ИБ-эксперты воспроизвели эксплоит, использованный в ходе атаки на Kaseya

Исследователи в области кибербезопасности из компании Huntress Labs смогли успешно воспроизвести эксплоит, использованный в ходе недавней кибератаки на MSP-провайдера Kaseya и его клиентов.

Вымогательская группировка REvil взломала продукт Kaseya VSA и использовала его для распространения вымогателя среди компьютерных систем компаний и организаций. Специалисты Huntress сотрудничали со многими пострадавшими MSP-провайдерами и в ходе расследования выяснили, что преступники эксплуатировали несколько уязвимостей нулевого дня.

Исследователям удалось воспроизвести атаку и они продемонстрировали цепочку эксплоитов, предположительно использованную киберпреступниками. Эксплоит включает обход аутентификации, загрузку произвольных файлов и внедрение команд.

Как отметили специалисты, эксплоит позволял злоумышленникам внедрить имплант, но, по всей видимости, они этого не сделали.

Kaseya намеревалась восстановить SaaS-серверы VSA 6 июля, но завершить этот процесс не удалось. Компания работает над исправлением уязвимостей, использованных в атаке, и пообещала выпустить исправления для локальных систем в течение 24 часов после восстановления сервисов SaaS.