Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy
Cliccando sul tasto "Accetto" acconsenti all’uso dei cookie. Accetto

NEWS ALIAS

06 Luglio 2021
Bookmark and Share

SonicWall GAV e IPS a protezione dello sfruttamento dei server Kaseya VSA per distribuire ransomware

Anche SonicWall si trova impegnata a mitigare la minaccia ransomware che sfrutta l'exploit dei sever Kaseya VSA, nota soluzione RMM molto diffusa anche in Europa.
  L'attacco inizia con lo sfruttamento del server Kaseya. Il dropper del ransomware viene caricato sul server VSA di Kaseya utilizzando la funzionalità di caricamento dei file. Una volta che il server (versione standalone) viene sfruttato, l'attaccante emette un aggiornamento hotfix all'agente per trasferire il ransomware dal server a tutti gli agenti endpoint gestiti. Questo file viene decodificato/decodificato come agent.exe ed eseguito.
Il campione è risultato appartenere alla famiglia REvil/Sodinokibi ransomware.
Per quanto concerne le tecnologia di protezione SonicWall, questa minaccia può essere rilevata attraverso i seguenti metodi:
  •     GAV: MalAgent.VSA (Trojan)
  •     GAV: Filecoder.N (Trojan)
  •     IPS: [2041]Kaseya VSA Server userFilterTableRpt Request
Questa minaccia può essere rilevata anche da SonicWall Capture ATP con Real-Time Deep Memory Inspection (RTDMI) e dalle soluzioni endpoint Capture Client.

SonicWall Capture Labs continua a monitorare questa minaccia e fornirà ulteriori informazioni non appena saranno disponibili.
approfondisci...
Bookmark and Share
© Alias S.r.l. 2021. Tutti i diritti riservati. Sede Legale: Via San Francesco, 2 - 33100 Udine
Capitale sociale Euro 62.400,00 i.v., C.F. / P.IVA 01837180304, Iscrizione C.C.I.A.A. Registro Imprese di UDINE n. 01837180304
Privacy Policy  |  Cookie Policy


© project Web Industry