GandCrab勒索軟件團伙感染了遠程IT支持公司的客戶

黑客在遠程IT支持公司使用的軟件包中使用了一個兩年前的漏洞，以便在易受攻擊的網絡上獲得立足點，并在這些公司的客戶工作站上部署GandCrab勒索軟件。

據網絡安全公司Huntress Labs證實，Reddit的一份報告顯示，至少有一家公司已經受到打擊。

黑客使用的漏洞影響了ConnectWise Manage軟件的Kaseya插件，ConnectWise Manage軟件是IT支持公司使用的專業服務自動化(PSA)產品。

Kaseya VSA插件允許公司將來自Kaseya VSA遠程監控和管理解決方案的數據鏈接到ConnectWise儀表板。

許多小型IT公司和其他類型的托管服務提供商(MSP)使用這兩個應用程序來集中來自客戶端的數據，并從遠程中心位置管理客戶工作站。

2017年11月，一位名叫Alex Wilson的安全研究人員在此插件中發現了一個SQL注入漏洞(CVE-2017-18362)，該漏洞可能允許攻擊者在主Kaseya應用上創建新的管理員帳戶。他還在GitHub上發布了可以自動化攻擊的概念驗證代碼。

Kaseya當時發布了補丁，但是，基于新的證據，似乎許多公司未能在他們的ConnectWise儀表板上安裝更新的Kaseya插件，從而使他們的網絡暴露無遺。

攻擊利用這個漏洞開始兩個星期前，圍繞2019年一月底一份報告張貼在Reddit上介紹了在MSP其中黑客攻破一個中型的網絡，然后部署GandCrab勒索80個客戶工作站的事件。

ZDNet無法驗證的現已刪除的推文聲稱黑客使用相同的攻擊例程來感染其他MSP，鎖定了超過1,500個工作站。

ConnectWise發布了一個安全警報，以響應圍繞這些勒索軟件攻擊的越來越多的報告，建議用戶更新他們的ConnectWise Manage Kaseya插件。該公司表示，只有“在其內部[Kaseya] VSA上安裝插件的公司”才會受到影響。

Kaseya營銷和傳播執行副總裁Taunia Kipp 在接受MSSP Alert(一家專注于MSP行業的科技新聞網站)采訪時表示，他們已經確定了126家未能更新該插件但仍面臨風險的公司。

“我們向支持服務臺發布了一條通知/支持文章，并立即開始通過電話/電子郵件與那些有可能對決議產生影響的人進行聯系，”她說。

Huntress Lab的研究人員表示，他們對涉及80個受GandCrab感染的客戶工作站的事件有“第一手資料”，對仍在使用Kaseya插件過期版本的公司提出了一些建議。

您應該做的第一件事是立即斷開您的VSA服務器與互聯網的連接，直到您確定它尚未被感染。雖然我們本周看到的攻擊立即部署了勒索軟件，但其他攻擊者完全有可能知道這個漏洞并且可能已經在您的系統中占有一席之地。斷開VSA服務器將至少阻止它在您調查時部署勒索軟件。

接下來，您應該徹底審核您的VSA服務器和任何其他關鍵基礎架構的可疑/惡意立足點，可疑帳戶等。我們知道這可能是一個單調冗長的過程，但希望您了解與此級別的攻擊者訪問相關的風險。

最后，在將VSA服務器重新連接到Internet之前，刪除ManagedITSync集成并將其替換為最新版本。