Ransomware REvil Menargetkan MSP Melalui Serangan Rantai Pasokan Kaseya

  • Whatsapp

Sementara serangan ransomware sudah membuat organisasi yang ditargetkan tidak berdaya selama berhari-hari, beberapa serangan dapat memiliki efek domino juga. Sebuah insiden baru-baru ini membuktikan hal yang sama: geng ransomware REvil mengeksploitasi Kaseya untuk memicu serangan rantai pasokan terhadap MSP.

REvil Ransomware Kaseya Supple-Chain Attack

Dilaporkan, Kaseya Corp – sebuah perusahaan penyedia solusi keamanan dan manajemen TI – telah menjadi korban serangan siber yang serius.

Pada 2 Juli 2021, perusahaan mengungkapkan bahwa mereka telah mengalami serangan siber yang memengaruhi “sejumlah kecil pelanggan di lokasi”. Sementara pengungkapan awal tidak mengungkapkan sifat insiden itu, Kaseya mendesak untuk mematikan server VSA.

Anda harus segera melakukannya karena salah satu hal pertama yang dilakukan penyerang adalah mematikan akses administratif ke VSA.

Seperti yang dinyatakan dalam pembaruan ke penasehat, Kaseya dapat mengidentifikasi sekitar 40 dari 39.000 pelanggannya yang terkena dampaknya.

Selain itu, update terbaru dari Kaseya mengkonfirmasi keterlibatan ransomware yang lebih menargetkan pelanggan juga.

Meskipun, itu belum membagikan detail yang tepat untuk saat ini. Namun, menurut beberapa laporan, Kaseya telah menjadi mangsa ransomware REvil yang melakukan serangan rantai pasokan.

Secara singkat, penyerang mengeksploitasi kerentanan untuk meluncurkan pembaruan server VSA berbahaya yang memengaruhi MSP (penyedia layanan terkelola).

Mengenai bagaimana hal itu bisa terjadi, analis malware dari Sophos, Mark Loman, menjelaskan bahwa malware mematikan solusi antivirus pada sistem target terlebih dahulu. Itu kemudian mendorong biner berbahaya yang meniru Microsoft Defender untuk mengeksekusi ransomware dan enkripsi berikutnya.

CISA AS Memperhatikan Masalah ini

Setelah melihat insiden itu, perusahaan segera menutup server SaaS-nya, meskipun mereka tidak terpengaruh, untuk berhati-hati. Juga, mereka memberi tahu semua pelanggan, dan penegak hukum tentang masalah ini.

Akibatnya, CISA AS mengkonfirmasi meninjau insiden tersebut melalui tweet terbaru.

Adapun jumlah tebusan, laporan menunjukkan bahwa penyerang telah menuntut $ 5 juta untuk menyediakan decryptor. Sedangkan, untuk MSP individu, permintaan ini menyusut hingga $50.000.

Serangan ini mengingatkan kita pada insiden SolarWinds yang mengguncang dunia korporat secara global. Mari kita lihat bagaimana hal-hal terungkap dalam beberapa hari mendatang.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *