Justo a tiempo para arruinar el fin de semana Atacantes de ransomware Aparentemente, utilizó Kaseya, una plataforma de software diseñada para ayudar a administrar servicios de TI remotos, para entregar su carga útil. El director de Sophos y hacker ético Mark Lowman chirrido Sobre el ataque de hoy, y ahora los informes indican que a los sistemas afectados se les cobrará $ 44,999 para desbloquearlo. Una nota en el sitio web de Kaseya pide a los clientes que apaguen sus servidores VSA por ahora «porque una de las primeras cosas que hace un atacante es desactivar el acceso administrativo a VSA».
Noticia de última hora: Los ciberdelincuentes son hoyos $$.
Tenga en cuenta a todos los equipos de respuesta a incidentes este fin de semana porque están en medio de eso … de nuevo.
Si está utilizando Kaseya VSA, apáguelo * ahora * hasta que se le pida que lo reactive e inicie IR. Aquí está el dúo: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
– Kris Krebs (@C_C_Krebs) 2 de julio de 2021
Según un informe de computadora durmiendoEl ataque tuvo como objetivo seis grandes MSP y datos cifrados de hasta 200 empresas.
a Doble PulsarKevin Beaumont ha publicado más detalles sobre cómo funciona el ataque, con el ransomware REvil llegando a través de la actualización de Kaseya y utilizando privilegios administrativos de plataforma para infectar sistemas. Una vez que los proveedores de servicios administrados están infectados, sus sistemas pueden atacar a los clientes que brindan servicios de TI remotos para (administración de red, actualizaciones del sistema y copias de seguridad, entre otras cosas).
Cassia dijo en un comunicado. el borde que «estamos investigando un posible ataque contra VSA que indica que se limitó a un pequeño número de nuestros clientes locales». Notice afirma que todos sus servidores en la nube están ahora en «modo de mantenimiento», una medida que, según el portavoz, se tomó por «precaución excesiva».
Estamos investigando un posible ataque contra VSA que indica que se limitó a una pequeña cantidad de nuestros clientes locales únicamente. Hemos cerrado proactivamente nuestros servidores SaaS por precaución.
Estamos investigando la causa raíz del accidente con la máxima vigilancia y tenemos:
una. Notifique a todos nuestros clientes de las instalaciones corporativas que apaguen sus servidores VSA de inmediato
B. Apague nuestros servidores SaaS
Algunas empresas de seguridad nos han notificado el problema y también estamos trabajando en estrecha colaboración con ellas. A medida que continuamos investigando el incidente, actualizaremos a nuestros clientes (y partes interesadas) a medida que tengamos más información.
Dana Liedholm, vicepresidenta sénior de comunicaciones corporativas
El ataque de hoy se ha relacionado con la infame banda de ransomware REvil (ya vinculada a ataques en izquierda Y el Proveedor de carne JBS a principios de este año) y Registro Señala que, al agrupar los incidentes bajo más de un nombre, esta puede ser la tercera vez que Kaseya ha sido portador de sus hazañas.
«Zombieaholic. Nerd general de Twitter. Analista. Gurú aficionado de la cultura pop. Fanático de la música».
