Hujumchilar MSP mijozlarining tizimlarini GandCrab ransomware bilan ommaviy ravishda yuqtirmoqdalar.
Kaseya plaginini yangilamagan kamida 126 ta tashqi xizmat ko’rsatuvchi provayder GandCrab hujumlariga zaif.
Hujumchilar ko’plab masofaviy IT qo’llab-quvvatlash kompaniyalari tomonidan foydalaniladigan dasturiy ta’minot paketidagi ikki yillik zaiflikdan foydalanib, zaif tarmoqlarga kirib, mijoz ish stantsiyalarini GandCrab ransomware bilan yuqtirishmoqda. Reddit forumidagi post va Huntress Labs ma’lumotlariga ko’ra, kamida bitta provayder allaqachon hujumdan zarar ko’rgan. Zaiflik boshqariladigan xizmat ko’rsatuvchi provayderlar (MSP) tomonidan ishlatiladigan professional xizmat avtomatlashtirish yechimi bo’lgan ConnectWise Manage uchun Kaseya plaginida mavjud. Ko’pgina kichik kompaniyalar ushbu mahsulotlardan mijoz ma’lumotlarini markazlashtirish va ish stantsiyalarini masofadan boshqarish uchun foydalanadilar.
2017-yil noyabr oyida plaginda SQL in’ektsiyasining zaifligi (CVE-2017-18362) aniqlandi, bu esa asosiy Kaseya ilovasida yangi administrator hisoblarini yaratishga imkon berdi. Shu bilan birga, hujumlarni avtomatlashtirish uchun kontseptsiyani isbotlash kodi GitHub-da e’lon qilindi.
Ishlab chiqaruvchi ikki yil oldin tegishli yangilanishni chiqargan bo’lsa-da, ko’plab kompaniyalar buni e’tiborsiz qoldirgan ko’rinadi, bu esa ularning ConnectWise panellarini zaif qilib qo’ygan.
Xabarlarga ko’ra, hujumlar ikki hafta oldin boshlangan. Yanvar oyi oxirida MSP bilan bog’liq hodisa haqida xabarlar paydo bo’ldi, unda kiberjinoyatchilar provayder tarmog’ini buzib kirishdi va uning 80 ta mijozini GandCrab ransomware bilan yuqtirishdi.
To’lov dasturlari hujumlari haqidagi xabarlarning ortib borayotganiga javoban, ConnectWise foydalanuvchilarni Kaseya plaginini yangilashga chaqiruvchi ogohlantirish e’lon qildi. Kaseya marketing va jamoatchilik bilan aloqalar bo’yicha vitse-prezidenti Taunia Kippning so’zlariga ko’ra, 126 ta kompaniya hali ham yangilanishni o’rnatmagan va xavf ostida.
