Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
200 firm właśnie zostało zaszyfrowanych. Wg doniesień – przyczyną jest złośliwa aktualizacja oprogramowania Kaseya.
Jeszcze wiele o incydencie nie można napisać, ale zobaczcie ten wątek na Reddicie. Prawdopodobnie w pewien sposób udało się operatorom ransomware (Revil) zainfekować aktualizację oprogramowania Kaseya:
Kaseya wydała na gorąco takie oświadczenie:
We are in the process of investigating the root cause of the incident with an abundance of caution but we recommend that you IMMEDIATELY shutdown your VSA server until you receive further notice from us.
Its critical that you do this immediately, because one of the first things the attacker does is shutoff administrative access to the VSA.
Incydent cały czas trwa – jeśli dowiemy się czegoś więcej – aktualizacja pojawi się tutaj.
Aktualizacja (4.07.2021): pojawiły się nowe szacunki, mówiące o przeszło 1000 firmach, które zostały dotknięte wspominanym ransomware.
–ms
Jak zwykle w piąteczek po robocie już się witasz z zimnym piwem a tu taki kwas … Łby bym im pourywał.
Czekam na tytuł, że administracja państwowa została zaszyfrowana aktualizacją Płatnika.
To nie administracja, tylko polscy przedsiębiorcy zostaliby w tym momencie załatwieni „na cacy” administracja płatnika nie używa a tylko danych z niego wyslanych. Ale fakt, wektor „płatnik” należałoby uznać za strategiczny dla bezpieczeństwa informatycznego kraju.
Nie podpowiadaj takich manewrów, bo efektem będzie powrót do papieru ;)
Przecież na Ukrainie to już dawno miało miejsce, poprzez taki ich odpowiednik naszego płatnika.
Ciekawe, które oprogramowanie do monitorowania/zarządzania siecią będzie kolejną ofiarą.
Natomiast administratorzy niech sobie przypomną czy przypadkiem ich monitoring serwerów np. po WMI nie działa na koncie lokalnego admina (bo tak łatwiej konfigurować) lub gorzej na administratorze domenowym a na linuxach przypadkiem nie dali pełnego sudo. Gorzej jak nawet tego nie wiedzą bo przecież to firma zewnętrzna wdrażała a dla nas ważne jest tylko, że działa.
Oczywiście w przypadku pełnej integracji i automatyzacji oraz używania agenta danego rozwiązania do monitorowania zasobów trudniej wprowadzić ograniczenia uprawnień aby złośliwie byty wyrządziły nam jak najmniejsze szkody ale warto próbować.
Chyba największe obecnie zagrożenie to „autoupdate” przez różne oprogramowanie własnymi kanałami.
Każdy „rzepkę sobie skrobie” zamiast zrobić porządny zunifikowany i bezpieczny system auto aktualizacji, przy pomocy systemowego mechanizmu.
Z drugiej strony MS Defender, albo jak zwykle miał jakąś lukę, że udało załadować się złośliwy kod do jego procesu, albo był źle skonfigurowany.
Wchodząc na stronę Keseya i odwiedzając podstronę VSA, tekst w boxach tak się rozjeżdża, że na miejscu firm miałbym wątpliwości, co do profesjonalności ich produktów.
Przecież od lat jest apt update, apt upgrade (i alternatywy)……. a nie czekaj to Windows – witamy w latach 90-tych ;-)
Swedish Coop supermarkets shut due to US ransomware cyber-attack – BBC News
https://www.bbc.com/news/technology-57707530
Jaki jest sens, w tym przypadku, wrzucać random do pliku?
echo %RANDOM% >> C:\Windows\cert.exe
poza tym, że zmieni się hash ….
hm, dwa pytania – 1. dlaczego operatorzy chmury publicznej nie skanują ruchu wychodzącego ze swojego środowiska, tylko pozwalają na stawianie wyjścia tego syfu u siebie (czyli również odpowiadają za ten syf)? 2. czy jest na tej planecie aplikacja do monitorowania sieci, do której można mieć zaufanie (i co oznacza „bezpieczne”)?
Oprogramowanie Morphisec chroni stacje i serwery przed tym atakiem. Orange ma go w portfolio
Naganiaj dalej. Ludzie z bezpieczeństwa stamtąd uciekają, jeszcze chwila i to portfolio HRy będą wdrażać po klientach.