazarlık' fiyatıyla teklif etti.
REvil daha önce şirketlere yönelik fidye yazılımı saldırılarıyla ilişkilendirilmişti. JBS dahil, Travelex ve Akçaağaç.
fidye yazılımı notu dosyaların "şifreli olduğunu ve şu anda kullanılamadığını" iddia ediyor. .csruj dosya uzantısının kullanıldığı bildirildi. Operatörler şifre çözme anahtarı karşılığında ödeme talep ediyorlar ve şifre çözme anahtarının çalıştığını kanıtlamak için bir 'ücretsiz' dosya şifre çözme de masada.
Operatörler şunları ekler (yazımı değiştirilmez):
"Bu sadece bir iş. Avantaj elde etmek dışında sizi ve anlaşmalarınızı kesinlikle önemsemiyoruz. Biz işimizi ve sorumluluğumuzu yapmazsak kimse bizimle işbirliği yapmaz. Bu bizim çıkarlarımıza uygun değil. Hizmetimizle işbirliği yapmamanız bizim için önemli değil. Ancak zamanınızı ve verilerinizi kaybedeceksiniz çünkü özel anahtar elimizde. Pratikte zaman paradan çok daha değerlidir."
Sophos kötü amaçlı yazılım analisti Mark Loman bir ekran görüntüsü paylaştı Twitter'da virüslü bir uç noktaya yerleştirilen ve 44.999 dolar talep eden bir fidye yazılımı notu.
Huntress'in kıdemli güvenlik araştırmacısı John Hammond, ZDNet'e şirketin halihazırda 5 milyon dolara varan fidye talepleri gördüğünü söyledi.
Kevin Beaumont ne yazık ki öyle olduğunu söylüyor Kurbanları gözlemledi Fidye yazılımının operatörleriyle "ne yazık ki pazarlık yapıyoruz".
Emsisoft'un CTO'su Fabian Wosar da şunları açıkladı: bir Twitter dizisinde Ödeme yapan tek bir kuruluş tarafından elde edilen bir anahtarı kullanmanın neden tüm mağdurların kilidini açmak için uygun bir yol olması pek olası değildir.
"REvil, satın alınanlar olmadan yalnızca tek bir kurbanın şifresini çözme yeteneğine kesinlikle sahip. şifre çözme araçları aynı kampanya genel anahtarından etkilenen diğer kurbanlar için de geçerlidir." uzman kaydetti.
CNBC raporları özel görüşmelerde evrensel fidye talebinin 50 milyon dolara düşürüldüğünü söyledi. Ancak 7 Temmuz itibarıyla, tehdit grubunun sızıntı sitesindeki halkın 70 milyon dolarlık talebi değişmedi.
İhlal anında Kaseya, emniyet teşkilatına ve siber güvenlik kurumlarına bilgi verdi. Federal Soruşturma Bürosu (FBI) ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA).
FBI ve CISA açıkladı ortak açıklama Güvenlik olayıyla ilgili olarak müşterileri, riskleri belirlemek için Kaseya tarafından sağlanan bir aracı çalıştırmaya çağırıyoruz. nerede olursa olsun kurumsal hesaplarda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirme ve uygulama olası.
Kaseya, "hem SaaS hem de şirket içi müşteriler için hizmet restorasyonu öncesinde sistemler ve ağ güçlendirme gereksinimlerini tartışmak üzere" FBI ve CISA ile toplantılar düzenliyor.
Beyaz Saray kuruluşlardan, güvenliklerinin ihlal edildiğinden şüphelenmeleri durumunda İnternet Suçları Şikayet Merkezi'ni (IC3) bilgilendirmelerini istiyor.
Cumartesi günü ABD Başkanı Biden federal istihbaratı yönlendirdiğini söyledi soruşturma yapacak kurumlar.
Perimeter 81 CEO'su Amit Bareket, ZDNet'e "Bir MSP platformunu hedeflemek (aynı anda birçok müşteriyi yönetmek) çok iyi düşünülmüş ve planlanmıştı" dedi. "Benzersiz olan şey, bilgisayar korsanlarının daha stratejik hale gelmesi ve tek seferde birçok şirkete sızacak platformları hedeflemesidir. RMM'ler (uzaktan izleme ve yönetim) temel olarak pek çok şirketin anahtarıdır ve bu da kötü aktörlerin krallığı anlamına gelir."
Beyaz Saray güçlendirmeye çalıştı siber suçlara karşı tutumu Bu saldırının ışığında, Rusya Devlet Başkanı Vladimir Putin'i, sorunu kendi arka bahçesinde çözmediği sürece "harekete geçeceğimiz veya kendi başımıza harekete geçme hakkını saklı tutacağımız" konusunda uyardı.
Kaseya, 4 Temmuz itibarıyla şirketin artık saldırının temel neden analizinden kurtarma ve yama planlarına geçtiğini söyledi:
- Aşamalı kurtarma planımızın öncelikle SaaS ile ve ardından şirket içi müşterilerle iletilmesi.
