TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

インシデント: カセヤ / Kaseya (まとめ)

【目次】

概要

【図表】

f:id:tanigawa:20210708055727p:plain
出典: https://blog.truesec.com/2021/07/04/kaseya-supply-chain-attack-targeting-msps-to-deliver-revil-ransomware/

f:id:tanigawa:20210706075156p:plain
出典: hxxp://dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd[.]onion/

【概要】

【概要】

項目
内容
種別 ランサムウェア(二重脅迫)
ターゲットOS -
ターゲットソフト Kaseya VSA
攻撃開始時期 2021/07/02 (被害確認)
攻撃方法 Kaseya VSA Serverの脆弱性を利用
被害 世界全体で800~1500社に被害
スウェーデンのスーパー大手「コープ」は約800店舗が営業停止に追い込まれた
ニュージーランドでは学校や幼稚園が攻撃対象
使用脆弱性 CVE-2021-30116, アップデート版を公開(7/11) *1
暗号化方法 -
拡張子 -
身代金金額 7000万ドル(78億円) (Kaseyaへの請求)
44,999ドル(個々の企業への請求) *2
身代金支払い方法 BitCoin(Kaseya), Monero(個々の企業)
身代金支払い有無 無し
犯罪組織 REvil(Sodinokibi)
その他


■修正された脆弱性

CVE番号 説明
CVE-2021-30116 A credentials leak and business logic flaw, to be included in 9.5.7
CVE-2021-30117 An SQL injection vulnerability, resolved in May 8th patch.
CVE-2021-30118 A Remote Code Execution vulnerability, resolved in April 10th patch. (v9.5.6)
CVE-2021-30119 A Cross Site Scripting vulnerability, to be included in 9.5.7
CVE-2021-30120 2FA bypass, to be resolved in v9.5.7
CVE-2021-30121 A Local File Inclusion vulnerability, resolved in May 8th patch.
CVE-2021-30201 A XML External Entity vulnerability, resolved in May 8th patch.
【最新情報】

◆Kaseya's universal REvil decryption key leaked on a hacking forum (BleepingComputer, 2021/08/11 02:01)
[KaseyaのユニバーサルREvilの復号キーがハッキングフォーラムで流出]
https://www.bleepingcomputer.com/news/security/kaseyas-universal-revil-decryption-key-leaked-on-a-hacking-forum/
https://malware-log.hatenablog.com/entry/2021/08/11/000000_6

記事

【ニュース】

■2021年

◇2021年7月

□2021年7月2日

◆REvil ransomware hits 200 companies in MSP supply-chain attack (BleepingComputer, 2021/07/02 15:56)
[ランサムウェア「REvil」、MSPのサプライチェーン攻撃で200社が被害に]
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
https://malware-log.hatenablog.com/entry/2021/07/02/000000_3

◆REvil ransomware hits 1,000+ companies in MSP supply-chain attack (BleepingComputer, 2021/07/02 15:56)
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
https://malware-log.hatenablog.com/entry/2021/07/02/000000_8


□2021年7月4日

◆クライアント管理サービスのKaseyaに大規模ランサムウェア攻撃 またREvilの可能性 (ITmedia, 2021/07/04 08:07)
https://www.itmedia.co.jp/news/articles/2107/04/news014.html
https://malware-log.hatenablog.com/entry/2021/07/04/000000_2

◆Kaseya was fixing zero-day just as REvil ransomware sprung their attack (BleepingComputer, 2021/07/04 11:31)
[Kaseyaは、REvilランサムウェアが攻撃を開始したときにゼロデイを修正していました]
https://www.bleepingcomputer.com/news/security/kaseya-was-fixing-zero-day-just-as-revil-ransomware-sprung-their-attack/
https://malware-log.hatenablog.com/entry/2021/07/04/000000_5


□2021年7月5日

◆米でまたサイバー攻撃、1000社影響も ITサービス狙う (日経新聞, 2021/07/05 02:43)
https://www.nikkei.com/article/DGXZQOGN044JN0U1A700C2000000/
https://malware-log.hatenablog.com/entry/2021/07/05/000000

◆米IT企業にサイバー攻撃、世界中で最大4万台のPC感染も (WSJ, 2021/07/05 08:28)

「REvil」と呼ばれるグループはソフトウエア「カセヤVSA」を攻撃対象に

https://jp.wsj.com/articles/ransomware-attack-affecting-likely-thousands-of-targets-drags-on-11625441235
https://malware-log.hatenablog.com/entry/2021/07/05/000000_4

◆MSPも利用するIT管理ツールがゼロデイ攻撃の標的に - 日本でも検知 (Security NEXT, 2021/07/05)
https://www.security-next.com/127816
https://malware-log.hatenablog.com/entry/2021/07/05/000000_1

