Ключевая информация об атаке вирусом-вымогателем REvil на компанию Kaseya

Новости кибербезопасности

3 июля в 10:00 по североамериканскому восточному времени серверы VSA компании Kaseya выпустили зараженное вирусом исправление, которое распространилось на управляемые компанией Kaseya cерверы, что привело к компрометации и шифрованию тысяч узлов на сотнях различных предприятиях.

Это исправление содержало вирус-вымогатель под названием Sodinokibi, разработанный печально известной группировкой REvil, что привело к шифрованию сервера и папок с общим доступом.

Kaseya VSA — популярное программное обеспечение для удаленного управления сетью, используемое многими поставщиками услуг по управлению ИТ-инфраструктурой (Managed Security Providers, или MSP). ПО для управления сетью — идеальное место для организации бэкдора, поскольку у таких систем обычно широкие возможности доступа и множество задач, что затрудняет контроль над ними.

В отличие от атаки логистической цепочки компании SolarWinds, при которой были скомпрометированы серверы обновлений SolarWinds, какие-либо признаки взлома инфраструктуры Kaseya отсутствуют.

Злоумышленники использовали уязвимые серверы VSA с выходом в Интернет, обычно предшествующие многим устройствам-жертвам  в сетях MSP, используя их в качестве бэкдоров, что затруднило (или даже сделало невозможным) обнаружение либо предотвращение заражения жертвами по мере того, как вирус перемещался от серверов к подключенным устройствам.

Кроме того, поскольку обновления обычно распространяются на множество узлов, для зараженных организаций процесс восстановления может оказаться непростым. Радиус поражения одного скомпрометированного пользователя или конечной точки обычно очень большой, поскольку у среднестатистического пользователя, как правило, есть доступ к миллионам файлов, которые ему не нужны. У администраторов или серверов с административными правами масштабы поражения просто огромны.

Множество организаций по всей Европе и в Азиатско-Тихоокеанском регионе были вынуждены полностью остановить работу на время восстановления.

Кто виноват?

Ответственность за заражение вязала на себя REvil — одна из самых активных в мире группировок, использующих вирусы-вымогатели, указав об этом в своем блоге. Ее платежный портал работает в онлайн-режиме, и она активно ведет переговоры с жертвами.

Группировка REvil сообщила о заражении более миллиона систем, но по состоянию на 6 июля, согласно отчетам Bleeping Computer, среди пострадавших — примерно 60 прямых клиентов Kaseya, в результате чего были скомпрометированы от 800 до 1 500 компаний.

С чего началась атака?

Вероятнее всего, серверы Kaseya VSA оказались уязвимыми к внедрению SQL-кода, что позволило злоумышленникам использовать их удаленно. Данной уязвимости присвоен уровень CVE-2021–30116.

В отличие от предыдущих атак REvil, при которых требовалось очень много времени для проникновения и перед срабатыванием вируса-вымогателя выполнялась тщательная эксфильтрация данных, эта атака произошла очень быстро.

Похоже, что злоумышленники знали о необходимости опередить разработку патча. Исследователь в области безопасности Виктор Геверс (@ 0xDUDE) и специалисты DIVD.nl обнаружили уязвимость Kaseya и совместно работали над патчем, но REvil опередила их:

Знала ли группировка REvil о предстоящем выходе патча? Возможно, она перехватила сообщения между DIVD.nl и Kaseya? Пока эти вопросы остаются открытыми.

Как сократить риски

  • Если в вашей организации работает сервер VSA Kaseya, немедленно отключите и изолируйте его;
  • Используйте инструмент обнаружения Kaseya;
  • Просмотрите список хешей и IP-адресов в дополнении. Если они присутствуют в ваших журналах, есть большая вероятность взлома, и вам следует как можно скорее инициировать процедуру реагирования на инциденты;
  • Если в вашей среде используется VSA, сначала выполните первый шаг, а затем просмотрите записи/оповещения о доступе необычных соединениях со стороны сервера VSA или связанных с ним учетных записей.

Распространение вируса

По данным различных источников, вирус распространялся вместе с исправлением для клиентов Kaseya.

После выпуска исправление создает папку на диске C: под названием kworking, что считается нормой для него.

В папке — 2 файла:

  • agent.txt
  • agent.crt

После завершения записи на диск исправление запускает несколько процессов для подготовки устройства к заражению:

Данный длинный сценарий PowerShell (выполняемый с высокими привилегиями как часть процесса обновления Kaseya) выполняет следующие шаги:

  1. Прекращение мониторинга в реальном времени со стороны Windows Defender, мониторинга сети, защиты папок, сканирования сценариев и файлов в реальном времени, IPS на основе хоста, автоматической отправки в облако и включение режима аудита;
  2. Расшифровка “сброшенного” сертификата для использования вирусом с помощью утилиты Windows certutil;
  3. Удаление артефактов.

После завершения подготовки вирус заменяет исходный файл MsMpEng. exe устаревшей версией легитимного файла, поэтому, хотя исполняемый файл «чист», в нем содержится уязвимость, позволяющая устанавливать модуль шифрования (DLL), запуская его в качестве службы для шифрования устройства с более высокими привилегиями.

Инфицирование

Вредоносный файл MsMpEng. exe перенумеровывает сетевые и физические диски и процессы и начинает процесс шифрования на сервере.

Вирус-вымогатель заносит в белый список следующие элементы и пропускает их шифрование:

С учетом конфигурации Sodinokibi этой атаки сетевое соединение со злоумышленниками было фактически отключено.

И это несмотря на то, что конфигурация содержала 1 223 уникальных домена C2, которые не относились к атаке.

Ни червей (после использования уязвимости PrintNightmare), ни попыток установить маяки и связаться с сервером C2 во время процесса заражения не наблюдалось, что указывает на истинные цели и приоритеты злоумышленников.

Как правило, соединения C2 связаны с атаками, использующими принцип “тише едешь — дальше будешь” и/или выполняющими эксфильтрацию для “двойного вымогательства” (double-extortion). Пока что эта атака больше похожа на атаку только с шифрованием и “одинарным” вымогательством для максимального воздействия.

Однако можем предположить, что во время установки исправления для сбора данных телеметрии о количестве затронутых компаний.

В рамках этой кампании наблюдались два уникальных мьютекса:

  • “HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter
  • “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” -> “DefaultPassword”=”DTrump4ever

BlackLivesMatter был частью вируса REvil Sodinokibi, обнаруженного в ходе предыдущих атак, которые начались в январе 2019 года, в то время как второй мьютекс является новым.

Кроме того, вирус пытается отключить брандмауэр и обеспечить последующее обнаружение сети с помощью Defender в качестве резерва (работа брандмауэра и Defender уже остановлена):

  1. netsh advfirewall firewall set rule group=”Network Discovery” new enable=Yes

Результат

После шифрования всех файлов на сервере изменяется изображение его рабочего стола:

На рабочем столе и диске C:\ появляется записка с требованием выкупа со ссылкой на сайт для переговоров.

 

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.