Измамници се възползват от проблемите със сигурността на Kaseya, за да внедрят зловреден софтуер

Kaseya призова клиентите да внимават с вълна от фишинг имейли, възползвайки се от прекъсването, причинено от скорошна атака на рансъмуер.

Миналия петък Kaseya – която обслужва управлявани доставчици на услуги (MSP) сред клиентската си база – беше засегната от REvil, група за рансъмуер, която успя да използва уязвимости в VSA софтуера на компанията.

Като предпазна мярка компанията изтегли офлайн сървърите VSA и SaaS. Засегнати са обаче около 50 преки клиенти и до 1500 фирми по-надолу по веригата.

На 8 юли доставчикът на софтуерни решения заяви, че измамниците използват инцидента със сигурността, за да „изпращат фалшиви известия по имейл, които изглежда са актуализации на Kaseya“.

„Това са фишинг имейли, които могат да съдържат злонамерени връзки и / или прикачени файлове“, добави компанията.

Проби от фалшиви, изпратени по имейл съвети на Kaseya, as отбелязано от Malwarebytes, призовават получателите да изтеглят и изпълняват прикачен файл, наречен “SecurityUpdates.exe”, за да разрешат уязвимост в Kaseya и да се предпазят от рансъмуер.

Прикаченият файл, изпълним за Windows, всъщност е пакет Cobalt Strike. Легитимният инструмент за емулация на заплахи се използва от тестерите за проникване, но за съжаление е широко използван и от участниците в заплахите.

Cobalt Strike може да се използва за създаване на връзка със сървър за управление и управление (C2). Заедно с Metasploit, инструментариум за тестване на проникване с отворен код, тези инструменти бяха използвани за хостване на над една четвърт от всички C2, свързани със зловреден софтуер през 2020 г.

Примерът за имейл съдържаше и директна връзка към злонамерен изпълним файл.

По-рано изглежда, че има някои законни имейли, изпратени до клиенти включени връзки до бюрото за помощ на Kaseya; ако обаче клиентите са свикнали с този вид формат, те могат да бъдат по-податливи на кликване върху злонамерени връзки, изпратени по имейл от участници в заплахата.

В светлината на този потенциален риск за сигурността, който добавя към съществуващата тежест на усилията за възстановяване, компанията казва, че повече няма да изпраща актуализации по имейл, съдържащи връзки или прикачени файлове.

Kaseya е срещнала някои проблеми по време на опитите за възстановяване. В Актуализация от 8 юли, Техническият директор на Kaseya Дан Тимпсън каза, че уязвимостите са отстранени и се създават допълнителни мерки за сигурност “преди внедряването, за да се подобри цялостната позиция на сигурността на нашите продукти.”

В момента компанията се надява да върне клиентите онлайн онлайн тази неделя в 16:00 EDT.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0




Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com