Internet Sehat : Kaseya mengatakan serangan ransomware rantai pasokan REvil melanggar sistem sekitar 60 pelanggan langsung yang menggunakan produk lokal VSA perusahaan.
Secara keseluruhan, penyedia perangkat lunak MSP berbasis cloud menambahkan bahwa mereka mengetahui hingga 1.500 korban hilir yang jaringannya dikelola oleh MSP menggunakan alat manajemen jarak jauh Kaseya.
Dalam keterangan pers, Kaseya mengatakan bahwa berangan itu berdampak terbatas, dengan hanya sekitar 50 dari lebih dari 35.000 pelanggan Kaseya yang dilanggar. Dari sekitar 800.000 hingga 1.000.000 bisnis lokal dan kecil yang dikelola oleh pelanggan Kaseya, hanya sekitar 800 hingga 1.500 yang telah disusupi.
Perusahaan menyediakan jaringan dan indikator titik akhir kompromi (IOC) untuk membantu peneliti keamanan dan penyelidikan pelanggan, serta versi terbaru dari Alat Deteksi Kompromi untuk memeriksa sistem untuk tanda-tanda pelanggaran.
Kaseya mengatakan saat ini sedang mengerjakan proses pemulihan dan siap untuk meluncurkan perbaikan untuk zero-day yang dieksploitasi kepada pelanggan VSA.
Semua Server VSA lokal harus tetap offline hingga instruksi lebih lanjut dari Kaseya tentang kapan aman untuk memulihkan operasi. Patch akan diperlukan untuk diinstal sebelum memulai ulang VSA dan serangkaian rekomendasi tentang cara meningkatkan postur keamanan.
Untuk menyebarkan muatan ransomware pada sistem pelanggan Kaseya dan klien mereka, operator REvil mengeksploitasi kerentanan zero-day (CVE-2021-30116) di Kaseya VSA, perangkat lunak RMM (Pemantauan dan Manajemen Jarak Jauh) yang biasa digunakan oleh MSP untuk mengelola perangkat lunak klien jaringan.
Kaseya sedang dalam proses menambal kerentanan zero-day yang dilaporkan secara pribadi oleh para peneliti di Dutch Institute for Vulnerability Disclosure (DIVD). Namun, afiliasi REvil di balik serangan tersebut memperoleh detail zero-day dan memanfaatkannya untuk menyebarkan ransomware sebelum Kaseya dapat mulai meluncurkan perbaikan ke pelanggan VSA.
Sumber : Bleeping Computer
