セキュリティ

IT管理サービス「Kaseya」を標的にしたランサムウェアの大規模攻撃で多数の企業に間接的影響


Acer食肉加工大手・JBSへのランサムウェア攻撃を行ったことで知られているサイバー攻撃集団「REvil」が、IT管理サービス「Kaseya」を標的としたサプライチェーン攻撃を行いました。Kaseyaがセキュリティ企業と協力的に対応したことで、連鎖的な被害は食い止められたとみられますが、SaaSのサーバー停止による影響は多くの企業に及んでいます。

Kaseya VSA Supply-Chain Ransomware Attack | CISA
https://us-cert.cisa.gov/ncas/current-activity/2021/07/02/kaseya-vsa-supply-chain-ransomware-attack

REvil ransomware hits 1,000+ companies in MSP supply-chain attack
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

REvil is increasing ransoms for Kaseya ransomware attack victims
https://www.bleepingcomputer.com/news/security/revil-is-increasing-ransoms-for-kaseya-ransomware-attack-victims/


REvilが攻撃を行ったのは現地時間7月2日(金)正午。アメリカでは休日前になると勤務時間を短めにする人が多いため、対応が遅れるタイミングを狙ったものとみられます。

攻撃で用いられたのはKaseyaのIT環境管理サービス「VSA」のオンプレミス版に存在していたゼロデイ脆弱(ぜいじゃく)性。まだパッチが提供されていなかったことからゼロデイではないと指摘する声に対し、専門家は、すでに脆弱性開示プロセスに入っていたとして、ゼロデイ攻撃だったことを認めています。


REvilはMSPに対して、暗号化の身代金として500万ドル(約5億5600万円)を要求。MSPの顧客に対しては、当初は4万4499ドル(約500万円)を要求していましたが、被害企業によっては「拡張子1種類あたり4万ドル(約440万円)~4万5000ドル(約500万円)」を要求し、被害者が該当する拡張子の数が12以上あると返答すると「全部で50万ドル(約5560万円)」を要求してきたとのこと。

ただし、今回のケースではREvilはあくまでネットワークの暗号化を行っただけで、ファイルの窃取などは行っていないとみられています。


Kaseyaは、ヘルプデスクですべてのVSAユーザーに対し、VSAサーバーをシャットダウンするように連絡。セキュリティ調査企業のDIVDによれば、当初は2200以上あったVSAの公開サーバーは140未満にまで減少したとのことです。

Kaseya Case Update 2 | DIVD CSIRT
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

この記事のタイトルとURLをコピーする

・関連記事
ランサムウェアを「サービス」として犯罪グループに提供することで利益を上げる闇市場が成長している - GIGAZINE

アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE

400カ所以上の医療機関が一斉にランサムウェア被害に遭う事件が発生 - GIGAZINE

美容整形外科の患者データを盗んだハッカーが「患者の手術前写真を公開する」と脅迫 - GIGAZINE

Appleの提携企業から流出したMacBookの製品情報が修理業者に歓迎されている理由とは? - GIGAZINE

ランサムウェアを用いて石油パイプラインを攻撃した集団「DarkSide」が「店じまい」宣言 - GIGAZINE

in セキュリティ, Posted by logc_nt

You can read the machine translated English article here.