- Kaseya, saldırının ve saldırıyı hafifletmek için yaptıklarımızın bir özetini yayınlayacak.
- Az kullanılan bazı eski VSA işlevleri, bu sürümün bir parçası olarak, çok dikkatli olunması nedeniyle kaldırılacaktır. İşlevselliğin belirli bir listesi ve bunun VSA yetenekleri üzerindeki etkisi sürüm notlarında özetlenecektir.
- SaaS sunucularımızın FireEye tarafından gelişmiş güvenlik izlemesi ve gelişmiş WAF özelliklerinin etkinleştirilmesi de dahil olmak üzere yeni güvenlik önlemleri uygulanacaktır.
- Harici bir Güvenlik Açığı Taramasını başarıyla tamamladık, Göstergeler için SaaS Veritabanlarımızı kontrol ettik Başarılı bir hizmet sağlamak için harici güvenlik uzmanlarının kodlarımızı incelemesini sağladık tekrar başlat.
AB ile başlayan veri merkezleri, ardından İngiltere, APAC ve ardından Kuzey Amerika sistemleri restore edilecek.
5 Temmuz akşamı geç saatlerde Kaseya, bir yamanın geliştirildiğini ve firmanın süreci hızlandırmak için VSA'yı "aşamalı işlevsellik" ile geri getirme niyetinde olduğunu söyledi. Şirket şöyle açıkladı:
- İlk sürüm, kullanıcı tabanımızın çok küçük bir kısmı tarafından kullanılan aşağıdaki işlevlere erişimi engelleyecektir:
- Klasik Biletleme
- Klasik Uzaktan Kumanda (LiveConnect değil).
- Kullanıcı Portalı
Kaseya, SaaS sunucularının yeniden başlatılmasıyla başlayan ve şu anda 6 Temmuz 16:00 EDT ve 19:00 EDT olarak belirlenen restorasyon çalışmaları için güncellenmiş bir zaman çizelgesi yayınladı. SaaS sunucuları tekrar çevrimiçi hale geldikten sonra 24 saat veya daha kısa sürede devreye girmesi beklenen şirket içi yama da dahil olmak üzere güvenliği iyileştirmeye yönelik yapılandırma değişiklikleri takip edecek.
"Bu zaman dilimini mümkün olan en aza indirmeye odaklandık - ancak herhangi bir sorun bulunursa SaaS'ın devreye alınması sırasında şirket içi müşterilerimizi gündeme getirmeden önce bunları düzeltmek istiyoruz" dedi. diyor.
Ek güvenlik iyileştirmeleri arasında VSA için 7/24 SOC'lerin oluşturulmasının yanı sıra her VSA için web uygulaması güvenlik duvarına (WAF) sahip ücretsiz bir CDN yer alır.
7 Temmuz Güncellemesi: Zaman çizelgesine uyulmadı. Kaseya, VSA SaaS sunumunun "yayınlanmasını engelleyen bir sorunun keşfedildiğini" söyledi.
Kaseya, "Gecikme için özür dileriz ve Ar-Ge ve operasyonlar bu sorunu çözmek ve hizmeti yeniden sağlamak için 24 saat çalışmaya devam ediyor" dedi.
Bir hizmet güncellemesinde satıcı, sorunu çözemediğini söyledi.
Kaseya, "Ar-Ge ve operasyon ekipleri gece boyunca çalıştı ve sürümün engelini kaldırana kadar çalışmaya devam edecekler" diye ekledi.
7 Temmuz 12:00 EDT:
Kaseya, SaaS sistemlerinin kullanıma sunulması sorununu en geç 8 Temmuz Perşembe akşamı çözmeyi umuyor. Etkilenen işletmelerin yaklaşan şirket içi VSA yamasını dağıtmaları için yönergeler sağlayacak ve bugün yayınlanacak olan bir taktik kitabı şu anda yazılıyor.
8 Temmuz itibarıyla Kaseya iki kitap yayımladı: "VSA SaaS Başlangıç Kılavuzu," Ve "Şirket İçi VSA Başlangıç Hazırlık Kılavuzu," müşterilerin hizmete dönüş ve yama dağıtımına hazırlanmalarına yardımcı olmak için.
Ancak iyileşme başlangıçta beklenenden daha uzun sürüyor.
Şirket, "VSA SaaS ve VSA Şirket İçi dağıtımına ilişkin zaman çizelgelerini sıfırlama sürecindeyiz" diyor. "Bu değişken durum üzerinde çalışırken planlarda yaşanan gecikme ve değişiklikler için özür dileriz."
İçinde ikinci video Firmanın CEO'su tarafından kaydedilen mesajda Voccola şunları söyledi:
"VSA'yı devre dışı bırakmak zorunda kalmamız gerçeği benim için çok hayal kırıklığı yarattı, kişisel olarak da çok hayal kırıklığı yarattı. Bu topluluğu hayal kırıklığına uğrattığımı hissediyorum. Ben kendi şirketimi hayal kırıklığına uğrattım, bizim şirketimiz ise sizi hayal kırıklığına uğrattı. [..] Bu saçmalık değil, gerçek bu."
