Kaseya VSA cieľom najväčšieho doposiaľ zaznamenaného samostatného ransomvérového útoku

13. júla 2021

V piatok 2. júla vo večerných hodinách otriasol svetom masívny ransomvérový útok zacielený na aplikáciu vzdialenej správy serverov s názvom Virtual Server Administrator od spoločnosti Kaseya, ktorej úlohou je vzdialená správa staníc koncového zákazníka[1].

Nie je neobvyklé, že tento veľký útok sa odohral práve pred predĺženým víkendom v súvislosti s dňom nezávislosti, nakoľko ransomvérové útoky spravidla využívajú fakt, že neskoro v noci, prípadne pred začiatkom víkendu je v práci menej personálu monitorujúceho bezpečnosť informačných systémov a navyše samotný škodlivý program potrebuje dostatok času na zašifrovanie súborov.

Aktuálne vieme, že paralyzovaných bolo približne 50 spoločností v 17 krajinách sveta – priamych používateľov Kaseya VSA, mnohé z nich sa však zaoberajú správou IT služieb koncového zákazníka. Z toho dôvodu boli útokom postihnutí aj ich koncoví zákazníci. Koncových zákazníkov bolo napadnutých 1500 a podľa slov CEO spoločnosti Kaseya Freda Voccola sa väčšinou jednalo o malých koncových zákazníkov ako sú ambulancie lekárov, knižnice, IT spoločnosti či rôzne stavebné firmy[2][3][4].

Medzi napadnutými ale boli aj väčší koncoví zákazníci ako napríklad najväčšia švédska sieť supermarketov Coop, ktorá musela uzatvoriť takmer 800 prevádzok, po tom čo útok ochromil prevádzku ich pokladničných systémov[5].

Veľké americké spoločnosti neboli podľa slov prezidenta Joea Bidena príliš zasiahnuté. V Európe bolo napadnutých niekoľko veľkých spoločností zaoberajúcich sa správou IT pre koncových zákazníkov. Čo sa týka počtu obetí koncových zákazníkov, Nemecko hlási viac ako 1000 zasiahnutých koncových zákazníkov, Holandsko dve veľké IT spoločnosti VelzArt a Hoppenbrouwer Techniek[6].

Doposiaľ sa jedná o najväčší jednotlivý ransomvérový útok v histórii, nakoľko REvil gang zodpovedný za tento zločin si vypýtal krátko po útoku na svojom blogu výkupné 70 miliónov dolárov v bitcoinoch od spoločnosti Kaseya za poskytnutie univerzálneho dešifrátora. Od individuálnych napadnutých koncových zákazníkov požadoval gang výkupné v rôznej výške do 5 miliónov dolárov[7].

Neskôr 5. júla informoval bezpečnostný výskumník Jack Cable na Twitteri, že útočníci zľavili zo svojej požiadavky a výsledná suma v čase písania tohto článku činí 50 miliónov dolárov[8].

Po zaplatení tejto astronomickej čiastky útočníci sľubovali dať k dispozícii voľne na stiahnutie univerzálny dešifrátor.

Z dôvodu likvidačného výkupného uvaleného na spoločnosť Kaseya sa niektoré zo zasiahnutých firiem sústredili na individuálne vyjednávanie s útočníkmi, pričom obete nezverejňujú či došlo k uskutočneniu dohody a uhradeniu výkupného.

REvil gang aka Sodinokibi, ktorý stojí za útokom na Kaseya je už notoricky známy Že sa na undergroundovej scéne nejdná o žiadnych nováčikov podčiarkuje fakt, že skupina REvil sa už od roku 2018 vyznačuje sofistikovanými operáciami pri ktorých poskytuje „ransomvér ako službu“. Podľa odhadov výskumníkov z firmy Kaspersky mala táto organizovaná skupina v minulom roku čistý príjem okolo 100 miliónov dolárov z ich záškodníckych operácií[9].

Posledný známy prípad, ku ktorému sa skupina REvil prihlásila, boli útoky na spoločnosť JBS zaoberajúcich sa produkciou mäsa, kde sa jej podarilo od obete získať 11 miliónov dolárov[10].

Technické detaily a priebeh útoku

Prvé dohady naznačovali, že sa môže jednať o podobný útok na dodávateľský reťazec (supply chain attack) ako sme zažili v prípade SolarWinds Orion software z decembra 2020, kedy USA pripísalo tieto škodlivé aktivity ruskej spravodajskej službe[11]. Pôvodné domnienky útoku na dodávateľský reťazec boli negované o štyri dni neskôr[12], pričom dnes je najpravdepodobnejší scenár, že útočníci využili viacero zero day zraniteľností priamo voči on-premise inštaláciám softvéru VSA u zákazníkov spoločnosti Kaseya[13][14].

Momentálne nie sú zverejnené detaily, akým spôsobom sa podarilo útočníkom dozvedieť o týchto zraniteľnostiach. Vieme však, že Holandský inštitút pre zverejňovanie zraniteľností (DIVD) nahlásil spoločnosti Kaseya zraniteľnosť s označením CVE-2021-30116 ešte pred začiatkom útoku, pričom v správe DIVD uvádza, že Kaseya preukázala maximálne úsilie opraviť zraniteľnosť, avšak toto úsilie bolo predbehnuté útočníkmi[15].

Kritická bezpečnostná zraniteľnosť CVE-2021-30116 spočíva v nedostatočnej aplikácii mechanizmov autentifikácie. Podľa slov bezpečnostných výskumníkov z Huntress Labs ako vstupný bod zrejme poslúžila útočníkom SQL injekcia, pričom v kombinácii s prekonaním mechanizmov autentifikácie, so vzdialeným zápisom súboru na server došlo ku kompromitácii systémov. Ich slová potvrdili aj odborníci z firmy TruSec[16][17].

