Informasjon om løsepengevirusangrep via Kaseya VSA
I forrige uke delte selskapet Kaseya informasjon om en pågående sikkerhetshendelse i deres programvare Kaseya VSA. NSM NCSC har samlet de viktigste kildene til informasjon knyttet til hendelsen så langt.
Fredag 2. juli delte selskapet Kaseya informasjon om en pågående sikkerhetshendelse i deres programvare Kaseya VSA [1]. Kaseya VSA er RMM-programvare (Remote Monitoring and Management) som leveres til tjenesteleverandører og tilsvarende. Sikkerhetshendelsen førte til at en rekke tjenesteleverandører og deres kunder ble rammet av løsepengeviruset REvil.
NCSC ønsker å dele de viktigste kildene til informasjon knyttet til hendelsen så langt. Disse kan benyttes til å detektere eller forhindre lignende operasjoner mot norske virksomheter. NCSC erfarer at Norge i liten grad er rammet, men situasjonsbildet er stadig under utvikling.
Nettverksoperasjonen betegnes som et verdikjedeangrep hvor det trolig er nulldagssårbarheten CVE-2021-30116 som har blitt utnyttet. Ifølge DIVD [2] arbeider Kaseya med å ferdigstille en sikkerhetsoppdatering til sårbarheten.
NCSC anbefaler at virksomheter som benytter Kaseya VSA følger med på informasjonen som publiseres fortløpende på Kaseya sine nettsider [1]. Kaseya har anbefalt alle kunder å skru av Kaseya VSA-servere frem til en sikkerhetsoppdatering eller en mitigering foreligger.
Kaseya publiserte i går, søndag 4. juli, to PowerShell-skript som forsøker å avdekke om systemet er sårbart og om det finnes tegn på kompromittering [3]. Her ligger det også instruksjoner for hvordan disse kan benyttes.
Indikatorer fra hendelsen publiseres fortløpende, blant annet på Github av et sikkerhetsfirma [4]. NCSC har ikke ettergått kvaliteten på disse ressursene.
På generelt grunnlag anbefales det å følge NSM sine oppdaterte råd og anbefalinger for å best mulig sikre virksomheten mot løsepengevirusangrep [5].
Referanser:
[1] https://www.kaseya.com/potential-attack-on-kaseya-vsa/
[2] https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
[3] https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
[4] https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/