CISA và Cục Điều tra Liên bang (FBI) đã chia sẻ hướng dẫn cho các nhà cung cấp dịch vụ quản lý (managed service providers – MSP) và khách hàng của họ bị ảnh hưởng bởi cuộc tấn công của mã độc mã hoá tống tiền REvil ransomware vào nền tảng MSP trên hệ thống đám mây của Kaseya.
Theo đó, hai cơ quan liên bang khuyên các MSP bị ảnh hưởng bởi cuộc tấn công của REvil ransomware nên kiểm tra thêm hệ thống của họ để tìm dấu hiệu xâm nhập bằng cách sử dụng công cụ phát hiện do Kaseya cung cấp vào cuối tuần và bật xác thực đa yếu tố (MFA) trên nhiều tài khoản nhất có thể.
Danh sách đầy đủ các khuyến nghị được CISA và FBI chia sẻ cho các MSP bị ảnh hưởng bao gồm:
- Tải xuống Kaseya VSA Detection Tool. Công cụ này phân tích hệ thống (máy chủ VSA hoặc mãy chủ cuối được quản lý) và xác định xem có bất kỳ dấu hiệu xâm phạm nào (IoC) hay không.
- Bật và thực thi xác thực đa yếu tố (MFA) trên mọi tài khoản đơn lẻ thuộc quyền kiểm soát của tổ chức và — ở mức tối đa có thể — bật và thực thi MFA cho các dịch vụ hướng tới khách hàng.
- Triển khai WhiteList để giới hạn các địa chỉ IP có thể kết nối đến máy chủ và tăng cường khả năng giám sát và quản lý từ xa (RMM)
- Đặt các giao diện quản trị của RMM sau mạng riêng ảo (VPN) hoặc tường lửa trên mạng quản trị chuyên dụng.
Các khách hàng của MSP bị ảnh hưởng bởi cuộc tấn công được khuyến cáo sử dụng và thực thi MFA bất cứ khi nào có thể và bảo vệ các bản sao lưu của họ bằng cách đặt chúng trên các hệ thống air-gapped (Hệ thống máy tính không tiếp xúc Internet)
CISA và FBI khuyên các khách hàng MSP bị ảnh hưởng nên:
- Đảm bảo các bản sao lưu được cập nhật và được lưu trữ ở một vị trí có thể truy xuất dễ dàng;
- Hoàn nguyên về quy trình quản lý bản vá thủ công tuân theo hướng dẫn khắc phục của nhà cung cấp, bao gồm cài đặt các bản vá mới ngay khi có sẵn;
- Thực hiện MFA và giảm số tài khoản quản trị xuống mức tối thiểu.
CISA và FBI tham gia vào quá trình xử lý sự cố
Hiện tại, cả CISA và VBI đang tham gia vào quá trình xử lý sự cố trên toàn thế giới cho các khách hàng Kaseya bị ảnh hưởng và đang kêu gọi tất cả các MSP bị ảnh hưởng và khách hàng của họ thực hiện theo hướng dẫn được chia sẻ ở trên.
“Do quy mô tiềm ẩn của vụ việc này, FBI và CISA có thể không thể trả lời từng nạn nhân, nhưng tất cả thông tin chúng tôi nhận được sẽ hữu ích trong việc chống lại mối đe dọa này”, FBI cho biết trong một tuyên bố chính thức vào cuối tuần qua.
Hội đồng An ninh Quốc gia Nhà Trắng cũng đã kêu gọi các nạn nhân của vụ tấn công chuỗi cung ứng quy mô lớn này báo cáo vụ việc với Trung tâm Khiếu nại Tội phạm Internet (Internet Crime Complaint Center).
Các nạn nhân cũng được khuyên nên làm theo hướng dẫn do Kaseya đưa ra, bao gồm cả việc tắt máy chủ VSA của họ, cũng như thực hiện các kỹ thuật giảm thiểu của CISA và FBI.
REvil tấn công khách hàng Kaseya trong cuộc tấn công ransomware lớn nhất từ trước đến nay
Cuộc tấn công của REvil ransomware được xem là một cuộc tấn công bằng mã độc mã hoá tống tiền lớn nhất từ trước đến nay khi nó đánh trực tiếp vào nhiều nhà cung cấp dịch vụ quản lý đang sử dụng nền tảng MSP dựa trên đám mây của Kaseya để quản lý bản vá và giám sát máy khách cho khách hàng của họ.
Tổng cộng, hơn 1.000 khách hàng của 20 MSP đã bĩ mã hóa hệ thống trong cuộc tấn công đã được lên kế hoạch cẩn thận để khởi chạy vào giữa ngày thứ Sáu khi gia tăng vào cuối tuần, khi thông thường nhân viên có ngày làm việc ngắn hơn.
Được biết, cuộc tấn công này đã ử dụng lỗ hổng 0-day có mã hiệu CVE-2021-30116 để tấn công vào cụm máy chủ RMM (Remote Monitoring and Management) đặt on-site của Kaseya.
Hiện tại, Nhóm tin tặc sở hữu REvil ransomware tuyên bố đã mã hóa hơn 1.000.000 hệ thống và yêu cầu 70 triệu USD cho một bộ giải mã đa năng để giải mã tất cả các nạn nhân của cuộc tấn công Kaseya. Tuy nhiên, hôm nay, các tin tặc đã nhanh chóng hạ giá còn 50 triệu USD.
/REvilKaseya70Mil.jpg "CISA, FBI chia sẻ hướng dẫn cho các nạn nhân của cuộc tấn công mã độc mã hoá tống tiền (ransomware) REvil")
Đây là mức đòi tiền chuộc cao nhất tính đến thời điểm hiện tại, kỷ lục trước đó cũng thuộc về REvil ransomware, đòi 50 triệu USD sau khi tấn công Acer – một nhà sản xuất máy tính và điện tử Đài Loan.
Đây không phải là lần đầu tiên REvil ransomware được sử dụng trong các cuộc tấn công nhằm vào MSP, với ít nhất một trong các thành viên của họ có kiến thức về công nghệ được sử dụng bởi MSP như họ đã khai thác trong các sự cố trước đó.
Vào tháng 6 năm 2019, REvil Ransomware đã nhắm mục tiêu đến các MSP thông qua Remote Desktop bằng cách sử dụng phần mềm quản lý của họ để cung cấp trình cài đặt ransomware cho tất cả các điểm cuối của khách hàng mà họ quản lý.
Một vụ tấn công tương tự cũng được cho là trước đây đã làm việc với GandCrab Ransomware trong các cuộc tấn công xâm phạm mạng của MSP vào tháng 1 năm 2019.
Nguồn: Theo BleepingComputer
