Kaseya vá lổ hổng sau cuộc tấn công Zero-day ảnh hưởng 1500 khách hàng

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi ToanDV, 07/07/21, 09:07 AM.

  1. ToanDV

    ToanDV Moderator Thành viên BQT

    Tham gia: 02/02/21, 09:02 AM
    Bài viết: 46
    Đã được thích: 8
    Điểm thành tích:
    8
    Băng đảng ransomware REvil giảm giá cho bộ giải mã phổ quát sau khi ransomware khổng lồ trên toàn thế giới đẩy mạnh lỗ hổng bảo mật Kaseya CVE-2021-30116.

    anh.jpg

    Các cuộc tấn công ngày 2 tháng 7 trên toàn thế giới nhắm vào Hệ thống ảo Kaseya(VSA)/Quản trị viên máy chủ của nhóm này là kết quả của việc khai thác ít nhất một lỗ hổng Zero-day và công ty đang chuyển sang chế độ giảm thiểu hoàn toàn cho tới khi các bản vá ra mắt có thể vào cuối tuần này.

    Phần mềm VSA được sử dụng để giám sát và quản lý từ xa phần mềm cơ sở hạ tầng mạng. Nó được cung cấp dưới dạng dịch vụ đám mây được lưu trữ bởi Kaseya thông qua các máy chủ VSA tại chỗ.

    Ước tính cuộc tấn công đã dẫn đến việc mã hóa tệp cho khoảng 60 khách hàng bằng cách sử dụng phiên bản hiện tại của nền tảng, nhiều trong số đó được quản lý nhà cung cấp sử dụng dịch vụ (MSP) sử dụng VSA để quản lý mạng của các công ty khác.

    Kết nối MSP cho phép REvil tiếp cận tới khách hàng, có khoảng 1500 doanh nghiệp bị ảnh hưởng. Ước tính hơn một triệu hệ thống riêng lẻ đã bị khóa và Kaspersky cho biết họ phát hiện hơn 5000 nỗ lực tấn công ở 22 quốc gia.

    Nếu máy chủ VSA được kết nối Internet, bất kỳ lỗ hổng nào có thể lợi dụng qua Internet để xâm nhập máy chủ. Một nhánh của REvil đã xác định và khai thác lỗ hổng Zero-day trong máy chủ VSA. Lỗ hổng để đưa ra một tập lệnh độc hại được gửi đến tất cả các máy tính do máy chủ quản lý, do đó sẽ tiếp cận đến người dùng cuối. Tập lệnh đã phân phối ransomware REvil và mã hóa hệ thống.

    Cơ quan An ninh mạng và Cơ sở hạ tầng (CSIA) và FBI cũng đưa ra lời khuyên tới người dùng chưa bị ảnh hưởng bởi cuộc tấn công này.

    Kaseya cũng sử dụng nền tảng phần mềm dưới dạng dịch vụ (SaaS) ngoại tuyến, giảm đáng kể số lượng khách hàng tiếp xúc với internet và do đó bị tấn công. Nó cho biết nó sẽ trực tuyến trở lại và khởi động lại theo từng đợt.

    REvil giảm tiền chuộc cho Universal Decryptor

    REvil đang cung cấp khóa giải mã công khai toàn cầu sẽ khắc phục tất cả các nạn nhân bị ảnh hưởng, nhóm này đã hạ giá từ 70 triệu USD xuống 50 triệu USD.

    Theo đó, một số công ty đang chuyển sang đàm phán riêng lẻ với REvil và được yêu cầu số tiền 550.000 USD (giảm còn 220.000 USD) và trong một số trường hợp khác tiền chuộc còn thấp hơn 50.000 USD.

    Các nhà nghiên cứu của Kaspersky cho biết: “REvil sử dụng thuật toán luồng đối xứng Salsa20 để mã hóa nội dung của tệp và khóa của nó bằng thuật toán bất đối xứng đường cong elliptic. Không thể giải mã các tệp bị ảnh hưởng bởi phần mềm độc hại này nếu không có khóa của tội phạm mạng do cách triển khai và chương trình mật mã an toàn được sử dụng trong phần mềm độc hại này".

    Zero Days, Not SolarWinds Phần 2

    “Những kẻ tấn công đã có thể khai thác các lỗ hổng zero-day trong sản phẩm VSA để bỏ qua xác thực và thực thi lệnh tùy ý, công ty lưu ý trong phân tích sự cố kỹ thuật của mình. Điều này cho phép những kẻ tấn công tận dụng chức năng sản phẩm VSA tiêu chuẩn để triển khai ransomware tới các điểm cuối. Không có bằng chứng nào cho thấy cơ sở mã VSA của Kaseya đã bị sửa đổi một cách ác ý".

    Kaseya đã biết về một lỗi (CVE-2021-30116) trước khi các cuộc tấn công bắt đầu - nó đã được báo cáo cho công ty bởi Viện tiết lộ lỗ hổng bảo mật Hà Lan (DIVD).

    Các nhà nghiên cứu tại Huntress Labs đã xác định được zero-day được sử dụng trong cuộc tấn công, mặc dù không rõ liệu nó có tách biệt với CVE-2021-30116 hay không: “Huntress đã xác nhận rằng tội phạm mạng đã khai thác lỗ hổng bằng cách tải lên tệp và chèn mã tùy ý có độ tin cậy cao, nó bỏ qua xác thực đã được sử dụng để truy cập vào các máy chủ này".

    Trong khi đó, TruSec lưu ý rằng “[mặc dù] không phải tất cả các chi tiết đều đã được xác nhận, nhưng chúng tôi có thể nói với độ tin cậy cao rằng việc khai thác có liên quan đến nhiều lỗ hổng: Bỏ qua xác thực, tải lên tệp tùy ý, tiêm mã".

    Theo Kaspersky, việc khai thác liên quan đến việc những kẻ tấn công triển khai một ống nhỏ giọt độc hại thông qua một tập lệnh PowerShell. Tập lệnh đó vô hiệu hóa các tính năng của Microsoft Defender và sau đó sử dụng tiện ích certutil.exe để giải mã tệp thực thi độc hại (agent.exe) làm rơi phiên bản Microsoft Defender cũ hơn, cùng với phần mềm tống tiền REvil được đóng gói vào thư viện độc hại. Thư viện đó sau đó được tải bởi MsMpEng.exe hợp pháp bằng cách sử dụng kỹ thuật tải bên DLL.
    Theo threat post
     
    Chỉnh sửa cuối: 12/07/21, 04:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. DDos
  2. WhiteHat Team
  3. WhiteHat News #ID:0911
  4. WhiteHat Team
  5. WhiteHat Team