Serangan Ransomware Menggunakan Kaseya

by | Jul 13, 2021 | Tips | 0 comments

Reading Time: 4 minutes

 

Bitdefender secara aktif memantau dan menganalisis serangan aktif menggunakan software Kaseya untuk menyebarkan varian ransomware REvil ke lingkungan korban.

Serangan itu menargetkan pelanggan Managed Service Provider (MSP) Kaseya yang sering memberikan dukungan TI untuk usaha kecil hingga menengah.

Dengan menargetkan MSP, penyerang juga berusaha mengakses dan menyusup ke jaringan komputer pelanggan MSP.

 

Panduan untuk Pelanggan Bitdefender dalam Serangan Menggunakan Kaseya ini 

  • Kaseya mengeluarkan himbauan dan mendesak pelanggan mereka untuk segera mematikan server VSA lokal. Kami menyarankan agar setiap pengguna Kaseya VSA segera mengikuti panduan ini.
  • Periksa lingkungan lokal dan hibrid untuk mengetahui indicators of compromise (IoC).
  • Cybersecurity and Infrastructure Security Agency (CISA) AS telah mengeluarkan peringatan yang menyatakan bahwa mereka memantau terinci tentang serangan Kaseya VSA dan beberapa MSP yang menggunakan software VSA. Kami menyarankan untuk mengikuti peringatan CISA sebagai pembaruan di masa yang akan datang.

 

Kami terus menyelidiki, memantau dan menilai setiap dampak pelanggan serta akan mengembangkan panduan lebih lanjut yang sesuai, termasuk bagaimana pelanggan Bitdefender melindungi atau mengurangi dampak pada sistem yang terpengaruh.

Temuan tim Labs kami hingga saat ini menunjukkan solusi Bitdefender untuk mendeteksi dan memblokir tindakan baris perintah dan mengirimkan muatan yang digunakan dalam serangan.

Jika anda pengguna Kaseya dan yakin bahwa sudah terkena efek serangan ini, silakan hubungi Bitdefender langsung di: [email protected]

 

Indikator Kompromi Terverifikasi:

  1. Baris perintah dijalankan dari agen Kaseya:

C:\Windows\system32\cmd.exe” /c ping 127.0.0.1 -n 5825 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

dan

C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3637 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\WaRCoMWorking\agent.crt c:\WaRCoMWorking\agent.exe & del /q /f c:\WaRCoMWorking\agent.crt C:\Windows\cert.exe & c:\WaRCoMWorking\agent.exe

  1. Hash:
  • 561cffbaba71a6e8cc1cdceda990ead4, terdeteksi oleh Bitdefender dengan Gen:Variant.Graftor.952042 dari 15.May.2021. Ini adalah executable utama (c:\kworking\agent.exe) yang sedang diterjemahkan menggunakan certutil.exe
  • a47cf00aedf769d60d58bfe00c0b5421, terdeteksi oleh Bitdefender dengan Gen:Variant.Bulz.471680 dari 13.May.2021. Ini adalah DLL yang dijatuhkan oleh executable utama dan side yang dimuat menggunakan executable MS msmpeng.exe.
  • 0293a5d21081a94a5589976b407f5675 – hash untuk agent.crt (isi dari agent.exe sebelum dekripsi).
  1. File paths:
  • c:\WaRCoMWorking\agent.crt
  • c:\\WaRCoMWorking\agent.exe
  • c:\kworking\agent.exe
  • c:\kworking\agent.crt
  • c:\windows\msmpeng.exe (versi lama yang rentan untuk pemuatan sisi DLL). Versi ini sedang dijatuhkan oleh executable utama dan selanjutnya digunakan untuk memuat DLL (a47cf00aedf769d60d58bfe00c0b5421). File version: MsMpEng.exe, Microsoft Malware Protection, 4.5.0218.0

 

Kaseya Merilis Patch Baru sebagai Kelemahan yang Dieksploitasi dalam Serangan Ransomware

Kaseya sebagai vendor software di Florida meluncurkan update untuk mengatasi kerentanan keamanan kritis dalam solusi Virtual System Administrator (VSA).

VSA digunakan sebagai titik awal untuk menargetkan sebanyak 1.500 bisnis di seluruh dunia dan sudah tersebar luas.

Menyusul insiden tersebut, perusahaan telah mendesak pelanggan VSA lokal untuk mematikan server mereka hingga patch tersedia.

