Il 2 luglio, il fornitore di servizi digitali Kaseya ha subito un attacco informatico indirizzato al loro software VSA Remote Monitoring and Management (RMM). Dalle relazioni sull’accaduto si evince che gli hacker sono stati in grado di diffondere un ransomware attraverso il software di Kaseya attaccando diversi MSP, e di conseguenza mettendo a rischio i clienti di questi ultimi. Hanno bypassato l’autenticazione alla piattaforma sfruttando la vulnerabilità riscontrata in una SQL injection, che gli ha consentito poi di loggarsi con massimi privilegi sugli host della vittima. Infine gli hacker hanno diffuso il payload del ransomware come DLL, che disabilita l’antivirus locale caricando quest’ultimo dal sito utilizzando Windows Defender.
F-Secure ha osservato l’azione di questo attacco tra le vittime di questi 7 paesi: Argentina, Irlanda, Italia, Norvegia, Russia, Svezia e Stati Uniti.
I clienti F-Secure sono protetti?
Sì. F-Secure ha monitorato la situazione dal 2 luglio. Le aziende che utilizzano i loro servizi EPP e/o EDR dispongono attualmente di una serie di funzionalità di sicurezza che le proteggono dagli attacchi ransomware associati a questo episodio.
Attualmente, le soluzioni EPP (inclusi F-Secure Elements EPP, F-Secure Client Security e F-Secure SAFE) utilizzano il blocco basato sulla reputazione tramite cloud per file e domini, nonché i seguenti rilevamenti locali per prevenire questi attacchi (gli asterischi indicano l’inclusione delle varianti associate):
- Trojan:W32/REvil.B
- TR/AD.SodinoRansom.*
- TR/Crypt.Agent.*
- TR/Redcap.*
Le soluzioni EPP di F-Secure bloccano anche il traffico verso i server di comando e controllo associati agli aggressori (una lista completa è disponibile qui: https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354#file-revil-json-L142).
La funzionalità Dataguard Access Control in F-Secure Elements EPP è anche in grado di impedire che i file vengano crittografati se il ransomware REvil riesce ad inserirsi nel sistema.
Inoltre, le soluzioni EDR rilevano una serie di attività intraprese dagli hacker, tra cui:
Manomissione dell’EPP
Sfruttando queste capacità, gli aggressori possono escludere file/directory dannosi dalla scansione.
EDR è in grado di rilevare:
- Impostazioni di Defender modificate da PowerShell.
- Registro di sistema per disattivare Windows Defender Antivirus modificato.
LOLBAS Certutil
Gli hacker utilizzano certutil.exe per la decodifica base64 del payload dannoso.
EDR è in grado di rilevare:
- Esecuzione sospetta di Certutil con l’opzione -decode rilevata.
Per quanto riguarda ransomware REvil, EDR è in grado di rilevare le seguenti attività:
- Enumerazione delle informazioni di processo e di sistema.
- Un singolo processo ha modificato diversi tipi di file per rilevare l’attività dei file modificati dal ransomware.
- Eliminazione della copia virtuale del disco.
Le soluzioni dispongono di una serie di meccanismi destinati a lanciare un allarme quando qualcuno tenta di disabilitare o manomettere in altro modo il software di sicurezza, impedendo agli aggressori di aggirare i controlli di sicurezza di F-Secure come si è osservato con Microsoft Defender e altri prodotti di sicurezza (https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b).
Cosa cercare?
Di seguito è riportato un elenco di comuni indicatori di compromissione (IoC) osservati negli attacchi subiti da Kaseya. Si prega di notare che questo elenco non è completo.
L’eseguibile agent.exe avvia MsMpEng.exe per lanciare il ransomware REvil, ad esempio Mpsvc.dll e rilascia i seguenti file:
- C:\Windows\MsMpEng.exe or C:\Users\<user>\AppData\Local\Temp\MsMpEng.exe
- C:\Windows\Mpsvc.dll or C:\Users\<user>\AppData\Local\Temp\Mpsvc.dll
Processi creati:
- exe (side loading del file DLL del ransomware REvil Mpsvc.dll)
Registri creati:
- HKEY_CURRENT_USER\SOFTWARE\BlackLivesMatter
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BlackLivesMatter
Servizi creati:
- Nessuno
Nome file del blocco note ransomware:
- <extension>-readme.txt
Wallpaper:
- “Your files are stolen and encrypted. Find <extension>-readme.txt and follow instructions.”
(“I tuoi file sono stati rubati e crittografati. Trova <estensione>-readme.txt e segui le istruzioni.”)
Queste informazioni possono essere utilizzate per cercare manualmente segni di compromissione.
Ulteriori informazioni sugli IoC sono disponibili a questo link: https://docs.google.com/spreadsheets/d/11AFPdK5A-7g484lfc0HmXdBrZpYI-Jhx4N1VwFXrcrQ/edit#gid=1201846661
INFORMAZIONI AGGIUNTIVE
Poiché lo sviluppo dell’attacco è ancora in corso, è difficile stabilire con certezza l’entità del danno. REvil, il gruppo ransomware attualmente ritenuto responsabile, ha affermato che l’attacco ha colpito oltre 1.000.000 di endpoint (https://twitter.com/marcwrogers/status/1411871388529397767). Tuttavia queste informazioni non dovrebbero essere considerate molto affidabili, vista la fonte.
La CISA e l’FBI raccomandano a tutti i clienti MSP interessati di:
- Garantire che i backup siano aggiornati e archiviati in una posizione facilmente recuperabile, isolata dalla rete aziendale
- Ripristinare un processo di gestione delle patch manuale che segue le indicazioni del fornitore per la riparazione, inclusa l’installazione di nuove patch non appena siano disponibili;
- Implementare
a) l’autenticazione a più fattori
b) assicurarsi di aver il minor numero possibile di account con privilegi di amministratore.
Se ritieni di essere stato compromesso, contatta il team Incident Response di F-Secure (https://www.f-secure.com/en/consulting/incident-response).
Articolo tradotto dal blog ufficiale di F-Secure, clicca qui per leggere l’originale.