【目次】
概要
【図表】
出典: hxxp://dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd[.]onion/
【概要】
【概要】
| 項目 |
内容 |
|---|---|
| 種別 | ランサムウェア(二重脅迫) |
| ターゲットOS | - |
| ターゲットソフト | Kaseya VSA |
| 攻撃開始時期 | 2021/07/02 (被害確認) |
| 攻撃方法 | Kaseya VSA Serverの脆弱性を利用 |
| 被害 | 世界全体で800~1500社に被害 スウェーデンのスーパー大手「コープ」は約800店舗が営業停止に追い込まれた ニュージーランドでは学校や幼稚園が攻撃対象 |
| 使用脆弱性 | CVE-2021-30116, アップデート版を公開(7/11) *1 |
| 暗号化方法 | - |
| 拡張子 | - |
| 身代金金額 | 7000万ドル(78億円) (Kaseyaへの請求) 44,999ドル(個々の企業への請求) *2 |
| 身代金支払い方法 | BitCoin(Kaseya), Monero(個々の企業) |
| 身代金支払い有無 | 無し |
| 犯罪組織 | REvil(Sodinokibi) |
| その他 |
■修正された脆弱性
| CVE番号 | 説明 |
|---|---|
| CVE-2021-30116 | A credentials leak and business logic flaw, to be included in 9.5.7 |
| CVE-2021-30117 | An SQL injection vulnerability, resolved in May 8th patch. |
| CVE-2021-30118 | A Remote Code Execution vulnerability, resolved in April 10th patch. (v9.5.6) |
| CVE-2021-30119 | A Cross Site Scripting vulnerability, to be included in 9.5.7 |
| CVE-2021-30120 | 2FA bypass, to be resolved in v9.5.7 |
| CVE-2021-30121 | A Local File Inclusion vulnerability, resolved in May 8th patch. |
| CVE-2021-30201 | A XML External Entity vulnerability, resolved in May 8th patch. |
【最新情報】
◆Kaseya's universal REvil decryption key leaked on a hacking forum (BleepingComputer, 2021/08/11 02:01)
[KaseyaのユニバーサルREvilの復号キーがハッキングフォーラムで流出]
https://www.bleepingcomputer.com/news/security/kaseyas-universal-revil-decryption-key-leaked-on-a-hacking-forum/
⇒ https://malware-log.hatenablog.com/entry/2021/08/11/000000_6
◆Kaseya製品を踏み台にしたランサムウェア「REvil」攻撃 その影響範囲の実態は (Tecg\htarget, 2021/08/12 05:00)
https://techtarget.itmedia.co.jp/tt/news/2108/12/news09.html
⇒ https://malware-log.hatenablog.com/entry/2021/08/12/000000_2
記事
【ニュース】
■2021年
◇2021年7月
□2021年7月2日
◆REvil ransomware hits 200 companies in MSP supply-chain attack (BleepingComputer, 2021/07/02 15:56)
[ランサムウェア「REvil」、MSPのサプライチェーン攻撃で200社が被害に]
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/07/02/000000_3
◆REvil ransomware hits 1,000+ companies in MSP supply-chain attack (BleepingComputer, 2021/07/02 15:56)
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/07/02/000000_8
□2021年7月4日
◆クライアント管理サービスのKaseyaに大規模ランサムウェア攻撃 またREvilの可能性 (ITmedia, 2021/07/04 08:07)
https://www.itmedia.co.jp/news/articles/2107/04/news014.html
⇒ https://malware-log.hatenablog.com/entry/2021/07/04/000000_2
◆Kaseya was fixing zero-day just as REvil ransomware sprung their attack (BleepingComputer, 2021/07/04 11:31)
[Kaseyaは、REvilランサムウェアが攻撃を開始したときにゼロデイを修正していました]
https://www.bleepingcomputer.com/news/security/kaseya-was-fixing-zero-day-just-as-revil-ransomware-sprung-their-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/07/04/000000_5
□2021年7月5日
◆米でまたサイバー攻撃、1000社影響も ITサービス狙う (日経新聞, 2021/07/05 02:43)
https://www.nikkei.com/article/DGXZQOGN044JN0U1A700C2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/07/05/000000
◆米IT企業にサイバー攻撃、世界中で最大4万台のPC感染も (WSJ, 2021/07/05 08:28)
「REvil」と呼ばれるグループはソフトウエア「カセヤVSA」を攻撃対象に
https://jp.wsj.com/articles/ransomware-attack-affecting-likely-thousands-of-targets-drags-on-11625441235
⇒ https://malware-log.hatenablog.com/entry/2021/07/05/000000_4
◆MSPも利用するIT管理ツールがゼロデイ攻撃の標的に - 日本でも検知 (Security NEXT, 2021/07/05)
https://www.security-next.com/127816
⇒ https://malware-log.hatenablog.com/entry/2021/07/05/000000_1
◆露系ハッカー集団が78億円要求 米ITのソフト攻撃 (産経新聞, 2021/07/05 17:36)
https://www.sankei.com/article/20210705-XHUNSLHIHFIVZBIWVAXKTA4VBE/
⇒ https://malware-log.hatenablog.com/entry/2021/07/05/000000_2