Podľa výskumníkov z firmy Kaspersky spočíval exploit v nasadení škodlivého droppera pomocou powershelového skriptu. Tento skript zakáže funkcie programu Microsoft Defender a potom pomocou nástroja certutil.exe dekóduje škodlivý spustiteľný súbor (agent.exe), ktorý stiahne staršiu verziu programu Microsoft Defender spolu s ransomvérom REvil zabaleným do škodlivej knižnice.

Táto knižnica je potom načítaná legitímnym nástrojom MsMpEng.exe pomocou techniky bočného načítania DLL.

Na samotné zašifrovanie súborov bola použitá prúdová šifra Salsa20, profesora Daniela Bernsteina z univerzity Illinoa v Chicagu. Bezpečnosť prúdových šifier je závislá od spôsobu generovania šifrovacích kľúčov, pričom pre použitú Salsa20 bol kľúč vygenerovaný asymetrickým algoritmom na báze eliptických kriviek[18].

Pri správnom spôsobe vygenerovania šifrovacieho kľúča sa šifra stáva v reálnom čase prakticky nerozlúštiteľnou za predpokladu, že útočníci neurobili chybu a nezanechali v pamäti napadnutého systému zapísané dodatočné údaje. Pre záujemcov o problematiku prúdových šifier odporúčame pozrieť kapitolu prúdových šifier v učebnici od Williama Stallingsa[19]. Pre technické detaily šifry Salsa20 odporúčame čitateľa na webovú stránku http://www.crypto-it.net/eng/symmetric/salsa20.html.

Aktuálny stav vyšetrovania

CEO spoločnosti Kaseya Fred Voccola presne nešpecifikoval, v akom štádiu je aktuálne vyjednávanie so zločineckou skupinou. Na základe skúseností s podobnými prípadmi ako napríklad skupinou Darkside, nevylučujeme uhradenie výkupného a následný pokus o vystopovanie páchateľov. V prípade sa angažuje aj Agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) a Federálny úrad pre vyšetrovanie (FBI)[20].

Počet možných ďalších obetí sa podarilo pomerne rýchlo znížiť, keďže podľa spoločnosti Palo Alto Networks, už 6 dní po útoku klesol počet verejne prístupných zraniteľných Kaseya VSA z 1500 na menej ako 60, čo svedčí o dobrej spolupráci viacerých CSIRTov so spoločnosťou Kaseya[21].

Aj niekoľko dní po útoku sa viacero iných útočníkov pokúša priživiť na chaose ktorý rozpútala skupina REvil[22].

Vstup ďalších aktérov

Bezpečnostní výskumníci Malwarebytes Threat Intelligence varujú pred škodlivou phisingovou kampaňou imitujúcou Microsoft, v ktorej sa po kliknutí na odkaz má požívateľovi zdanlivo stiahnuť súbor SecurityUpdates.exe‘. Po spustení však nedôjde k nainštalovaniu bezpečnostnej aktualizácie ale k stiahnutiu Cobalt Strike payloads, pomocou ktorých získa útočník vzdialený prístup na počítač obete.

Táto kampaň je zacielená na nástroj VSA Detection Tools, ktorý oficiálne vydala Kaseya, slúžiaci na overenie, či daný systém neobsahuje identifikátory kompromitácie[23].

Toto priživovanie na sa cudzom perí je fenomén známy aj z útokov na Colonial Pipeline, kedy aj v júni 2021 sprevádzala ransomvérový útok phisingová kampaň, ktorej cieľom bolo to umiestnenie penetračného nástroja Cobalt Strike za účelom kompromitácie systémov obete.

Bezpečnostní výskumníci z Cisco Talos Incident Response (CTIR) uvádzajú, že až 66 % ransomvérových útokov v poslednom štvrťroku 2020 sprevádzala phisingová kampaň[24].

Opatrenia

Produkt Kaseya VSA je poskytovaný v cloudovej aj on-premise verzii, pričom ihneď po obdržaní správ od obetí bola cloudová verzia odstavená a s jednotlivými on-premise zákazníkmi bola situácia riešená individuálne. Podľa Kaseya neboli medzi obeťami zákazníci cloudového riešenia.

Kaseya zaujala k riešeniu incidentu veľmi nekompromisný prístup, cloudovú verziu Kaseya VSA umiestnila pod ochranu Cloudflare spolu so softvérom a bezpečnostným dohľadom Fireeye. Čo je však obdivuhodné, k týmto krokom prístúpila aj v prípade on-premise zákazníkov[25].

Proti ransomvérovým útokom existujú v princípe iba tri možné obranné stratégie. Prvou je udržovať svoj systém a software v čo najnovších verziách a pravidelne sledovať stránky výrobcov. Druhou je minimalizovať útočný povrch odstránením už nepoužívaných aplikácií a zastaraných strojov.

Treťou stratégiou a zároveň nutným opatrením, pokrývajúcim širokú škálu rizík, sú zálohy všetkých dát spôsobom, ktorý neumožňuje ich výmaz z napadnutej pracovnej stanice. Najlepšie riešenie pre obozretných používateľov je existencia offline záloh.

Administrátorom a používateľom odporúčame použiť nástroj VSA Detection Tools na detekciu prítomnosti IoC dostupnej na webovej adrese:

https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

Ďalej odporúčame administrátorom všade tam, kde je to možné, zapnúť dvojfaktorovú autentifikáciu.

Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov na verziu 9.5.7a[26].