VSA'nın yeni yayınlanma zamanı Pazar, öğleden sonra, Doğu Saati, ayrıca yazılımı güçlendirmek ve dağıtımdan önce güvenliğini artırmak için.
12 Temmuz: Kaseya artık bir yama yayınladı ve güvenlik düzeltmesini dağıtmak için şirket içi müşterilerle çalışıyor. Şirkete göre artık tüm SaaS müşterilerinin %100'ü yayında.
Kaseya, "Destek ekiplerimiz, yamayla ilgili yardım talep eden VSA şirket içi müşterileriyle çalışmaya devam ediyor" diye ekledi.
Kaseya, Uzlaşma Göstergeleri (IoC) dahil olmak üzere bir araç yayınladı. Box aracılığıyla indirildi. Kullanılacak iki PowerShell betiği vardır: biri VSA sunucusunda, diğeri ise uç nokta taraması için tasarlanmıştır.
Öz değerlendirme komut dosyaları çevrimdışı modda kullanılmalıdır. Veri şifrelemeyi ve REvil'in fidye notunu da tarayacak şekilde 5 Temmuz'da güncellendiler.
Ancak komut dosyaları yalnızca potansiyel istismar riskinin tespiti içindir ve güvenlik düzeltmeleri değildir. Kaseya yamaları mümkün olan en kısa sürede yayınlayacak ancak bu arada müşterilerin Pazar gününe kadar beklemesi gerekiyor.
Kaseya, müşterilerini 11 Temmuz'da saat 16.00'da (EDT) tekrar çevrimiçi hale getirmeyi planlıyor.
Firma, "Tüm şirket içi VSA Sunucuları, Kaseya'dan operasyonları geri yüklemenin ne zaman güvenli olacağı konusunda daha fazla talimat alana kadar çevrimdışı kalmaya devam etmelidir" dedi. "VSA'yı yeniden başlatmadan önce bir yamanın yüklenmesi gerekecek."
Cado Güvenliği müdahale ekipleri için kötü amaçlı yazılım örnekleri, IoC'ler ve Yara Kuralları dahil olmak üzere bir GitHub deposu sağladı.
Truesec CSIRT ayrıca bir senaryo yayınladı Etkilenen sistemlerdeki hasarı belirlemek ve azaltmak için GitHub'da.
Kaseya da uyardı Dolandırıcılar bu durumdan yararlanmaya çalışıyor.
"Spam gönderenler, Kaseya Olayı hakkındaki haberleri, Kaseya güncellemeleri gibi görünen sahte e-posta bildirimleri göndermek için kullanıyor. Bunlar, kötü amaçlı bağlantılar ve/veya ekler içerebilecek kimlik avı e-postalarıdır.
Kaseya tavsiyesi olduğunu iddia eden hiçbir bağlantıya tıklamayın veya ekleri indirmeyin."
Biden'ın fidye yazılımı çetelerine ilişkin tutumunu Putin'e netleştirmesinin ardından REvil fidye yazılımı grubunun sızıntı sitesi ele geçirildi ve indirildi kolluk kuvvetleri tarafından.
Yayından kaldırma işlemi REvil'in ödeme sitesini, kamuya açık alanı, yardım masası sohbet platformunu ve müzakere portalını içeriyordu.
Amaç, grup üzerinde bir tür kontrol sağlamak olsa da, fidye yazılımı operatörlerinin sıklıkla siteleri kapattığı, yeniden markalaştığı ve yeniden gruplandığı unutulmamalıdır.
Yayından kaldırmanın bir yan etkisi, müzakerenin kaldırılması ve şifre çözme anahtarı satın alma olasılığının kurbanları kurtarılamaz sistemlerle bırakmasıdır. Bir kurban şifre çözme anahtarı için ödeme yapıldı - ki sonunda çalışmaz hale geldi - artık cepten çıktı ve siber suçlulardan yardım alamıyor.
22 Temmuz'da Kaseya dedi ki şirketin bunu başardığını şifre çözme anahtarını güvence altına al. Bir "üçüncü taraf" tarafından elde edilen şifre çözme anahtarı, kurban ortamlarında başarıyla test edildi ve öneri, şifre çözme anahtarının evrensel olabileceği yönünde.
Şirket, sistemlerin kilitlenmesi nedeniyle mağduriyet yaşayan ve şifre çözme anahtarına ihtiyaç duyan müşterilere ulaşmak için Emsisoft ile birlikte çalışıyor.
Kaseya, "Müşterilerimiz için en yüksek düzeyde güvenlik sağlamaya kararlıyız ve daha fazla ayrıntı ortaya çıktıkça burayı güncellemeye devam edeceğiz" dedi. "Fidye yazılımından etkilenen müşterilerle Kaseya temsilcileri iletişime geçecektir."
Kaseya ödemeyi reddetti şifre çözme anahtarı için.