Специалисты компании Huntress Labs предупредили, что операторы вымогателя GandCrab обратили свое внимание на поставщиков управляемых услуг (Managed services providers, MSP) и через них заражают машины пользователей.
По информации исследователей, злоумышленники использую уязвимость двухлетней давности в плагине Kaseya, предназначенном для ПО ConnectWise Manage. Небольшие компании, работающие в сфере MSP, часто используют эти инструменты для удобства централизации данных клиентов, чтобы управлять их рабочими станциями можно было из центральной удаленной локации.
Еще в ноябре 2017 года была обнаружена уязвимость перед SQL-инъекциями (CVE-2017-18362), которая позволяет атакующему создать новый аккаунт администратора в основном приложении Kaseya. PoC-эксплоит тогда был опубликован на GitHub. Хотя разработчики Kaseya давно выпустили исправление для этой проблемы, похоже, к настоящему моменту по-прежнему далеко не все пользователи озаботились его установкой.
Атаки на эту уязвимость начались в январе 2019 года. К примеру, на Reddit был описан случай, когда компрометация небольшого MSP привела к заражению 80 пользовательских машин шифровальщиком GandCrab. Этот случай был подтвержден специалистами Huntress Lab. Также в социальных сетях можно найти и другие сообщения о похожих атаках (официально неподтвержденные), где говорится уже о 1500 пострадавших.
В итоге разработчики ConnectWise даже были вынуждены выпустить официальное предупреждение, в котором напомнили своим пользователям о необходимости обновления Kaseya. Представители разработчиков Kaseya, в свою очередь, сообщили, что им удалось обнаружить как минимум 126 компаний, которые до сих пор не обновили плагин и, следовательно, находятся в зоне риска. Со всеми необновившимися разработчики постарались связаться по телефону или электронной почте.