Werp een nieuw licht op de effecten Nederlandse onderzoekers kaceya

In de weken voorafgaand aan de catastrofale aanval op zijn VSA-besturingssysteem, werkte Casey samen met onderzoekers om misbruikte authenticatie-bypass-bug-hackers te koppelen om ransomware aan honderden bedrijven te leveren.

Een team van onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVT) heeft een aantal artikelen gepubliceerd over hoe en wanneer hardnekkige kwetsbaarheden in de tools van Casey kunnen worden opgespoord. Beheerde serviceproviders (MSP’s). Volgens tiaiviti is het effect bekend als civii -2021-30116 Zeven fouten Viese kaceya zijn groep gevonden in de software.

Authenticatie-bypass-defect is een van de twee kwetsbaarheden die worden misbruikt bij het verzenden van een ransomware-payload naar klanten die een gecompromitteerde site gebruiken om toegang te krijgen tot de VSA-updateservice. De DIVD zei niet wat het tweede slachtoffer was dat door de aanvallers werd uitgebuit.

“Afgelopen weekend zaten we midden in een storm”, schreef hij tiaiviti-CERT-manager Frank pritij Beperkte openbaringspost Kaciya over kwetsbaarheden. “Kaceya viese mogelijk gemaakt door de storm die is ontstaan ​​door de ransomware-aanvallen, het gebruik van een impact toen we het geheim aan Cassia onthulden, met nog zes kwetsbaarheden.”

Naast CVE-2021-30116 beweert DIVT dat zijn team een ​​uitvinding heeft gedaan SQL injectie Defect, CVE-2021-30117, opgenomen in mei; Fout bij activering van externe code, CVE-2021-30118, opgenomen in april; Cross-site scripting bug, civii -2021-30119, waarvoor een verbinding in uitvoering is; Viese-versie 9.5.7 wordt geïntegreerd in de aanstaande bypass voor twee-factor-authenticatie, civii -2021-30120; Een kwetsbaarheid voor lokaal bestand toevoegen, civii -2021-30121, opgenomen in mei; En XML externe organisatorische fout, civii -2021-30201, opgenomen in mei.

De onderzoekers zeiden dat ze zwijgden over de kwetsbaarheden omdat ze vreesden dat het geven van het woord van fout de deur zou openen voor aanvallen.

“Toen we begin april kwetsbaarheden ontdekten, was het ons duidelijk dat deze kwetsbaarheden niet in verkeerde handen mochten vallen”, schreef Friedz. “Na wat discussie hebben we besloten dat het het beste is om de verkoper op de hoogte te stellen en te wachten tot er een patch wordt afgeleverd.

Helaas zei DIVT dat criminele hackers de bugs niet konden vinden voordat ze een van de bugs vonden en exploiteerden, wat Predige een ‘slechte situatie’ noemde. Kaceya reageerde op de rapporten, de onderzoekers hebben hard gewerkt om de genoemde wijzigingen weg te werken.

Alle geheimzinnigheid en hard werken waren echter tevergeefs en op 2 juli lanceerden de daders hun ransomware-aanval. Het losgeld bedraagt ​​een miljoen 70 miljoen kiriptokaranci In ruil voor de encryptiesleutels. Tot nu toe is er geen teken van betaalde premie.

De nieuwe informatie van de DIVT verhoogt de mogelijkheid dat het lek het resultaat is van een geheim openbaarmakingsproces, vooral omdat de aanvallers wisten dat bepaalde VSA-directory’s waren vrijgesteld van antivirusbescherming. Eerder dit jaar analyseerde Microsoft Exchange Server zoveel hoge zero-day bugs in de software lekken; De slachtoffers werden uitgebuit door dreigingsactoren van de nationale overheid voordat ze zich in het openbaar uitten en gehecht raakten.