استخدم مهاجمو برامج الفدية على ما يبدو Kaseya – منصة برمجية مصممة للمساعدة في إدارة خدمات تكنولوجيا المعلومات عن بُعد – لتسليم حمولتهم بهدف افساد عطلة نهاية الأسبوع. وقام مارك لومان مدير Sophos والمتسلل الأخلاقي، بالتغريد عن الهجوم، ويبلغ الآن أن الأنظمة المتأثرة ستطلب 44999 دولارًا لفتحها. تطالب ملاحظة على موقع Kaseya على الويب العملاء بإغلاق خوادم VSA الخاصة بهم في الوقت الحالي “لأن أحد الأشياء الأولى التي يقوم بها المهاجم هو إيقاف الوصول الإداري إلى VSA” حسبما نقل موقع the verege.
وفقًا لتقرير صادر عن Bleeping Computer ، استهدف الهجوم ستة MSPs كبيرة وقام بتشفير البيانات لما يصل إلى 200 شركة.
في DoublePulsar نشر Kevin Beaumont مزيدًا من التفاصيل حول كيفية عمل الهجوم ، مع وصول REvil ransomware عبر تحديث Kaseya واستخدام الامتيازات الإدارية للنظام الأساسي لإصابة الأنظمة. بمجرد إصابة مزودي الخدمة المُدارة ، يمكن أن تهاجم أنظمتهم العملاء الذين يقدمون خدمات تكنولوجيا المعلومات عن بُعد من أجل (إدارة الشبكة وتحديثات النظام والنسخ الاحتياطية من بين أشياء أخرى.
ونقل the verege عن Kaseya: “إننا نحقق في هجوم محتمل ضد VSA يشير إلى أنه اقتصر على عدد صغير من عملائنا المحليين فقط”. يدعي إشعار أن جميع خوادمه السحابية هي الآن في “وضع الصيانة” ، وهي خطوة قال المتحدث الرسمي إنها تتخذ بسبب “كثرة الحذر”. في وقت لاحق من مساء يوم الجمعة الماضية، أصدر فريد فوكولا الرئيس التنفيذي لشركة Kaseya ، بيانًا قال فيه إنهم يقدرون أن عدد MSPs المتضررة أقل من 40 ، ويقومون بإعداد تصحيح للتخفيف من الثغرة الأمنية.
تم ربط هجوم اليوم بعصابة REvil Ransomware سيئة السمعة (المرتبطة بالفعل بالهجمات على شركة Acer ومورد اللحوم JBS في وقت سابق من هذا العام) ، ويشير The Record إلى أنه بجمع الحوادث تحت أكثر من اسم واحد ، قد تكون هذه هي المرة الثالثة التي يتم فيها استخدام برنامج Kaseya كان متجهًا لمآثرهم.