Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

200 firm właśnie zostało zaszyfrowanych. Wg doniesień – przyczyną jest złośliwa aktualizacja oprogramowania Kaseya.

02 lipca 2021, 22:19 | W biegu | komentarzy 13

Jeszcze wiele o incydencie nie można napisać, ale zobaczcie ten wątek na Reddicie. Prawdopodobnie w pewien sposób udało się operatorom ransomware (Revil) zainfekować aktualizację oprogramowania Kaseya:

Kaseya wydała na gorąco takie oświadczenie:

We are in the process of investigating the root cause of the incident with an abundance of caution but we recommend that you IMMEDIATELY shutdown your VSA server until you receive further notice from us.

Its critical that you do this immediately, because one of the first things the attacker does is shutoff administrative access to the VSA.

Incydent cały czas trwa – jeśli dowiemy się czegoś więcej – aktualizacja pojawi się tutaj.

Aktualizacja (4.07.2021): pojawiły się nowe szacunki, mówiące o przeszło 1000 firmach, które zostały dotknięte wspominanym ransomware.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jacek

    Jak zwykle w piąteczek po robocie już się witasz z zimnym piwem a tu taki kwas … Łby bym im pourywał.

    Odpowiedz
  2. aCzemu

    Czekam na tytuł, że administracja państwowa została zaszyfrowana aktualizacją Płatnika.

    Odpowiedz
    • Wojtek

      To nie administracja, tylko polscy przedsiębiorcy zostaliby w tym momencie załatwieni „na cacy” administracja płatnika nie używa a tylko danych z niego wyslanych. Ale fakt, wektor „płatnik” należałoby uznać za strategiczny dla bezpieczeństwa informatycznego kraju.

      Odpowiedz
    • Adam

      Nie podpowiadaj takich manewrów, bo efektem będzie powrót do papieru ;)

      Odpowiedz
      • wschod

        Przecież na Ukrainie to już dawno miało miejsce, poprzez taki ich odpowiednik naszego płatnika.

        Odpowiedz
  3. KrytykIT

    Ciekawe, które oprogramowanie do monitorowania/zarządzania siecią będzie kolejną ofiarą.

    Natomiast administratorzy niech sobie przypomną czy przypadkiem ich monitoring serwerów np. po WMI nie działa na koncie lokalnego admina (bo tak łatwiej konfigurować) lub gorzej na administratorze domenowym a na linuxach przypadkiem nie dali pełnego sudo. Gorzej jak nawet tego nie wiedzą bo przecież to firma zewnętrzna wdrażała a dla nas ważne jest tylko, że działa.

    Oczywiście w przypadku pełnej integracji i automatyzacji oraz używania agenta danego rozwiązania do monitorowania zasobów trudniej wprowadzić ograniczenia uprawnień aby złośliwie byty wyrządziły nam jak najmniejsze szkody ale warto próbować.

    Odpowiedz
  4. Robert

    Chyba największe obecnie zagrożenie to „autoupdate” przez różne oprogramowanie własnymi kanałami.
    Każdy „rzepkę sobie skrobie” zamiast zrobić porządny zunifikowany i bezpieczny system auto aktualizacji, przy pomocy systemowego mechanizmu.

    Z drugiej strony MS Defender, albo jak zwykle miał jakąś lukę, że udało załadować się złośliwy kod do jego procesu, albo był źle skonfigurowany.

    Wchodząc na stronę Keseya i odwiedzając podstronę VSA, tekst w boxach tak się rozjeżdża, że na miejscu firm miałbym wątpliwości, co do profesjonalności ich produktów.

    Odpowiedz
    • Marcin

      Przecież od lat jest apt update, apt upgrade (i alternatywy)……. a nie czekaj to Windows – witamy w latach 90-tych ;-)

      Odpowiedz
  5. Monika
    Odpowiedz
  6. Mariusz

    Jaki jest sens, w tym przypadku, wrzucać random do pliku?
    echo %RANDOM% >> C:\Windows\cert.exe
    poza tym, że zmieni się hash ….

    Odpowiedz
  7. Volontariusz

    hm, dwa pytania – 1. dlaczego operatorzy chmury publicznej nie skanują ruchu wychodzącego ze swojego środowiska, tylko pozwalają na stawianie wyjścia tego syfu u siebie (czyli również odpowiadają za ten syf)? 2. czy jest na tej planecie aplikacja do monitorowania sieci, do której można mieć zaufanie (i co oznacza „bezpieczne”)?

    Odpowiedz
  8. Krzysztof

    Oprogramowanie Morphisec chroni stacje i serwery przed tym atakiem. Orange ma go w portfolio

    Odpowiedz
    • Edward

      Naganiaj dalej. Ludzie z bezpieczeństwa stamtąd uciekają, jeszcze chwila i to portfolio HRy będą wdrażać po klientach.

      Odpowiedz

Odpowiedz