您现在的位置是:首页 >每日动态 > 2021-05-01 18:36:49 来源:

GandCrab勒索软件团伙感染了远程IT支持公司的客户

导读 黑客在远程IT支持公司使用的软件包中使用了一个两年前的漏洞,以便在易受攻击的网络上获得立足点,并在这些公司的客户工作站上部署GandCrab

黑客在远程IT支持公司使用的软件包中使用了一个两年前的漏洞,以便在易受攻击的网络上获得立足点,并在这些公司的客户工作站上部署GandCrab勒索软件。

据网络安全公司Huntress Labs证实,Reddit的一份报告显示,至少有一家公司已经受到打击。

黑客使用的漏洞影响了ConnectWise Manage软件的Kaseya插件,ConnectWise Manage软件是IT支持公司使用的专业服务自动化(PSA)产品。

GandCrab勒索软件团伙感染了远程IT支持公司的客户

Kaseya VSA插件允许公司将来自Kaseya VSA远程监控和管理解决方案的数据链接到ConnectWise仪表板。

许多小型IT公司和其他类型的托管服务提供商(MSP)使用这两个应用程序来集中来自客户端的数据,并从远程中心位置管理客户工作站。

2017年11月,一位名叫Alex Wilson的安全研究人员在此插件中发现了一个SQL注入漏洞(CVE-2017-18362),该漏洞可能允许攻击者在主Kaseya应用上创建新的管理员帐户。他还在GitHub上发布了可以自动化攻击的概念验证代码。

Kaseya当时发布了补丁,但是,基于新的证据,似乎许多公司未能在他们的ConnectWise仪表板上安装更新的Kaseya插件,从而使他们的网络暴露无遗。

攻击利用这个漏洞开始两个星期前,围绕2019年一月底一份报告张贴在Reddit上介绍了在MSP其中黑客攻破一个中型的网络,然后部署GandCrab勒索80个客户工作站的事件。

ZDNet无法验证的现已删除的推文声称黑客使用相同的攻击例程来感染其他MSP,锁定了超过1,500个工作站。

ConnectWise发布了一个安全警报,以响应围绕这些勒索软件攻击的越来越多的报告,建议用户更新他们的ConnectWise Manage Kaseya插件。该公司表示,只有“在其内部[Kaseya] VSA上安装插件的公司”才会受到影响。

Kaseya营销和传播执行副总裁Taunia Kipp 在接受MSSP Alert(一家专注于MSP行业的科技新闻网站)采访时表示,他们已经确定了126家未能更新该插件但仍面临风险的公司。

“我们向支持服务台发布了一条通知/支持文章,并立即开始通过电话/电子邮件与那些有可能对决议产生影响的人进行联系,”她说。

Huntress Lab的研究人员表示,他们对涉及80个受GandCrab感染的客户工作站的事件有“第一手资料”,对仍在使用Kaseya插件过期版本的公司提出了一些建议。

您应该做的第一件事是立即断开您的VSA服务器与互联网的连接,直到您确定它尚未被感染。虽然我们本周看到的攻击立即部署了勒索软件,但其他攻击者完全有可能知道这个漏洞并且可能已经在您的系统中占有一席之地。断开VSA服务器将至少阻止它在您调查时部署勒索软件。

接下来,您应该彻底审核您的VSA服务器和任何其他关键基础架构的可疑/恶意立足点,可疑帐户等。我们知道这可能是一个单调冗长的过程,但希望您了解与此级别的攻击者访问相关的风险。

最后,在将VSA服务器重新连接到Internet之前,删除ManagedITSync集成并将其替换为最新版本。