2021年07月05日 12時09分セキュリティ

IT管理サービス「Kaseya」を標的にしたランサムウェアの大規模攻撃で多数の企業に間接的影響

Acerや食肉加工大手・JBSへのランサムウェア攻撃を行ったことで知られているサイバー攻撃集団「REvil」が、IT管理サービス「Kaseya」を標的としたサプライチェーン攻撃を行いました。Kaseyaがセキュリティ企業と協力的に対応したことで、連鎖的な被害は食い止められたとみられますが、SaaSのサーバー停止による影響は多くの企業に及んでいます。

Kaseya VSA Supply-Chain Ransomware Attack | CISA
https://us-cert.cisa.gov/ncas/current-activity/2021/07/02/kaseya-vsa-supply-chain-ransomware-attack

REvil ransomware hits 1,000+ companies in MSP supply-chain attack
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

REvil is increasing ransoms for Kaseya ransomware attack victims
https://www.bleepingcomputer.com/news/security/revil-is-increasing-ransoms-for-kaseya-ransomware-attack-victims/

REvilが攻撃を行ったのは現地時間7月2日(金)正午。アメリカでは休日前になると勤務時間を短めにする人が多いため、対応が遅れるタイミングを狙ったものとみられます。

攻撃で用いられたのはKaseyaのIT環境管理サービス「VSA」のオンプレミス版に存在していたゼロデイ脆弱(ぜいじゃく)性。まだパッチが提供されていなかったことからゼロデイではないと指摘する声に対し、専門家は、すでに脆弱性開示プロセスに入っていたとして、ゼロデイ攻撃だったことを認めています。

Technically it was a zero-day. We were in a coordinated vulnerability disclosure process with the vendor while this happened. The CVEs were ready to be published; the patches were made and prepared for distribution, and we mapped all online instances to help speed up the process.
— Victor Gevers (@0xDUDE)

REvilはMSPに対して、暗号化の身代金として500万ドル(約5億5600万円)を要求。MSPの顧客に対しては、当初は4万4499ドル(約500万円)を要求していましたが、被害企業によっては「拡張子1種類あたり4万ドル(約440万円)～4万5000ドル(約500万円)」を要求し、被害者が該当する拡張子の数が12以上あると返答すると「全部で50万ドル(約5560万円)」を要求してきたとのこと。

ただし、今回のケースではREvilはあくまでネットワークの暗号化を行っただけで、ファイルの窃取などは行っていないとみられています。

Kaseyaは、ヘルプデスクですべてのVSAユーザーに対し、VSAサーバーをシャットダウンするように連絡。セキュリティ調査企業のDIVDによれば、当初は2200以上あったVSAの公開サーバーは140未満にまで減少したとのことです。

Kaseya Case Update 2 | DIVD CSIRT
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/