حمله عظیم باج افزار صدها کسب و کار آمریکایی را درگیر خود کرده است

[ad_1]

یک سیب زمینی داغ: یک حمله باج افزار صدها کسب و کار را در سراسر ایالات متحده مورد حمله قرار داده است ، در یک حمله زنجیره تامین که سیستم مدیریت سیستم VSA Kaseya (برای نظارت از راه دور و مدیریت فناوری اطلاعات) استفاده می شود. در حالی که Kaseya ادعا می کند کمتر از 40 نفر از بیش از 36،000 مشتری تحت تأثیر قرار گرفته اند ، هدف قرار دادن ارائه دهندگان خدمات بزرگ مدیریت شده منجر به این می شود که تعداد زیادی مشتری بیشتر در پایین دست تحت تأثیر قرار بگیرند.

کاسیا ایالت ها اینکه حوادث ظهر جمعه از یک حادثه امنیتی مطلع شده است ، در نتیجه آنها سرویس های ابری خود را به حالت تعمیر و نگهداری منتقل کرده و یک مشاوره امنیتی صادر کردند که به همه مشتریانی که دارای سرور محلی VSA هستند ، آن را خاموش کنند تا اطلاع ثانوی ، به عنوان “یکی از اولین کارهایی که مهاجم انجام می دهد خاموش کردن دسترسی اداری به VSA است. ” Kaseya همچنین به FBI و CISA اطلاع داد و همچنین تحقیقات داخلی خود را آغاز کرد.

دومین شرکت به روز رسانی اظهار داشت که خاموش کردن Cloud VSA فقط به عنوان یک اقدام پیشگیرانه انجام شده است و مشتریانی که از سرورهای SaaS خود استفاده می کنند “هرگز در معرض خطر نبوده اند”. با این حال ، Kaseya همچنین گفت كه این خدمات تا زمانی كه شركت تشخیص ندهد كه از سرگیری مجدد عملیات ایمن است ، به حالت تعلیق در خواهد آمد و در زمان نوشتن این تعلیق ، ابر تعلیق VSA بیشتر تا ساعت 9 صبح ET تمدید شد.

سیستم های آلوده چگونه به نظر می رسند. تصویر: کوین بومونت ، از طریق DoublePulsar

باند باج افزار بدحجابی به نظر می رسد محموله آنها از طریق به روزرسانی نرم افزار اتوماتیک استاندارد تحویل داده می شود. سپس از PowerShell برای رمزگشایی و استخراج محتویات آن استفاده می کند در حالی که همزمان چندین مکانیزم Windows Defender مانند نظارت بر زمان واقعی ، جستجوی ابری و دسترسی پوشه کنترل شده (ویژگی ضد باج افزار داخلی مایکروسافت) را سرکوب می کند. این payload همچنین شامل نسخه قدیمی (اما قانونی) Windows Defender است که برای راه اندازی DLL با رمزگذار به عنوان یک اجرایی قابل اعتماد استفاده می شود.

هنوز مشخص نیست که آیا REvil قبل از فعال سازی باج افزار و رمزگذاری قربانیان ، اطلاعاتی را از قربانیان بدزدد ، اما شناخته شده است که این گروه در حملات گذشته این کار را انجام داده است.

مقیاس حمله هنوز در حال گسترش است. حملات زنجیره تأمین مانند اینها که پیوندهای ضعیف موجود در بالادست را به خطر می اندازند (به جای اینکه مستقیماً به اهداف ضربه بزنند) در صورت استفاده گسترده از این پیوندهای ضعیف ، می توانند در مقیاس گسترده خراب کنند – همانطور که VSA Kaseya است ، در این مورد علاوه بر این ، به نظر می رسد زمان رسیدن آن در آخر هفته 4 جولای به حداقل رسیده باشد تا در دسترس بودن کارکنان برای مقابله با تهدید و کند کردن پاسخ به آن به حداقل برسد.

رایانه در ابتدا اظهار داشت که هشت MSP مورد حمله قرار گرفته است ، و شرکت امنیت سایشی Huntress Labs از 200 کسب و کار که توسط سه MSP که با آنها کار می کند به خطر بیفتد ، می داند. با این حال ، به روزرسانی های بیشتر از جان هاموند از Huntress نشان می دهد که تعداد MSP های تحت تأثیر و مشتریان پایین دستی بسیار بیشتر از گزارش های اولیه است و همچنان در حال رشد است.

تقاضا به شدت متفاوت است. به معنای پرداخت ارز رمزنگاری شده Monero ، به نظر می رسد بیشتر باج شروع کن در 44999 دلار اما می توانند تا سقف 5 میلیون دلار بروند. به همین ترتیب ، به نظر می رسد تاریخ سررسید برای پرداخت – پس از آن دو برابر باج – بین قربانیان نیز متفاوت است.

البته ، احتمالاً هر دو رقم به اندازه و مقیاس هدف انجام شده بستگی دارد. REvil ، که به اعتقاد مقامات آمریکایی با روسیه ارتباط دارد ، 11 میلیون دلار از پردازنده های گوشت JBS دریافت کرد ماه گذشته، و خواستار 50 میلیون دلار از ایسر شد برگشت در ماه مارس.

تصویر ماست: خواب کامپیوتر


[ad_2]
Source link