メニュー
2021年7月3日、ITソリューション開発企業であるKaseyaは、7月2日にランサムウェア「REvil」の攻撃を受けたことを発表しました。 この攻撃の目的は、KaseyaのVSAソフトウェアの脆弱性を利用したサプライチェーン攻撃により、複数のMSPとその顧客(マネージドサービスプロバイダー)を標的としたものでした。
この攻撃は、アメリカの独立記念日の週末の金曜日に行われるように計画されていたため、世界中の800以上の企業が被害を受けました。そのため、この攻撃への対応は通常よりも遅れました。
この攻撃を受けて、KaseyaのCEOであるフレッド・ボッコラは、攻撃の広がりと影響を減らすために、彼らのクライアントにVSAサーバをできるだけ早くシャットダウンするように促しました。CEOがこのように緊急に対応した主な理由の1つは、脅威のアクターがVSAへの管理者アクセスを遮断していたからです。このアナウンスは、Kaseyaのお客様に対して、電子メール、電話、およびオンラインでの通知を通じて行われました。
Kaseyaのインシデントレスポンスチームによる調査中に、攻撃の拡大を遅らせるために、SaaSサーバを積極的にシャットダウンし、データセンターをオフラインにすることを決定しました。この攻撃は、Huntress社のような外部のサイバーセキュリティ企業によって注意深く監視されていました。Huntress社のシニアセキュリティリサーチャーであるジョン・ハモンドは、すべての顧客が影響を受けているMSPを4社(米国内3社、海外1社)認識していると述べています。数千台以上のエンドポイントを持つMSPが攻撃を受けている」と述べています。
この攻撃が有効であった主な理由は、Kaseya VSAの自動アップデートに悪意のあるスクリプトが含まれていたからです。このスクリプトが起動すると、Windowsディフェンダーのセキュリティが無効になり、悪意のある実行ファイルが起動してファイルを暗号化します。
REvilランサムウェアの一味は現在、暗号化されたファイルを復元するために7,000万ドルを要求していますが、暗号化プロセスの前にMSPからファイルが流出したという証拠はありません。
NCSC Threat Reports Feed© 2021 CyberEnsō – 日本サイバーディフェンス株式会社。全著作権所有。
