Alert GCSA-21069 - Attacco alla supply-chain di Kaseya VSA

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

******************************************************************

alert ID: GCSA-21069
data: 05 luglio 2021
titolo: Attacco alla supply-chain di Kaseya VSA

******************************************************************

:: Descrizione del problema

Kaseya ha emesso un avviso per il suo prodotto VSA, piattaforma unificata
di monitoring e gestione remota per endpoint e reti, che risulta vittima
di un sofisticato attacco informatico.

Tale avviso e' in aggiornamento continuo, si consiglia di consultarlo
regolarmente.

Lo scorso 2 luglio la supply chain del prodotto VSA e' stata attaccata,
tramite una vulnerabilita' 0-day, col fine di compromettere vari
MSP (Managed Service Provider) ed i loro clienti.

Scopo dell'attacco e' la distribuzione del ransomware REvil.

Kaseya afferma che grazie ad un rapido intervento del suo team,
l'attacco ha coinvolto solamente un numero molto limitato di clienti on-premise.

Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".


:: Software interessato

Kaseya VSA Products On-Premises Servers
SaaS servers


:: Impatto

Esecuzione di codice arbitrario
Accesso non autorizzato
Denial of Service


:: Soluzioni

Attualmente non e' disponibile alcuna patch. Kaseya ha identificato la
causa della vulnerabilita' sfruttata, e sta preparando una patch specifica.
Nel frattempo, Kaseya indica di mantenere tutti i server VSA on-premise, SaaS e
i server hosted in shut down, fino a quando non sarà sicuro riprendere le operazioni.
Kaseya ha rilasciato un Compromise Detection Tool, che consente di rilevare la
presenza di IoC su i sistemi.

Kaseya VSA Detection Tool
https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

Ulteriori indicazioni sono disponibili alla sezione "Riferimenti".


:: Riferimenti

Kaseya VSA Continued Advisory
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

CISA-FBI Guidance for MSPs and their Customers Affected by the Kaseya VSA Supply-Chain Ransomware Attack
https://us-cert.cisa.gov/node/16700

Kaseya VSA Supply-Chain Ransomware Attack
https://community.sophos.com/b/security-blog/posts/active-ransomware-attack-on-kaseya-customers

REvil Kaseya Attack CNCs - IoCs
https://github.com/pgl/kaseya-revil-cnc-domains
https://github.com/pgl/kaseya-revil-cnc-domains/blob/main/revil-kaseya-cnc-domains.txt

Resources for DFIR Professionals Responding to the REvil Ransomware Kaseya Supply Chain Attack
https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/
https://www.cadosecurity.com/post/resources-for-dfir-professionals-responding-to-the-revil-ransomware-kaseya-supply-chain-attack

DIVD CSIRT
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

Rapid Response: Mass MSP Ransomware Incident
https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident

Kaseya Supply-Chain Attack Hits Nearly 40 Service Providers With REvil Ransomware
https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html

Thousands attacked as REvil ransomware hijacks Kaseya VSA
https://blog.malwarebytes.com/cybercrime/2021/07/shutdown-kaseya-vsa-servers-now-amidst-cascading-revil-attack-against-msps-clients/

Kaseya Ransomware Supply Chain Attack: What You Need To Know
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/kaseya-ransomware-supply-chain

Kaseya supply chain attack delivers mass ransomware event to US companies
https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b

Kaseya zero-day involved in ransomware attack, patches coming
https://therecord.media/kaseya-zero-day-involved-in-ransomware-attack-patches-coming/

REvil ransomware hits 1,000+ companies in MSP supply-chain attack
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30116


GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert

-----BEGIN PGP SIGNATURE-----

iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYOLguQAKCRDBnEyTZRJg
QlwnAJ4jllWwv7FI3lghKdKHxhWn79NfEQCdFosy7yipxKnfYIG1CNo0NQ9QYZE=
=9Tvw
-----END PGP SIGNATURE-----