Security

Attack mot Kaseya

David Järnström

Uppdatering 2021-07-06

Uppdatering kring Kaseya attacken

Kort sammanfattning om Kaseya attacken

Kaseya har en mjukvara och tjänst som är till för att managera och övervaka servrar & klienter. Det finns både som en SaaS tjänst och en on-prem variant. Kaseyas on-prem tjänst och många av Kaseyas kunder som använder tjänsten har blivit utsatta för Ransomeware.

 

Vad har hänt?

En rysk hackergrupp har blivit utpekade för att ha utfört en så kallad ”Supply-Chain attack”, den riktar in sig mot leverantörer av olika slag för att komma åt alla dess kunder. Solarwinds attacken som skedde globalt under 2020 var också en ”Supply-Chain attack”, skillnaden mot nu är att i Solarwinds attacken stal man information och nu attackerar man med Ransomeware för att få företag att betala pengar.

Vad Du ska göra om ni blivit utsatta

Det finns lite att göra om man redan är drabbad

  • Försök isolera attacken så mycket som möjligt
  • Gå igenom backuper för att se om det dels finns backup och om den är fri från Ransomeware
  • Om man kontaktas via mail för lösensumma ska man inte klicka på länkar då dem kan sprida ännu mer virus
  • Kaseya kommer kontakta alla av deras kunder som är påverkade med hjälp

Därför rekommenderar Kaseya att man helt stänger av sin Kaseya VSA-server för att angriparna tar bort övrig administrativ access till denna för att låsa ute de riktiga administratörerna.

Uppdatering 2021-07-06

Senaste dagarna har säkerhetsforskare hittat ny information om vad som har hänt. Ursprungliga attacken har kommit från en webserver som ligger i Amazon AWS med IP 18[.]223.199.234. Detta IP kan användas som Indicator of Compromise (IoC) om man använder Kaseya. Webservern tillhör ett legitimt företag men REvil har hackat och använt den för att dölja sina spår.

Kaseya har fortsatt inge nya rekommendationer än att bör hålla sina VSA servrar avstängda.

Reuters har en artikel som beskriver händelsen där dem citerar en av angriparna med följande uttalande ang nedstängingen av Coop.
The supermarkets’ closure was ”nothing more than a business,” the representative said.
Up to 1,500 businesses affected by ransomware attack, U.S. firm’s CEO says | Reuters

Upptäck mer