Više hiljada organizacija žrtve REvil ransomwara

Pogođeni svi u lancu snabdevanja Kaseya MSP platforme!

Više hiljada organizacija žrtve REvil ransomwara

Više hiljada organizacija, korisnika Kaseya MSP platforme, pretrpelo je prošlog petka ransomware napad. Zbog ozbiljnosti napada, Kaseya je preporučila korisnicima da isključe svoje VSA servere.

Napad se desio u petak popodne, pred proslavu Dana nezavisnosti u SAD, jer su napadači računali da će većina zaposlenih raditi kraće tog dana.

Kaseya VSA je cloud platforma koja omogućava Managed Service provajderima (MSP) da za svoje klijente rade patch management i monitoring klijenata. Ransomware napadom, iza koga stoji grupa REvil, pogođeno je tridesetak provajdera i nekoliko hiljada njihovih korisnika.

REvil ransomware supply chain napad

REvil ransomware grupa, poznata još i pod imenima Sodinokibi i Leafroller, dobila je pristup infrastrukturi kompanije Kaseya i preko malicioznog ažuriranja za VSA softver raširila ransomware na sve u lancu snabdevanja (supply chain attack).

Potvrđeno je da su napadači iskoristili SQL ranjivost koja omogućava da se izbegne autentifikacija i na taj način pristupili on-prem VSA serverima.

Deo taktike ovog napada je onesposobljavanje bezbednosne funkcije Microsoft Defendera, a zatim se preko stare, ali legitimne verzije Microsoft Defendera pokreće ransomware i kriptuju fajlovi.

Tok napada

Kaseya VSA spušta agent.crt fajt na c:\kworking folder, koji se distribuira kao udate pod nazivom „Kaseya VSA Agent Hot-fix“.

Tada se pokreće PowerShell komanda koja prvo isključuje neke bezbednosne funkcije u Microsoft Defenderu (kao što su real-time monitoring, script scanning, i zaštita mreže). Zatim dekodira agent.crt fajl koristeći legitimnu Windows certutil.exe komandu da bi se raspakovao agent.exe fajl u isti folder, koji se onda pokreće i počinje proces kriptovanja.

Agent.exe je potpisan legitimnim sertifikatom koji glasi na "PB03 TRANSPORT LTD" i sadrži ugrađen ’MsMpEng.exe’ i ’mpsvc.dll’, gde je DLL REvilov enkriptor. Kada se raspakuju 'MsMpEng.exe' i 'mpsvc.dll' se smeštaju na C:\Windows folder.

Napadači traže 60 miliona dolara za otkup

Sajber-kriminalna grupa koja stoji iza ovih napada prvo je tražila 5 miliona dolara, da bi juče ta cifra skočila na 60 miliona dolara za univerzalni dekriptor koji može da otključa sve pogođene fajlove.

Za korisnike Symantec Endpoint proizvoda

Symantec Endpoint proizvodi blokiraju alate koji su korišćeni za ovaj ransomware napad.

Više detalja pročitajte u Symantec Protection Bulletin