حمله گسترده باج افزار Kaseya که ادعا می شود حدود 1000 سازمان را تحت تأثیر قرار داده است، در حال حاضر برای ارتقای سایر حملات استفاده میشود. یکی از این دست حملات، مورد توجه محققان Malwarebytes قرار گرفته است.

 

قربانیان هدف Kaseya REvil
در یک رشته توییت توسط Malwarebytes، محققان فاش کرده اند که یک کمپین malspam از حمله باج افزار Kaseya برای استقرار Cobalt Strike بهره می برد. این می تواند عاملان تهدید را قادر به حملات بعدی کرده و حتی امکان استقرار بدافزارهای دیگر را نیز ممکن کند.
این کمپین از طریق ایمیل فیشینگ حاوی پیوستی به نام 'SecurityUpdates.exe' و همچنین لینکی که به عنوان یک بروزرسانی امنیتی جهت سواستفاده از آسیب پذیری Kaseya ظاهر می شود، انجام می پذیرد.
برای قانع کننده نشان دادن این ایمیل، در آن ادعا می شود که بروزرسانی امنیتی از جانب مایکروسافت ارائه و انجام میپذیرد.

 

درباره حمله Kaseya چه می دانیم؟
حمله باج افزار Kaseya که در تاریخ 2 ژوئیه رخ داد، یکی از حملات مخرب باج افزاری بود که در پی حملات علیه Colonial Pipeline و JBS Foods، به وقوع پیوست.
باند باج افزار REvil با سواستفاده از آسیب پذیری روز صفر در سرورهای VSA نفوذ کرده بودند.
پس از حمله، مهاجمان موفق به سرقت اطلاعات زیادی شدند و بعداً برای انتشار رمز سراسری آن، مبلغ 70 میلیون دلار را به عنوان باج مطالبه کردند.
برخی از سازمان های آسیب دیده شامل سوپرمارکت ها در سوئد و مدارس در نیوزیلند بودند. در حالی که صدها شرکت مستقیماً در معرض حمله زنجیره تأمین به نرم افزار VSA متعلق به Kaseya قرار داشتند، حداقل 36000 شرکت به صورت غیر مستقیم تحت تأثیر این حمله قرار گرفتند.

 

نکته قابل توجه
عاملان تهدید همیشه در پی دستیابی به فرصت مفید و طلایی برای رسیدن به ثروت عظیمی بوده اند و استفاده از حمله باج افزاری Kaseya، یکی از این موارد است.
پیش از این، اختلال در Colonial Pipeline باعث حمله فیشینگ "Help Desk" شد که مشتریان Microsoft 365 را هدف قرار داد. هدف نهایی این کارزار اعمال و استقرار ابزار Cobalt Strike بر روی سیستم قربانیان بود.

 

نتیجه گیری
همانطور که حمله مداوم Kaseya همچنان شرایط سختی را به سازمانها تحمیل میکند، ظهور مبارزات موازی توسط عوامل تهدید، که احتمالاً با گروه REvil مرتبط نیستند، مطمئناً مشکلات و دردسرهای بیشتری ایجاد خواهد کرد. دقت داشتن در هنگام دریافت و مطالعه نامه های الکترونیکی که بطور ناخواسته دریافت شده اند، می تواند به فرد جهت در امان ماندن از چنین حملاتی کمک کند. در همین حال، Kaseya اقدامات لازم برای رفع آسیب پذیری موثر بر سرورهای VSA خود را آغاز کرده است.