Phishing-Kampagne versucht, die Ängste vor Kaseya VSA auszunutzen

  • Die Phishing-E-Mail (Malwarebytes)

    Malwarebytes entdeckte eine Phishing-Kampagne, die Kaseya VSA-Kunden ausnutzt, die sehnsüchtig auf einen Patch für die angeschlagene Remote-Monitoring- und Management-Anwendung warten.

    Das Unternehmen twitterte am Dienstagabend, dass es auf einer optisch ähnlichen Domain wie Kaseya bösartige Spam-Mails abgefangen hat, die vorgeben, ein Microsoft-Tool zum “Schutz vor Ransomware” zu enthalten und darauf zu verlinken. Die ausführbare Datei mit dem Titel “SecurityUpdates.EXE” enthielt stattdessen CobaltStrike.

    Obwohl es mehrere leicht erkennbare Indikatoren dafür gibt, dass die E-Mail gefälscht ist, angefangen mit dem Namen in der “Absender”-Zeile, der nicht mit der Signatur übereinstimmt, sind die Befürchtungen, die von einem Ausbruch der Ransomware REvil unter VSA-Kunden vor Ort herrühren, sehr real und könnten einige dazu anspornen, weniger wachsam zu sein.

    Klicken Sie hier für die neuesten Nachrichten über den Kaseya Cyberangriff.

    Ein REvil-Tochterunternehmen nutzte eine Kette von Schwachstellen, um mindestens 50 VSA-Kunden zu hacken, darunter mehrere Managed Service Provider, was dazu führte, dass mehr als tausend nachgelagerte MSP-Kunden mit Ransomware infiziert wurden.

    Kaseya hat sein SaaS-VSA-Produkt sofort nach Beginn des Angriffs am Freitag als Vorsichtsmaßnahme offline genommen. Das Unternehmen hat inzwischen angekündigt, dass es SaaS wiederherstellen würde, bevor ein Patch für das On-Premises-Produkt veröffentlicht wird, und testet derzeit die SaaS-Wiederherstellung.

    “Während der Bereitstellung des VSA [SaaS)]Updates wurde ein Problem entdeckt, das die Freigabe blockiert hat. Wir waren noch nicht in der Lage, das Problem zu beheben. Die F&E- und Betriebsteams haben die Nacht durchgearbeitet und werden weiter arbeiten, bis wir die Freigabe freigegeben haben. Wir werden um 12:00PM US EDT ein Status-Update geben”, schrieb Kayesa in seinem Blog.

    Es wird erwartet, dass die Cybersecurity and Infrastructure Security Agency zeitgleich mit der Freigabe eine Anleitung für Kunden veröffentlicht, die zu dem SaaS-Produkt zurückkehren.

    Das Ereignis hat aufgrund eines globalen Pools von Opfern große Aufmerksamkeit erregt, was zu einer Umgebung führt, die reif für die Ausnutzung von Phishing ist. Präsident Joe Biden und Vizepräsidentin Kamala Harris werden sich am Mittwochmorgen mit Führungskräften aus der gesamten Verwaltung treffen, um Ransomware zu besprechen, einschließlich Vertretern der Ministerien für Außen- und Heimatschutz.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com