REvil взломал Kaseya VSA через CVE-2021-30116 (CVSS 10.0) и за три часа зашифровал 1500 организаций — агент делал ровно то, для чего создан: выполнял команду с сервера.Kill chain стартовал с SQL-инъекции и раскрытия sessionId, затем certutil -decode распаковывал дроппер...
Атака на цепочку поставок MSP: разбор Kaseya VSA и защита RMM-инфраструктуры
Источник: codeby.net