Hampir 10 har, kinii perusahaan mengirimkan VSA versi 9.5.7a (9.5.7.2994) dengan perbaikan untuk 3 kelemahan keamanan baru, yaitu:

  • CVE-2021-30116 – Kebocoran kredensial dan kesalahan logika bisnis
  • CVE-2021-30119 – Kerentanan skrip lintas situs
  • CVE-2021-30120 – Bypass otentikasi dua faktor

Masalah keamanan merupakan bagian dari tujuh kerentanan total yang ditemukan dan dilaporkan ke Kaseya oleh Dutch Institute for Vulnerability Disclosure (DIVD) pada awal April.

 

Di mana empat kelemahan lainnya sudah diperbaiki dalam rilis sebelumnya.

  • CVE-2021-30117 – Kerentanan injeksi SQL (Tetap di VSA 9.5.6)
  • CVE-2021-30118 – Kerentanan eksekusi kode jarak jauh (Tetap di VSA 9.5.5)
  • CVE-2021-30121 – Kerentanan penyertaan file lokal (Diperbaiki di VSA 9.5.6)
  • CVE-2021-30201 – Kerentanan entitas eksternal XML (Tetap di VSA 9.5.6)

 

Selain perbaikan untuk kekurangan yang disebutkan di atas, versi terbaru juga memperbaiki tiga kelemahan lainnya, termasuk bug yang mengekspos hash password yang lemah dalam respons API tertentu terhadap serangan brute force serta kerentanan terpisah yang memungkinkan pengunggahan file yang tidak sah ke server VSA.

Untuk keamanan tambahan, Kaseya merekomendasikan untuk membatasi akses VSA Web GUI ke alamat IP lokal dengan memblokir port 443 inbound di firewall pada internet kita.

Kaseya juga memperingatkan pelanggannya bahwa dengan menginstal patch terbaru akan memaksa semua pengguna untuk secara wajib mengubah password setelah log in untuk memenuhi persyaratan password baru,

Selain peluncuran patch untuk versi lokal dari software pemantauan dan manajemen jarak jauh VSA, perusahaan juga telah menerapkan pemulihan infrastruktur SaaS VSA-nya.

 

Kaseya memperingatkan bahwa spammer memanfaatkan krisis ransomware yang sedang berlangsung untuk mengirimkan pemberitahuan email palsu yang “sepertinya”  pembaruan Kaseya.

Penyerang menginfeksi pelanggan dengan muatan Cobalt Strike untuk mendapatkan akses backdoor ke sistem dan mengirimkan malware tahap berikutnya.

REvil, geng ransomware produktif yang berbasis di Rusia, telah mengaku bertanggung jawab atas insiden tersebut.

 

Penggunaan mitra tepercaya seperti pembuat software atau penyedia layanan seperti Kaseya, mengidentifikasi dan mengkompromikan korban baru yang sering disebut serangan rantai pasokan.

Menariknya, Bloomberg melaporkan, bahwa lima mantan karyawan Kaseya telah menandai perusahaan tentang lubang keamanan “mencolok” dalam software-nya antara 2017 dan 2020, tetapi kekhawatiran mereka ditepis.

“Di antara masalah yang paling mencolok adalah software yang didukung oleh kode yang usang, penggunaan enkripsi dan password yang lemah dalam produk dan server Kaseya. Kegagalan untuk mematuhi praktik keamanan siber dasar seperti patch software secara teratur dan fokus pada penjualan dengan mengorbankan prioritas lain.” kata laporan itu.

 

Serangan Kaseya menandai ketiga kalinya afiliasi ransomware yang menyalahgunakan produk Kaseya sebagai vektor untuk menyebarkan ransomware.

Pada Februari 2019, kartel ransomware Gandcrab yang kemudian berkembang menjadi Sodinokibi dan REvil memanfaatkan kerentanan dalam plugin Kaseya untuk software ConnectWise Manage untuk menyebarkan ransomware di jaringan pelanggan MSP.

Kemudian pada Juni 2019, kelompok yang sama mengincar produk Webroot SecureAnywhere dan Kaseya VSA untuk menginfeksi endpoint dengan ransomware Sodinokibi.

Submit a Comment

Your email address will not be published. Required fields are marked *

This is a spam!

CAPTCHA