史上最悪のランサムウェア攻撃の1つに感染した最大1,500の企業

by PCJISAKUTECH
0 comment


世界中の1,500もの企業が、ソフトウェアメーカーを最初に襲った非常に破壊的なマルウェアに感染しています。 カセヤ。 史上最悪の身代金攻撃の1つで、マルウェアはそのアクセスを使用して、カセヤの顧客を倒しました。

攻撃は、米国での3日間の独立記念日の休日の週末に向けて金曜日の午後に発生しました。 ランサムウェアの最も斬新なギャングの1つであるREvilと提携しているハッカーは、ゼロデイ脆弱性を悪用しました。 カセヤVSAリモート管理サービス、同社によれば、35,000人の顧客が使用しているという。 その後、REvilのアフィリエイトは、Kaseyaのインフラストラクチャの制御を使用して、主に中小企業である顧客に悪意のあるソフトウェアアップデートをプッシュしました。

継続的なエスカレーション

月曜日に投稿された声明、Kaseyaは、約50の顧客が侵害されたと述べました。 そこから、カセヤの顧客が管理する800から1,500の企業が感染したと同社は語った。 ダークウェブ上のREvilのサイトは、100万を超えるターゲットが攻撃に感染しており、グループがユニバーサルデクリプターに7000万ドルを要求していると主張しました。

REvilのサイトが更新され、500GBのデータがロックされたハードドライブを表示しているとされる画像が削除されました。 ランサムウェアグループは、誠意を持って身代金交渉が始まると、サイトから情報を削除することがよくあります。 以前の画像の外観は次のとおりです。

Cyber​​eason

「ランサムウェアギャングがマネージドサービスプロバイダーによって広く使用されている製品でゼロデイ攻撃を行っていることは、良い兆候ではありません。これは、以前に書いたランサムウェアギャングの継続的なエスカレーションを示しています」とセキュリティ専門家で独立研究者のケビンボーモント氏は述べています。 書きました

集団攻撃は世界中に連鎖的な影響を及ぼしました。 火曜日のスウェーデンのスーパーマーケットチェーンCoopは まだ回復しようとしています POSレジとセルフサービスのチェックアウトが機能しなくなったため、800店舗の約半分を閉鎖した後。 ニュージーランドの学校や幼稚園も影響を受け、ルーマニアのいくつかの行政機関も影響を受けました。 ドイツのサイバーセキュリティウォッチドッグ、BSI、 前記 火曜日に、影響を受けたドイツの3つのITサービスプロバイダーを認識していました。 下の地図は、セキュリティ会社Kasperskyが感染を確認している場所を示しています。

カスペルスキー

REvilは、悪名高い真面目なランサムウェアサークルでも、冷酷で洗練されたグループとしての評判を得ています。 その最新の大物の犠牲者は、6月に食肉包装の巨大なJBSでした。 シャットダウン ランサムウェアが自動化されたプロセスを妨害した後、その国際的な業務の膨大な範囲。 JBSは最終的にREvilアフィリエイトに1100万ドルを支払いました。

REvilの以前の犠牲者には、3月に台湾の多国籍電子企業Acerが含まれ、4月にはビジネスパートナーの1つに対する攻撃を受けてAppleを恐喝しようとしました。 REvilは、レディーガガ、マドンナ、U2、その他のトップクラスのエンターテイナーを代表する有名な法律事務所であるGrubman Shire Meiselas&Sacksをハッキングしたグループでもあります。 REvilがデータを公開しない見返りに2100万ドルを要求したとき、法律事務所は365,000ドルを提供したと伝えられています。 REvilは、その需要を4,200万ドルに引き上げ、その後、レディーガガの法的文書を含む2.4GBのアーカイブを公開することで対応しました。

さらに他のREvilの犠牲者には、Kenneth Copeland、SoftwareOne、Quest、Travelexが含まれます。

外科的精度

今週末の攻撃は、ほぼ外科的な精度で行われました。 Cyber​​easonによると、REvilアフィリエイトは最初にターゲット環境にアクセスし、次にKaseya AgentMonitorでゼロデイを使用してターゲットのネットワークを管理制御しました。 base-64でエンコードされたペイロードをagent.crtという名前のファイルに書き込んだ後、ドロッパーがそれを実行しました。

攻撃の流れは次のとおりです。

Cyber​​eason

ランサムウェアドロッパーAgent.exeは、登録者名「PB03TRANSPORTLTD。」を使用するWindowsで信頼された証明書で署名されています。 攻撃者はマルウェアにデジタル署名することで、インストール時に表示される多くのセキュリティ警告を抑制することができます。 Cyber​​easonによると、この証明書は、この攻撃中に展開されたREvilマルウェアによってのみ使用されたようです。

ステルスを追加するために、攻撃者はと呼ばれる手法を使用しました DLLサイドローディング、これは、スプーフィングされた悪意のあるDLLファイルをWindowsのWinSxSディレクトリに配置し、オペレーティングシステムが正当なファイルではなくスプーフィングをロードするようにします。 この場合、Agent.exeは、WindowsDefender実行可能ファイルのファイルである「msmpeng.exe」のDLLサイドローディングに対して脆弱な古いバージョンを削除します。

マルウェアが実行されると、ファイアウォールの設定が変更され、ローカルのWindowsシステムが検出されるようになります。 次に、システム上のファイルの暗号化を開始し、次の身代金メモを表示します。

Cyber​​eason

Kaseyaは、これまでに発見したすべての攻撃がオンプレミス製品を標的にしていると述べています。

「すべてのオンプレミスVSAサーバーは、運用を安全に復元できる時期についてKaseyaからさらに指示が出るまで、オフラインのままにしておく必要があります」と同社は述べています。 アドバイザリー。 「VSAを再起動する前にパッチをインストールする必要があり、セキュリティ体制を強化する方法に関する一連の推奨事項があります。」

同社は、クラウドの顧客が侵害されたという証拠は見つかっていないと述べた。

REvilのアフィリエイトは、攻撃がヒットしたときにKaseyaがパッチを適用することから数日離れていたゼロデイ脆弱性を悪用しました。 CVE-2021-30116は、脆弱性が追跡されたときに、Dutch Institute for Vulnerability Disclosureの研究者によって発見されました。この研究者は、セキュリティ上の欠陥を非公開で報告し、Kaseyaのパッチ適用の進捗状況を監視していたと述べています。

カセヤは「正しいことをするという真のコミットメントを示した」と研究所の代表者は 書きました。 「残念ながら、顧客がパッチを適用する前に脆弱性を悪用する可能性があるため、最終スプリントでREvilに殴打されました。」

このイベントはサプライチェーン攻撃の最新の例であり、ハッカーが広く使用されている製品またはサービスのプロバイダーに感染し、それを使用する下流の顧客を危険にさらすことを目的としています。 この場合、ハッカーはKaseyaの顧客に感染し、そのアクセスを使用して、Kaseyaからサービスを受けた企業に感染しました。

SolarWindsの妥協 12月に発見 別のそのようなサプライチェーン攻撃でした。 SolarWindsのハッキングされたソフトウェアビルドインフラストラクチャを使用して、悪意のあるソフトウェアアップデートを 18,000の組織 同社のネットワーク管理ツールを使用していました。 約9つの連邦機関と100の民間組織がその後の感染を受けました。

この攻撃でネットワークが何らかの形で影響を受けた疑いがある場合は、すぐに調査する必要があります。 カセヤは ツール VSAのお客様は、ネットワーク内の感染を検出するために使用できます。 FBIとサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは 共同発行 特に侵害された場合のカセヤの顧客への推奨事項。



Source link

You may also like

Leave a Comment