□2021年7月6日
◆Kaseya攻撃のREvil、Moneroとは別にビットコインでも78億円請求か (ITmedia, 2021/07/06 08:18)
https://www.itmedia.co.jp/news/articles/2107/06/news055.html
⇒ https://malware-log.hatenablog.com/entry/2021/07/06/000000_2
◆Kaseya Patches Imminent After Zero-Day Exploits, 1,500 Impacted (Threatpost, 2021/07/06 11:42)
[Zero-Day Exploitsの後、Kaseyaのパッチが差し迫って適用され、1,500組織が影響を受ける]
https://threatpost.com/kaseya-patches-zero-day-exploits/167548/
⇒ https://malware-log.hatenablog.com/entry/2021/07/06/000000_4
◆身代金は7000万ドル。過去最高額のランサムウェア犯罪 (Gizmodo, 2021/07/06 22:45)
https://www.gizmodo.jp/2021/07/revil-gang-takes-credit-for-kaseya.html
⇒ https://malware-log.hatenablog.com/entry/2021/07/06/000000_6
□2021年7月7日
◆世界1500社に被害 スーパー、幼稚園にも―米IT企業へのサイバー攻撃 (時事通信, 2021/07/07 07:06)
https://www.jiji.com/jc/article?k=2021070600716
⇒ https://malware-log.hatenablog.com/entry/2021/07/07/000000_1
□2021年7月8日
◆サイバー攻撃受けた米カセヤ、4月には脆弱性知らされていた (WSJ, 2021/07/08 10:16)
https://jp.wsj.com/articles/software-firm-at-center-of-ransomware-attack-was-warned-of-cyber-flaw-in-april-11625706959
⇒ https://malware-log.hatenablog.com/entry/2021/07/08/164801
□2021年7月11日
◆Kaseya patches VSA vulnerabilities used in REvil ransomware attack (BleepingComputer, 2021/07/11 16:50)
https://www.bleepingcomputer.com/news/security/kaseya-patches-vsa-vulnerabilities-used-in-revil-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/07/11/000000_1
□2021年7月12日
◆Kaseya VSAの脆弱性、アップデートを装ったフィッシング攻撃にも注意 (ITmedia. 2021/07/12 18:20)
https://www.itmedia.co.jp/enterprise/articles/2107/12/news125.html
⇒ https://malware-log.hatenablog.com/entry/2021/07/12/000000_4
□2021年7月13日
◆ランサムウェア攻撃を受けたKaseya、脆弱性を修正した「VSA」のアップデートをリリース (ZDNet, 2021/07/13 13:56)
https://japan.zdnet.com/article/35173796/
⇒ https://malware-log.hatenablog.com/entry/2021/07/13/000000_3
□2021年7月22日
◆Kaseya obtains universal decryptor for REvil ransomware victims (BleepingComputer, 2021/07/22 13:46)
[Kaseya、ランサムウェア「REvil」の被害者のためにユニバーサルデクリプタを入手]
https://www.bleepingcomputer.com/news/security/kaseya-obtains-universal-decryptor-for-revil-ransomware-victims/
⇒ https://malware-log.hatenablog.com/entry/2021/07/22/000000_4
□2021年7月23日
◆Kaseya deploys a master decryption key to unlock systems hit by REvil attack (Engadget, 2021/07/23)
[Kaseya、REvil攻撃に見舞われたシステムのロックを解除するためにマスター復号鍵を配備]It will help its customers affected by REvil's July 2nd ransomware attack.
[7月2日に発生したランサムウェア「REvil」の攻撃を受けたお客様を支援します]https://www.engadget.com/kaseya-master-decryption-key-revil-attack-081230168.html
□2021年7月27日
◆Kaseya、「REvil」への身代金支払いを否定 (ZDnet, 2021/07/27 14:05)
https://japan.zdnet.com/article/35174385/
⇒ https://malware-log.hatenablog.com/entry/2021/07/27/000000_3
◇2021年8月
□2021年8月11日
◆Kaseya's universal REvil decryption key leaked on a hacking forum (BleepingComputer, 2021/08/11 02:01)
[KaseyaのユニバーサルREvilの復号キーがハッキングフォーラムで流出]
https://www.bleepingcomputer.com/news/security/kaseyas-universal-revil-decryption-key-leaked-on-a-hacking-forum/
⇒ https://malware-log.hatenablog.com/entry/2021/08/11/000000_6
◆Kaseya製品を踏み台にしたランサムウェア「REvil」攻撃 その影響範囲の実態は (Tecg\htarget, 2021/08/12 05:00)
https://techtarget.itmedia.co.jp/tt/news/2108/12/news09.html
⇒ https://malware-log.hatenablog.com/entry/2021/08/12/000000_2
【公開情報】
◆9.5.7a (9.5.7.2994) Feature Release – 11 July 2021 (Kaseya, 2021/07/11)
https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041
⇒ https://malware-log.hatenablog.com/entry/2021/07/11/000000
関連情報
【関連まとめ記事】
◆ランサムウェアインシデント (まとめ)
https://malware-log.hatenablog.com/entry/Incident_Ransomware
