По меньшей мере 126 внешних сервис-провайдеров, не обновивших плагин Kaseya, уязвимы к атакам GandCrab.
Злоумышленники эксплуатируют уязвимость двухлетней давности в программном пакете, используемом значительным количеством компаний, предоставляющих услуги удаленной IT-поддержки, для проникновения в уязвимые сети и заражения рабочих станций клиентов вымогательским ПО GandCrab.
Согласно сообщению на форуме Reddit и данным компании Huntress Labs, от атак уже пострадал по меньшей мере один провайдер. Речь идет об уязвимости в плагине Kaseya для профессионального решения по автоматизации сервисов ConnectWise Manage, используемого поставщиками удаленных услуг (managed service provider, MSP). Многие небольшие компании применяют продукты для централизации данных, поступающих от клиентов, и удаленного управления их рабочими станциями.
В ноябре 2017 года в плагине была обнаружена уязвимость, позволяющая внедрить SQL-код (CVE-2017-18362), которая предоставляла возможность создать новые учетные записи администратора в основном приложении Kaseya. Тогда же PoC-код для автоматизации атак был опубликован на GitHub.
Хотя производитель выпустил соответствующее обновление еще два года назад, судя по всему, многие компании проигнорировали его, тем самым оставив уязвимыми свои панели ConnectWise.
По имеющимся данным, атаки начались две недели назад. В конце января появились сообщения об инциденте, связанном с одним из MSP, когда киберпреступники взломали сеть провайдера и заразили вымогателем GandCrab системы 80 его клиентов.
В ответ на растущее число сообщений о вымогательских атаках компания ConnectWise выпустила предупреждение, в котором призвала пользователей обновить плагин Kaseya. Согласно информации вице-президента по маркетингу и связям с общественностью Kaseya Тонии Кипп (Taunia Kipp), 126 компаний все еще не установили обновление и находятся в зоне риска.
Сбалансированная диета для серого вещества