Alert GCSA-21069 - Attacco alla supply-chain di Kaseya VSA
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21069
data: 05 luglio 2021
titolo: Attacco alla supply-chain di Kaseya VSA
******************************************************************
:: Descrizione del problema
Kaseya ha emesso un avviso per il suo prodotto VSA, piattaforma unificata
di monitoring e gestione remota per endpoint e reti, che risulta vittima
di un sofisticato attacco informatico.
Tale avviso e' in aggiornamento continuo, si consiglia di consultarlo
regolarmente.
Lo scorso 2 luglio la supply chain del prodotto VSA e' stata attaccata,
tramite una vulnerabilita' 0-day, col fine di compromettere vari
MSP (Managed Service Provider) ed i loro clienti.
Scopo dell'attacco e' la distribuzione del ransomware REvil.
Kaseya afferma che grazie ad un rapido intervento del suo team,
l'attacco ha coinvolto solamente un numero molto limitato di clienti on-premise.
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
Kaseya VSA Products On-Premises Servers
SaaS servers
:: Impatto
Esecuzione di codice arbitrario
Accesso non autorizzato
Denial of Service
:: Soluzioni
Attualmente non e' disponibile alcuna patch. Kaseya ha identificato la
causa della vulnerabilita' sfruttata, e sta preparando una patch specifica.
Nel frattempo, Kaseya indica di mantenere tutti i server VSA on-premise, SaaS e
i server hosted in shut down, fino a quando non sarà sicuro riprendere le operazioni.
Kaseya ha rilasciato un Compromise Detection Tool, che consente di rilevare la
presenza di IoC su i sistemi.
Kaseya VSA Detection Tool
https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
Ulteriori indicazioni sono disponibili alla sezione "Riferimenti".
:: Riferimenti
Kaseya VSA Continued Advisory
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
CISA-FBI Guidance for MSPs and their Customers Affected by the Kaseya VSA Supply-Chain Ransomware Attack
https://us-cert.cisa.gov/node/16700
Kaseya VSA Supply-Chain Ransomware Attack
https://community.sophos.com/b/security-blog/posts/active-ransomware-attack-on-kaseya-customers
REvil Kaseya Attack CNCs - IoCs
https://github.com/pgl/kaseya-revil-cnc-domains
https://github.com/pgl/kaseya-revil-cnc-domains/blob/main/revil-kaseya-cnc-domains.txt
Resources for DFIR Professionals Responding to the REvil Ransomware Kaseya Supply Chain Attack
https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/
https://www.cadosecurity.com/post/resources-for-dfir-professionals-responding-to-the-revil-ransomware-kaseya-supply-chain-attack
DIVD CSIRT
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
Rapid Response: Mass MSP Ransomware Incident
https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident
Kaseya Supply-Chain Attack Hits Nearly 40 Service Providers With REvil Ransomware
https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html
Thousands attacked as REvil ransomware hijacks Kaseya VSA
https://blog.malwarebytes.com/cybercrime/2021/07/shutdown-kaseya-vsa-servers-now-amidst-cascading-revil-attack-against-msps-clients/
Kaseya Ransomware Supply Chain Attack: What You Need To Know
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/kaseya-ransomware-supply-chain
Kaseya supply chain attack delivers mass ransomware event to US companies
https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b
Kaseya zero-day involved in ransomware attack, patches coming
https://therecord.media/kaseya-zero-day-involved-in-ransomware-attack-patches-coming/
REvil ransomware hits 1,000+ companies in MSP supply-chain attack
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30116
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYOLguQAKCRDBnEyTZRJg
QlwnAJ4jllWwv7FI3lghKdKHxhWn79NfEQCdFosy7yipxKnfYIG1CNo0NQ9QYZE=
=9Tvw
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21069
data: 05 luglio 2021
titolo: Attacco alla supply-chain di Kaseya VSA
******************************************************************
:: Descrizione del problema
Kaseya ha emesso un avviso per il suo prodotto VSA, piattaforma unificata
di monitoring e gestione remota per endpoint e reti, che risulta vittima
di un sofisticato attacco informatico.
Tale avviso e' in aggiornamento continuo, si consiglia di consultarlo
regolarmente.
Lo scorso 2 luglio la supply chain del prodotto VSA e' stata attaccata,
tramite una vulnerabilita' 0-day, col fine di compromettere vari
MSP (Managed Service Provider) ed i loro clienti.
Scopo dell'attacco e' la distribuzione del ransomware REvil.
Kaseya afferma che grazie ad un rapido intervento del suo team,
l'attacco ha coinvolto solamente un numero molto limitato di clienti on-premise.
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
Kaseya VSA Products On-Premises Servers
SaaS servers
:: Impatto
Esecuzione di codice arbitrario
Accesso non autorizzato
Denial of Service
:: Soluzioni
Attualmente non e' disponibile alcuna patch. Kaseya ha identificato la
causa della vulnerabilita' sfruttata, e sta preparando una patch specifica.
Nel frattempo, Kaseya indica di mantenere tutti i server VSA on-premise, SaaS e
i server hosted in shut down, fino a quando non sarà sicuro riprendere le operazioni.
Kaseya ha rilasciato un Compromise Detection Tool, che consente di rilevare la
presenza di IoC su i sistemi.
Kaseya VSA Detection Tool
https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40
Ulteriori indicazioni sono disponibili alla sezione "Riferimenti".
:: Riferimenti
Kaseya VSA Continued Advisory
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
CISA-FBI Guidance for MSPs and their Customers Affected by the Kaseya VSA Supply-Chain Ransomware Attack
https://us-cert.cisa.gov/node/16700
Kaseya VSA Supply-Chain Ransomware Attack
https://community.sophos.com/b/security-blog/posts/active-ransomware-attack-on-kaseya-customers
REvil Kaseya Attack CNCs - IoCs
https://github.com/pgl/kaseya-revil-cnc-domains
https://github.com/pgl/kaseya-revil-cnc-domains/blob/main/revil-kaseya-cnc-domains.txt
Resources for DFIR Professionals Responding to the REvil Ransomware Kaseya Supply Chain Attack
https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/
https://www.cadosecurity.com/post/resources-for-dfir-professionals-responding-to-the-revil-ransomware-kaseya-supply-chain-attack
DIVD CSIRT
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
Rapid Response: Mass MSP Ransomware Incident
https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident
Kaseya Supply-Chain Attack Hits Nearly 40 Service Providers With REvil Ransomware
https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html
Thousands attacked as REvil ransomware hijacks Kaseya VSA
https://blog.malwarebytes.com/cybercrime/2021/07/shutdown-kaseya-vsa-servers-now-amidst-cascading-revil-attack-against-msps-clients/
Kaseya Ransomware Supply Chain Attack: What You Need To Know
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/kaseya-ransomware-supply-chain
Kaseya supply chain attack delivers mass ransomware event to US companies
https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b
Kaseya zero-day involved in ransomware attack, patches coming
https://therecord.media/kaseya-zero-day-involved-in-ransomware-attack-patches-coming/
REvil ransomware hits 1,000+ companies in MSP supply-chain attack
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30116
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYOLguQAKCRDBnEyTZRJg
QlwnAJ4jllWwv7FI3lghKdKHxhWn79NfEQCdFosy7yipxKnfYIG1CNo0NQ9QYZE=
=9Tvw
-----END PGP SIGNATURE-----