REvil(Sodikinibi)サイバーギャングが主導するランサムウェア攻撃は、世界中の1,500の企業に影響を及ぼします

revilランサムウェアガの企業を攻撃悪名高いREvil / Sodinikibiサイバーギャングが指揮を執る大規模なランサムウェア攻撃は、アメリカで最大200の企業、世界中で1500近くの企業を攻撃したとされています。ロシアに縛られた詐欺師は、脅威を広めるために特定のネットワーク管理ソフトウェアパッケージを侵害し、無数のクラウドサービスプロバイダーに到達することを可能にしました。

問題の欠陥のあるソフトウェアは、仮想システム管理者、またはVSAと呼ばれます。これは、世界中の中小企業に効率的で費用対効果の高いソフトウェアソリューションを提供するために努力している、民間企業のKaseyaによって開発および販売されているリモート監視および管理システムです。 。このマルウェアは、KaseyaのVASオンプレミスパッケージによって管理されているエンドポイントでランサムウェアの実行を開始しました。結果として、戦術の実際の規模は、セキュリティ研究者が期待していたよりもはるかに重要であることがわかるかもしれません。

より大きな影響を与えるために人気のあるソフトウェアを悪用する

その口径のランサムウェア攻撃は通常、よく知られ、広く使用されているソフトウェアプログラムのセキュリティ上の欠陥を見つけようとし、それらの欠陥を悪用してマルウェアをサプライチェーンのさらに下流に植え付けます。ただし、これは私たちが観察した最初の大規模なサプライチェーンランサムウェア攻撃です。 KaseyaのVSAパッケージを使用している企業が多数あることを考えると、これまでのところ、顧客の何パーセントが攻撃の犠牲になっているのかは完全には明らかではありません。 Kaseyaの経営陣は、マルウェアの拡散を抑制するために、すべてのオンプレミスVSAサーバーをシャットダウンするようクライアントに促す公式通知を発行しました。影響を受けたクライアントは60社未満ですが、後者は他の多くの企業と取引関係にあり、影響を受けた企業の総数は約1500社と推定されています。

7月4日の前夜–偶然か計算された動きか?

セキュリティ研究者は、攻撃のタイミング(7月2日金曜日)は、ITを含むほとんどのビジネス部門が通常、休日の前と休暇中に人員を削減したことを考えると、意図的なものであると考えています。攻撃を発見したHuntressLabsのJohnHammondは、少なくとも4つの感染したマネージドサービスプロバイダーを報告しており、それぞれが他の多くの企業にITインフラストラクチャホスティングサービスを提供しています。攻撃のサプライチェーンの特徴は、その最終的な被害者がサプライヤのセキュリティに完全に依存している中小企業であるため、大きな損害を与える可能性があります。後者が違反に見舞われると、それはチェーンのさらに下流のビジネス顧客の間で山火事のように広がります。

パッチと予防策(7月6日午後12:00 EDT現在)

Kaseyaの関係者は、影響を受ける顧客に、通知があるまでオンプレミスのVSAサーバーをシャットダウンし、ランサムウェア関連のURLをクリックしないようにアドバイスし、サーバーをオンラインに戻す前にセキュリティパッチを開発することを約束しました。同社はそれに続いて、VSASaaSインフラストラクチャもオフラインにしました。 Kaseyaのセキュリティスペシャリストは、本日午後7時EDTまでにSaaSサービスを復元することを望んでいますが、将来の感染のリスクを最小限に抑えるために、一連の強化されたセキュリティ対策を実装することも計画しています。これらの対策は、設定から次の範囲に及びます。

  • すべてのVSAサーバーを監視するための独立したセキュリティオペレーションセンター(SOC)
  • すべてのVSAサーバーに対応するWebアプリケーションファイアウォール(WAF)を備えた追加のコンテンツ配信ネットワーク(CDN)
  • オンプレミスVSAサーバーの潜在的な違反をテストすることをいとわない顧客向けの侵害検出ツール
  • オンプレミスVSAのお客様向けのパッチ(すでに開発されており、現在テストと検証が行われています)。

すべてが計画どおりに進んだ場合、KaseyaのVSAのお客様は、数時間以内にサーバーを稼働させることができます。