◆露系ハッカー集団が78億円要求 米ITのソフト攻撃 (産経新聞, 2021/07/05 17:36)
https://www.sankei.com/article/20210705-XHUNSLHIHFIVZBIWVAXKTA4VBE/
https://malware-log.hatenablog.com/entry/2021/07/05/000000_2


□2021年7月6日

◆Kaseya攻撃のREvil、Moneroとは別にビットコインでも78億円請求か (ITmedia, 2021/07/06 08:18)
https://www.itmedia.co.jp/news/articles/2107/06/news055.html
https://malware-log.hatenablog.com/entry/2021/07/06/000000_2

◆Kaseya Patches Imminent After Zero-Day Exploits, 1,500 Impacted (Threatpost, 2021/07/06 11:42)
[Zero-Day Exploitsの後、Kaseyaのパッチが差し迫って適用され、1,500組織が影響を受ける]
https://threatpost.com/kaseya-patches-zero-day-exploits/167548/
https://malware-log.hatenablog.com/entry/2021/07/06/000000_4

◆身代金は7000万ドル。過去最高額のランサムウェア犯罪 (Gizmodo, 2021/07/06 22:45)
https://www.gizmodo.jp/2021/07/revil-gang-takes-credit-for-kaseya.html
https://malware-log.hatenablog.com/entry/2021/07/06/000000_6


□2021年7月7日

◆世界1500社に被害 スーパー、幼稚園にも―米IT企業へのサイバー攻撃 (時事通信, 2021/07/07 07:06)
https://www.jiji.com/jc/article?k=2021070600716
https://malware-log.hatenablog.com/entry/2021/07/07/000000_1


□2021年7月8日

◆サイバー攻撃受けた米カセヤ、4月には脆弱性知らされていた (WSJ, 2021/07/08 10:16)
https://jp.wsj.com/articles/software-firm-at-center-of-ransomware-attack-was-warned-of-cyber-flaw-in-april-11625706959
https://malware-log.hatenablog.com/entry/2021/07/08/164801


□2021年7月11日

◆Kaseya patches VSA vulnerabilities used in REvil ransomware attack (BleepingComputer, 2021/07/11 16:50)
https://www.bleepingcomputer.com/news/security/kaseya-patches-vsa-vulnerabilities-used-in-revil-ransomware-attack/
https://malware-log.hatenablog.com/entry/2021/07/11/000000_1


□2021年7月12日

◆Kaseya VSAの脆弱性、アップデートを装ったフィッシング攻撃にも注意 (ITmedia. 2021/07/12 18:20)
https://www.itmedia.co.jp/enterprise/articles/2107/12/news125.html
https://malware-log.hatenablog.com/entry/2021/07/12/000000_4


□2021年7月13日

◆ランサムウェア攻撃を受けたKaseya、脆弱性を修正した「VSA」のアップデートをリリース (ZDNet, 2021/07/13 13:56)
https://japan.zdnet.com/article/35173796/
https://malware-log.hatenablog.com/entry/2021/07/13/000000_3


□2021年7月22日

◆Kaseya obtains universal decryptor for REvil ransomware victims (BleepingComputer, 2021/07/22 13:46)
[Kaseya、ランサムウェア「REvil」の被害者のためにユニバーサルデクリプタを入手]
https://www.bleepingcomputer.com/news/security/kaseya-obtains-universal-decryptor-for-revil-ransomware-victims/
https://malware-log.hatenablog.com/entry/2021/07/22/000000_4


□2021年7月27日

◆Kaseya、「REvil」への身代金支払いを否定 (ZDnet, 2021/07/27 14:05)
https://japan.zdnet.com/article/35174385/
https://malware-log.hatenablog.com/entry/2021/07/27/000000_3


◇2021年8月

□2021年8月11日

◆Kaseya's universal REvil decryption key leaked on a hacking forum (BleepingComputer, 2021/08/11 02:01)
[KaseyaのユニバーサルREvilの復号キーがハッキングフォーラムで流出]
https://www.bleepingcomputer.com/news/security/kaseyas-universal-revil-decryption-key-leaked-on-a-hacking-forum/
https://malware-log.hatenablog.com/entry/2021/08/11/000000_6

【公開情報】

◆9.5.7a (9.5.7.2994) Feature Release – 11 July 2021 (Kaseya, 2021/07/11)
https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041
https://malware-log.hatenablog.com/entry/2021/07/11/000000

関連情報

【関連まとめ記事】

全体まとめ
 ◆インシデント (まとめ)

◆ランサムウェアインシデント (まとめ)
https://malware-log.hatenablog.com/entry/Incident_Ransomware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020