パッチ管理サーバ

パッチ管理の重要性はますます高まっています。
みなさん適切な状態にパッチが適用された状態にしましょう。

パッチが適用されては困る犯罪者側ですが、今回はパッチ管理システムを使ってマルウェアを配布する事例が確認されています。
悪用されてしまったのはKaseya VSAでした。
Kaseya VSAはこういうものです。

• 統合されたリモート監視と管理
• エンドポイント管理とネットワーク監視を1つに

Kaseya VSAは、プロバイダーが顧客のパッチ管理とクライアント監視を実行できるようにするクラウドベースのサービスです。
MSP（マネージドサービスプロバイダ）が選択するサービスのひとつです。

正規のパッチ管理システムから、攻撃を行うバイナリ（ランサムウェアなど）が更新プログラムの体で配布されます。

すでにいくつかのMSPが脅迫を受けています。
復号化したければ身代金を支払え、というものです。

今回はKaseyaの行動が早かったため、影響範囲は大きくならなかった可能性が考えられます。
しかし、まさに今対応中の状況です。

大規模なランサムウェア攻撃のほとんどは、ネットワークを監視するスタッフが少ない週末の深夜に実行される傾向にあります。
この攻撃は金曜日（7月2日）の正午に確認されているため、攻撃者は土曜日日曜日（7月3日4日）に大規模な活動を計画した可能性があります。
特に米国では、休日の前にスタッフの就業時間が短くなるのが一般的です。

どのようなタイミングでどのように企画すればいかに効率的に仕事が成し遂げられるか。
攻撃者側はよく練られた活動を展開しているといえそうです。
防御側もよく考えて活動していくことが必要だと思われます。
後手に回らないようになにができるでしょうか。

参考記事（外部リンク）：REvil ransomware hits 1,000+ companies in MSP supply-chain
attack
www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/