Американская IT-компания Kaseya выпустила обновления ПО, устраняющие уязвимости в ее продукте VSA. Эти уязвимости были проэксплуатированы хакерами в ходе недавней атаки, инфицировавшей системы Kaseya вымогательским ПО REvil. Поскольку инструмент VSA используется многими сервис-провайдерами для удаленного управления сетями клиентов, в результате атаки была нарушена деятельность более 1500 предприятий и организаций по всему миру. Первоначально вымогатели потребовали за предоставление универсального ключа дешифровки (для разблокировки всех заблокированных систем) 70 миллионов долларов, что является рекордной суммой за всю историю подобных атак.

Расследование инцидента установило, что еще в апреле нынешнего года специалисты исследовательской организации Dutch Institute for Vulnerability Disclosure (DIVD) из Нидерландов выявили сразу 7 уязвимостей в продуктах Kaseya и уведомили о них компанию. Та приняла меры, но успела исправить лишь 4 из 7 уязвимостей. Оставшиеся должны были быть исправлены с выходом новой версии VSA - v9.5.7. Но хакеры буквально на пару дней опередили Kaseya.

Теперь обновления доступны, и всем пользователям продуктов компании следует установить их незамедлительно. При этом следует соблюдать осторожность: дело в том, что несколькими днями ранее многие компании уже начали получать сообщения электронной почты, якобы содержащие патчи, устраняющие уязвимости в VSA. В действительности это вредоносная кампания, оперативно развернутая неизвестными злоумышленниками. Вложение SecurityUpdates.exe в этих письмах выглядит как патч от Microsoft, однако оно устанавливает на компьютеры пользователей инструмент Cobalt Strike. Это вполне легитимная программа, созданная для проверки систем на наличие уязвимостей, однако в руках хакеров она превращается в орудие взлома. После установки этих фальшивых «патчей» киберпреступники получают постоянный удаленный доступ к системам жертв.