Хакеры использовали 0Day в атаке на MSP-провайдера Kaseya, затронувшей сотни организаций по всему миру

На минувшей неделе мировое сообщество всколыхнуло известие о кибератаке на американского MSP-провайдера Kaseya, которую специалисты уже назвали крупнейшей в истории вымогательских атак. Виновником инцидента, затронувшего сотни компаний, использующих программное обеспечение Kaseya, является известная вымогательская группировка REvil, потребовавшая $70 млн в биткойнах за универсальный декриптор для разблокировки всех зашифрованных систем.

На своем сайте в даркнете хакеры заявили, что заразили программой-вымогателем более 1 млн систем.

Изначально предполагалось, что операторы REvil могли получить доступ к бэкенд-инфраструктуре Kaseya и использовать ее для распространения вредоносного обновления и установки вымогателя на VSA-серверах, работающих в сетях клиентов компании.

Однако по данным специалистов нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure), атакующие проэксплуатировали ранее неизвестную уязвимость (0Day) в сервере Kaseya VSA. По словам главы DIVD Виктора Геверса (Victor Gevers), Kaseya находилась в процессе исправления уязвимости (CVE-2021-30116), когда подверглась атаке.

Геверс отказался раскрывать подробности об уязвимости, однако специалисты компании Huntress Labs, одной из первых сообщивших об инциденте, отметили , что по некоторым признакам речь идет об уязвимости обхода аутентификации в web-интерфейсе VSA. Судя по всему, атакующие использовали ее для обхода авторизации на web-панели VSA, а затем выполнили SQL-команды на устройствах VSA для установки вымогательского ПО на всех подключенных клиентах.

Представители Kaseya отказались комментировать ситуацию в связи с ведущимся расследованием, однако компания сообщила , что выявила уязвимость и готовит исправление. Кроме того, провайдер предоставил своим клиентам новый инструмент под названием Compromise Detection Tool для проверки серверов на предмет взлома.

По данным DIVD, из 2 200 VSA-серверов, видимых в интернете на момент атаки, подключенными остаются менее 140.

В выходные специалисты ИБ-компании ESET зафиксировали всплеск заражений вымогательским ПО REvil, которые они связывают с инцидентом Kaseya. Как сообщили в компании, основная масса заражений приходится на Великобританию, Южную Африку, Германию и США.