REvil ランサムウェアは MSP サプライチェーン攻撃により 200社に影響を及ぼす

REvil ransomware hits 200 companies in MSP supply-chain attack

2021/07/02 BleepingComputer — Kaseya へのサプライチェーン攻撃により、大規模な REvil ランサムウェア攻撃が報道されたが、複数の MSP (managed service provider) と顧客にも影響が及んでいる。7月2日の午後から REvil は、Kaseya VSA サプライチェーン攻撃と同じ思われる方法で、数千の顧客を持つ 8社の大規模 MSP をターゲットにしている。Kaseya VSA はクラウド・ベースの MSP プラットフォームであり、顧客に対してパッチ・マネジメントやクライアント・モニタリングを提供している。

Huntress Labs の John Hammond は BleepingComputer に対して、影響を受けた MSP の全てが Kaseya VSA を使用しており、その顧客も同様に暗号化されたという証拠を見つけ出したと述べている。Hammond は、「Huntress には、影響を受けた3社のパートナーがあり、およそ 200の企業が暗号化されている」と語った。Kaseya はヘルプデスク・サイトでセキュリティ勧告を出し、攻撃の拡大を防ぐために VSA サーバーを直ちにシャットダウンするよう、すべての VSA 顧客に警告を発している。

Kaseya は SaaS サーバをシャットダウンし、他のセキュリティ会社と協力して、この事件を調査している。この大規模なランサムウェア攻撃の多くは、ネットワークを監視するスタッフが少ない、週末の深夜に行われていた。今回の攻撃は、金曜日の昼間に発生したおり、独立記念日前にスタッフの勤務時間が短くなることが一般的な。7月4日の週末に合わせて計画されたものと思われる。

REvil ランサムウェア・ギャングは、$5,000,000 の身代金を要求するとされています。また REvil は、ランサムウェアを展開してデバイスを暗号化する前に、データを盗み出すと知られていますが、ファイルの流出に関しいては不明です。MSP への攻撃は、1回の侵入で多くの企業を感染させる、容易な経路を提供してしまいます。そのため、ランサムウェア・ギャングにとって価値の高いターゲットとなりますが、MSP とソフトウェアに関する詳細な知識が必要です。

REvil には、MSP が使用する技術に精通した関連組織があり、こうしたソフトウェアを標的にしてきたという長い歴史を持っているとのことです。2019年6月に REvil の関連組織は、リモートデスクトップを介して MSP を標的とし、その後に、管理ソフトウェアを使用して、その MSP が管理する全てのエンドポイントにランサムウェアのインストーラーを押し込みました。その時の、実行犯であるアフィリエイトは、2019年1月にも MSP に対する攻撃を成功させた、GandCrab と連携していたと考えられます。

%d bloggers like this: