REvil Digunakan 0-Hari dalam Serangan Ransomware Kaseya, Menuntut Uang Tebusan $70 Juta

  • Whatsapp
Serangan Ransomware Kaseya

Di tengah serangan ransomware rantai pasokan besar-besaran yang memicu rantai infeksi yang membahayakan ribuan bisnis pada hari Jumat, rincian baru telah muncul tentang bagaimana geng kejahatan dunia maya REvil yang terkait dengan Rusia mungkin telah melakukan peretasan yang belum pernah terjadi sebelumnya.

Institut Belanda untuk Pengungkapan Kerentanan (DIVD) pada hari Minggu mengungkapkan itu telah memperingatkan Kaseya tentang sejumlah kerentanan zero-day dalam perangkat lunak VSA-nya (CVE-2021-30116) yang dikatakan sedang dieksploitasi sebagai saluran untuk menyebarkan ransomware. Entitas nirlaba mengatakan perusahaan sedang dalam proses menyelesaikan masalah sebagai bagian dari pengungkapan kerentanan terkoordinasi ketika serangan 2 Juli terjadi.

Bacaan Lainnya

Lebih spesifik tentang kekurangannya tidak dibagikan, tetapi ketua DIVD Victor Gevers mengisyaratkan bahwa zero-days sepele untuk dieksploitasi. Setidaknya 1.000 bisnis dikatakan telah terpengaruh oleh serangan itu, dengan korban diidentifikasi di tidak kurang dari 17 negara, termasuk Inggris, Afrika Selatan, Kanada, Argentina, Meksiko, Indonesia, Selandia Baru, dan Kenya, menurut ESET.

Tim Stack Overflow

Kaseya VSA adalah solusi manajemen TI dan pemantauan jarak jauh berbasis cloud untuk penyedia layanan terkelola (MSP), menawarkan konsol terpusat untuk memantau dan mengelola titik akhir, mengotomatiskan proses TI, menerapkan patch keamanan, dan mengontrol akses melalui otentikasi dua faktor.

REvil Menuntut Uang Tebusan $70 Juta

Aktif sejak April 2019, REvil (alias Sodinokibi) terkenal karena memeras $11 juta dari pengolah daging JBS awal bulan lalu, dengan bisnis ransomware-as-a-service menyumbang sekitar 4,6% dari serangan terhadap sektor publik dan swasta pada kuartal pertama tahun 2021 .

Serangan Ransomware Kaseya

Kelompok ini sekarang meminta pembayaran tebusan sebesar $70 juta untuk menerbitkan decryptor universal yang dapat membuka kunci semua sistem yang telah dilumpuhkan oleh ransomware enkripsi file.

“Pada hari Jumat (02.07.2021) kami meluncurkan serangan terhadap penyedia MSP. Lebih dari satu juta sistem terinfeksi. Jika ada yang ingin bernegosiasi tentang decryptor universal – harga kami adalah $70,000,000 dalam BTC dan kami akan mempublikasikan decryptor publik yang mendekripsi file dari semua korban, jadi semua orang akan dapat pulih dari serangan dalam waktu kurang dari satu jam,” tulis grup REvil di situs kebocoran data dark web mereka.

Serangan Ransomware Kaseya

Kaseya, yang telah meminta bantuan FireEye untuk membantu penyelidikan atas insiden tersebut, berkata itu bermaksud untuk “membawa pusat data SaaS kami kembali online satu per satu dimulai dengan pusat data UE, Inggris, dan Asia-Pasifik kami diikuti oleh pusat data Amerika Utara kami.”

Server VSA lokal akan memerlukan pemasangan tambalan sebelum memulai ulang, perusahaan mencatat, menambahkan itu dalam proses menyiapkan perbaikan untuk rilis pada 5 Juli.

Penasihat Masalah CISA

Perkembangan tersebut telah mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) untuk mengeluarkan nasehat, mendesak pelanggan untuk mengunduh Alat Deteksi Kompromi yang disediakan Kaseya untuk mengidentifikasi indikator kompromi (IoC), mengaktifkan otentikasi multi-faktor, membatasi komunikasi dengan kemampuan pemantauan dan manajemen jarak jauh (RMM) ke pasangan alamat IP yang diketahui, dan Menempatkan antarmuka administratif RMM di belakang jaringan pribadi virtual ( VPN) atau firewall pada jaringan administratif khusus.

Mencegah Serangan Ransomware

“Kurang dari sepuluh organisasi [across our customer base] tampaknya telah terpengaruh, dan dampaknya tampaknya terbatas pada sistem yang menjalankan perangkat lunak Kaseya,” kata Barry Hensley, Kepala Intelijen Ancaman di Secureworks, kepada The Hacker News melalui email.

“Kami belum melihat bukti pelaku ancaman yang mencoba untuk bergerak secara lateral atau menyebarkan ransomware melalui jaringan yang disusupi. Itu berarti bahwa organisasi dengan penerapan Kaseya VSA yang luas kemungkinan akan lebih terpengaruh secara signifikan daripada yang hanya menjalankannya di satu atau dua server. “

Dengan mengorbankan pemasok perangkat lunak untuk menargetkan MSP, yang, pada gilirannya, menyediakan infrastruktur atau pemeliharaan dan dukungan yang berpusat pada perangkat untuk usaha kecil dan menengah lainnya, pengembangan sekali lagi menggarisbawahi pentingnya mengamankan rantai pasokan perangkat lunak, sementara juga menyoroti bagaimana agen yang bermusuhan terus memajukan motif keuangan mereka dengan menggabungkan dua ancaman serangan rantai pasokan dan ransomware untuk menyerang ratusan korban sekaligus.

“MSP adalah target bernilai tinggi — mereka memiliki permukaan serangan yang besar, menjadikannya target yang menarik bagi penjahat dunia maya,” kata Kevin Reed, kepala petugas keamanan informasi di Acronis. “Satu MSP dapat mengelola TI untuk lusinan hingga seratus perusahaan: alih-alih membahayakan 100 perusahaan yang berbeda, para penjahat hanya perlu meretas satu MSP untuk mendapatkan akses ke semuanya.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *