VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#046-2021] [TLP:CLEAR] Informasjon om løsepengevirusangrep via Kaseya VSA

06-07-2021

JustisCERT formidler informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC) vedrørende løsepengevirusangrep via Kaseya VSA. Dersom din virksomhet benytter et berørt produkt anbefaler JustisCERT at dere leser informasjonen nøye, implementerer nødvendige tiltak og tar kontakt ved behov for bistand.

 


Varsel fra NCSC:
Fredag 2. juli delte selskapet Kaseya informasjon om en pågående sikkerhetshendelse i deres programvare Kaseya VSA [1]. Kaseya VSA er RMM-programvare (Remote Monitoring and Management) som leveres til tjenesteleverandører og tilsvarende. Sikkerhetshendelsen førte til at en rekke tjenesteleverandører og deres kunder ble rammet av løsepengeviruset REvil.

 

NCSC ønsker å dele de viktigste kildene til informasjon knyttet til hendelsen så langt. Disse kan benyttes til å detektere eller forhindre lignende operasjoner mot norske virksomheter. NCSC erfarer at Norge i liten grad er rammet, men situasjonsbildet er stadig under utvikling.

 

Nettverksoperasjonen betegnes som et verdikjedeangrep hvor det trolig er nulldagssårbarheten CVE-2021-30116 som har blitt utnyttet. Ifølge DIVD [2] arbeider Kaseya med å ferdigstille en sikkerhetsoppdatering til sårbarheten.

 

NCSC anbefaler at virksomheter som benytter Kaseya VSA følger med på informasjonen som publiseres fortløpende på Kaseya sine nettsider [1]. Kaseya har anbefalt alle kunder å skru av Kaseya VSA-servere frem til en sikkerhetsoppdatering eller en mitigering foreligger.

 

Kaseya publiserte i går, søndag 4. juli, to PowerShell-skript som forsøker å avdekke om systemet er sårbart og om det finnes tegn på kompromittering [3]. Her ligger det også instruksjoner for hvordan disse kan benyttes.

 

Indikatorer fra hendelsen publiseres fortløpende, blant annet på Github av et sikkerhetsfirma [4]. NCSC har ikke ettergått kvaliteten på disse ressursene.

 

På generelt grunnlag anbefales det å følge NSM sine oppdaterte råd og anbefalinger for å best mulig sikre virksomheten mot løsepengevirusangrep [5]. 

 

 

Referanser:
[1] https://www.kaseya.com/potential-attack-on-kaseya-vsa/
[2] https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
[3] https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40 
[4] https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/ 
[5] https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/skadevare