REvil fidye yazılım çetesinden tedarik zinciri saldırısı - 1000'den fazla şirket etkilendi
REvil fidye yazılım çetesinin şirketler için uzaktan yönetim hizmetleri sunan ABD merkezli Kaseya’ya tedarik zinciri saldırısı sonrasında 1000’den fazla küçük, orta ve büyük ölçekteki müşterisinin verilerinin şifrelendiği belirtiliyor. REvil fidye yazılım çetesi Kaseya’nın VSA ürününe tedarik zinciri saldırısı sonrasında binden fazla müşteriyle birlikte şu ana kadar ortaya çıkmış 8 büyük MSP’de etkilenmiş durumda yer alıyor.
Saldırı nasıl gerçekleşiyor?
The Record‘un Sophos ve bazı Kaseya müşterileriyle yaptığı görüşmeye göre; Kaseya güncellemesi şeklinde gözüken güncelleme yazılımı, VSA şirket için sunucularına erişerek buradan dahili komut dosyası oluşturma motoru kullanılarak zararlı yazılımı tüm bağlı istemci sistemlerine dağıtılıyor.
We are monitoring a REvil 'supply chain' attack outbreak, which seems to stem from a malicious Kaseya update. REvil binary C:\Windows\mpsvc.dll is side-loaded into a legit Microsoft Defender copy, copied into C:\Windows\MsMpEng.exe to run the encryption from a legit process.
— Mark Loman (@markloman) July 2, 2021
Sophos analistlerinden Mark Loman’a göre, zararlı yazılım yereldeki antivirüs çözümlerini devre dışı bırakır ve ardından kurbanın dosyalarını şifreleyen gerçek fidye yazılımı ikili programını çalıştıran sahte bir Windows Defender uygulaması dağıtır.
İstenilen fidye miktarı
Bleeping Computer tarafından istenilen fidye miktarı ile ilgili bir resim paylaşıldı. Resme göre fidye miktarı olarak ismi bilinmeyen bir kurbandan 5 milyon dolar istenmiş. Fakat bunun herhangi bir MSP için mi veya her kurban için mi istediklerine dair elle tutulur bir veri yok.
Etkilenen şirketler yavaş yavaş ortaya çıkıyor
Şuana kadar bu saldırıdan 1000’in üzerinde şirket etkilensede, hangi şirketlerin olduğu ile ilgili az bir bilgi ortaya çıkmış bulunuyor. Nbcnews‘in haberine göre; İsveç’in en büyük market zincirlerinden biri olan Coop, Cumartesi günü paylaştığı mailde, yapılan saldırıdan kendilerininde etkilendiğini ve 800 mağazasını geçici olarak kapattığını duyudu. Coop’un ise bu saldırıya hizmet aldıkları Avrupa merkezli Visma EssCom adlı şirketten dolayı maruz kaldığı belirtiliyor. Visma kaynaklı daha kaç şirketin benzer bir durumla kaldığı ile ilgili bir bilgi bulunmuyor. İkinci olarak California merkezli SoCal Computers’ın hem kendisinin hem de müşterilerinin bu saldırı sonucunda Cuma günü bilgisayarlarının kilitlendiğini belirtiliyor.
#FBI Statement on Kaseya Ransomware Attack https://t.co/EHuplZdgAZ pic.twitter.com/YcbmxdPQRJ
— FBI (@FBI) July 3, 2021
US-CERT ve FBI saldırıyı araştırdıklarını açıkladı
Ortaya çıkan ve büyük ses getiren bu saldırı sonrasında, US-CERT Cuma günü yaptığı açıklamada; saldırıyla ilgili gelişmeleri takip ettiklerini ve olayı nasıl ele alacaklarıyla ilgili çalıştıklarını belirtmiş. Bununla birlikte FBI’ında yaptığı açıklamada Kaseya ile birlikte çalıştıklarını, Kaseya tarafından belirtilen yönergelerin takip edilip, uyulması çağrısında bulundu.
Önerilen Önlemler
Kaseya tarafından yapılan açıklamaya göre; şirketin yapacağı bir sonraki açıklamaya kadar VSA serverlarının tamamen kapatılmasını şiddetle öneriyorlar. Herhangi bir güvenlik ihlali olmamasına rağmen SaaS sunucularınında bir sonraki açıklamaya kadar acilen kapatılmasını önerdiler.
Bu saldırıyla ilgili olarak aktif olarak şuraları takip edebilirsiniz:
1- Kaseya’nın bilgilendirme sayfası: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
2- Huntress Lab’ın MSP’ler ile ilgili Reddit sayfası: Şuanda 30 tane MSP ile iletişim halinde olduklarını ve sorunların çözümü üzerinde uğraştıklarını belirtiyorlar.
3- Sophos’un yardım sayfası: https://community.sophos.com/b/security-blog/posts/active-ransomware-attack-on-kaseya-customers
